Linux Active Directory
Eine Linux-Maschine kann auch in einer Active Directory-Umgebung vorhanden sein.
Eine Linux-Maschine in einer AD kann verschiedene CCACHE-Tickets in Dateien speichern. Diese Tickets können wie andere Kerberos-Tickets verwendet und missbraucht werden. Um diese Tickets zu lesen, müssen Sie entweder der Benutzerbesitzer des Tickets oder root in der Maschine sein.
Enumeration
AD-Enumeration von Linux aus
Wenn Sie Zugriff auf eine AD in Linux (oder Bash in Windows) haben, können Sie versuchen, https://github.com/lefayjey/linWinPwn zu verwenden, um die AD zu enumerieren.
Sie können auch die folgende Seite überprüfen, um andere Möglichkeiten zur Enumeration von AD von Linux aus zu erfahren:
page389, 636, 3268, 3269 - Pentesting LDAPFreeIPA
FreeIPA ist eine Open-Source-Alternative zu Microsoft Windows Active Directory, hauptsächlich für Unix-Umgebungen. Es kombiniert ein vollständiges LDAP-Verzeichnis mit einem MIT Kerberos Key Distribution Center für das Management ähnlich wie Active Directory. Mit dem Dogtag Certificate System für CA & RA-Zertifikatsverwaltung unterstützt es Multi-Faktor-Authentifizierung, einschließlich Smartcards. SSSD ist für Unix-Authentifizierungsprozesse integriert. Erfahren Sie mehr darüber in:
pageFreeIPA PentestingSpielen mit Tickets
Pass The Ticket
Auf dieser Seite finden Sie verschiedene Orte, an denen Sie Kerberos-Tickets in einem Linux-Host finden könnten. Auf der folgenden Seite erfahren Sie, wie Sie diese CCache-Ticketformate in Kirbi (das Format, das Sie in Windows verwenden müssen) umwandeln und auch einen PTT-Angriff durchführen können:
pagePass the TicketCCACHE-Ticket-Wiederverwendung aus /tmp
CCACHE-Dateien sind binäre Formate zum Speichern von Kerberos-Anmeldeinformationen, die normalerweise mit 600-Berechtigungen in /tmp
gespeichert werden. Diese Dateien können anhand ihres Namensformats krb5cc_%{uid}
identifiziert werden, das mit der Benutzer-UID korreliert. Für die Überprüfung des Authentifizierungstickets sollte die Umgebungsvariable KRB5CCNAME
auf den Pfad der gewünschten Ticketdatei gesetzt sein, um deren Wiederverwendung zu ermöglichen.
Listen Sie das aktuelle Ticket für die Authentifizierung mit env | grep KRB5CCNAME
auf. Das Format ist portabel und das Ticket kann durch Setzen der Umgebungsvariable mit export KRB5CCNAME=/tmp/ticket.ccache
wiederverwendet werden. Das Format des Kerberos-Ticketnamens lautet krb5cc_%{uid}
, wobei uid die Benutzer-UID ist.
CCACHE Ticket-Wiederverwendung aus dem Schlüsselbund
Kerberos-Tickets, die im Speicher eines Prozesses gespeichert sind, können extrahiert werden, insbesondere wenn der ptrace-Schutz der Maschine deaktiviert ist (/proc/sys/kernel/yama/ptrace_scope
). Ein nützliches Tool für diesen Zweck ist unter https://github.com/TarlogicSecurity/tickey zu finden, das die Extraktion erleichtert, indem es sich in Sitzungen einfügt und Tickets in /tmp
ablegt.
Um dieses Tool zu konfigurieren und zu verwenden, werden die folgenden Schritte ausgeführt:
Diese Prozedur versucht, in verschiedene Sitzungen einzudringen und gibt den Erfolg durch Speicherung extrahierter Tickets in /tmp
mit der Namenskonvention __krb_UID.ccache
an.
CCACHE-Ticket-Wiederverwendung von SSSD KCM
SSSD verwaltet eine Kopie der Datenbank im Pfad /var/lib/sss/secrets/secrets.ldb
. Der entsprechende Schlüssel wird als versteckte Datei im Pfad /var/lib/sss/secrets/.secrets.mkey
gespeichert. Standardmäßig ist der Schlüssel nur lesbar, wenn Sie Root-Berechtigungen haben.
Das Aufrufen von **SSSDKCMExtractor
** mit den Parametern --database und --key analysiert die Datenbank und entschlüsselt die Geheimnisse.
Der Anmeldeinformationen-Cache-Kerberos-Blob kann in eine verwendbare Kerberos-CCache-Datei umgewandelt werden, die an Mimikatz/Rubeus übergeben werden kann.
Wiederverwendung von CCACHE-Tickets aus dem Keytab
Extrahieren von Konten aus /etc/krb5.keytab
Dienstkontenschlüssel, die für Dienste mit Root-Berechtigungen erforderlich sind, werden sicher in /etc/krb5.keytab
-Dateien gespeichert. Diese Schlüssel, die den Passwörtern für Dienste ähneln, erfordern eine strenge Vertraulichkeit.
Um den Inhalt der Keytab-Datei zu überprüfen, kann klist
verwendet werden. Das Tool ist darauf ausgelegt, Details zu den Schlüsseln anzuzeigen, einschließlich des NT-Hashes für die Benutzerauthentifizierung, insbesondere wenn der Schlüsseltyp als 23 identifiziert wird.
Für Linux-Benutzer bietet KeyTabExtract
die Möglichkeit, den RC4 HMAC-Hash zu extrahieren, der für die Wiederverwendung des NTLM-Hashes genutzt werden kann.
Auf macOS dient bifrost
als Tool zur Analyse von Keytab-Dateien.
Unter Verwendung der extrahierten Konten- und Hash-Informationen können Verbindungen zu Servern mithilfe von Tools wie crackmapexec
hergestellt werden.
Referenzen
Last updated