FreeIPA Pentesting
Basic Information
Το FreeIPA είναι μια ανοιχτού κώδικα εναλλακτική λύση για το Microsoft Windows Active Directory, κυρίως για Unix περιβάλλοντα. Συνδυάζει έναν πλήρη LDAP κατάλογο με ένα MIT Kerberos Κέντρο Κατανομής Κλειδιών για διαχείριση παρόμοια με το Active Directory. Χρησιμοποιεί το σύστημα Dogtag Certificate System για τη διαχείριση πιστοποιητικών CA & RA, υποστηρίζει πολλαπλούς παράγοντες αυθεντικοποίησης, συμπεριλαμβανομένων των έξυπνων καρτών. Το SSSD είναι ενσωματωμένο για διαδικασίες αυθεντικοποίησης Unix.
Fingerprints
Files & Environment Variables
Το αρχείο στο
/etc/krb5.confείναι όπου αποθηκεύονται οι πληροφορίες του πελάτη Kerberos, απαραίτητες για την εγγραφή στο τομέα. Αυτό περιλαμβάνει τις τοποθεσίες των KDCs και των διακομιστών διαχείρισης, τις προεπιλεγμένες ρυθμίσεις και τους χάρτες.Οι προεπιλεγμένες ρυθμίσεις για τους πελάτες και τους διακομιστές IPA ορίζονται στο αρχείο που βρίσκεται στο
/etc/ipa/default.conf.Οι υπολογιστές εντός του τομέα πρέπει να έχουν ένα αρχείο
krb5.keytabστο/etc/krb5.keytabγια τις διαδικασίες αυθεντικοποίησης.Διάφορες μεταβλητές περιβάλλοντος (
KRB5CCNAME,KRB5_KTNAME,KRB5_CONFIG,KRB5_KDC_PROFILE,KRB5RCACHETYPE,KRB5RCACHEDIR,KRB5_TRACE,KRB5_CLIENT_KTNAME,KPROP_PORT) χρησιμοποιούνται για να δείχνουν σε συγκεκριμένα αρχεία και ρυθμίσεις που σχετίζονται με την αυθεντικοποίηση Kerberos.
Binaries
Εργαλεία όπως ipa, kdestroy, kinit, klist, kpasswd, ksu, kswitch, και kvno είναι κεντρικά για τη διαχείριση τομέων FreeIPA, τη διαχείριση εισιτηρίων Kerberos, την αλλαγή κωδικών πρόσβασης και την απόκτηση εισιτηρίων υπηρεσιών, μεταξύ άλλων λειτουργιών.
Network
Παρέχεται μια απεικόνιση για να απεικονίσει μια τυπική ρύθμιση διακομιστή FreeIPA.
Authentication
Η αυθεντικοποίηση στο FreeIPA, αξιοποιώντας το Kerberos, αντικατοπτρίζει αυτήν στο Active Directory. Η πρόσβαση στους πόρους του τομέα απαιτεί ένα έγκυρο εισιτήριο Kerberos, το οποίο μπορεί να αποθηκευτεί σε διάφορες τοποθεσίες ανάλογα με τη διαμόρφωση του τομέα FreeIPA.
CCACHE Ticket Files
Τα αρχεία CCACHE, που αποθηκεύονται συνήθως στο /tmp με δικαιώματα 600, είναι δυαδικές μορφές για την αποθήκευση διαπιστευτηρίων Kerberos, σημαντικά για την αυθεντικοποίηση χωρίς τον απλό κωδικό πρόσβασης του χρήστη λόγω της φορητότητάς τους. Η ανάλυση ενός εισιτηρίου CCACHE μπορεί να γίνει χρησιμοποιώντας την εντολή klist, και η επαναχρησιμοποίηση ενός έγκυρου εισιτηρίου CCACHE περιλαμβάνει την εξαγωγή του KRB5CCNAME στη διαδρομή του αρχείου εισιτηρίου.
Unix Keyring
Εναλλακτικά, τα εισιτήρια CCACHE μπορούν να αποθηκευτούν στο κλειδί του Linux, προσφέροντας περισσότερη έλεγχο στη διαχείριση εισιτηρίων. Η έκταση της αποθήκευσης εισιτηρίων ποικίλλει (KEYRING:name, KEYRING:process:name, KEYRING:thread:name, KEYRING:session:name, KEYRING:persistent:uidnumber), με το klist ικανό να αναλύει αυτές τις πληροφορίες για τον χρήστη. Ωστόσο, η επαναχρησιμοποίηση ενός εισιτηρίου CCACHE από το Unix keyring μπορεί να προκαλέσει προκλήσεις, με εργαλεία όπως το Tickey διαθέσιμα για την εξαγωγή εισιτηρίων Kerberos.
Keytab
Τα αρχεία keytab, που περιέχουν Kerberos principals και κρυπτογραφημένα κλειδιά, είναι κρίσιμα για την απόκτηση έγκυρων εισιτηρίων χορήγησης εισιτηρίων (TGT) χωρίς να χρειάζεται ο κωδικός πρόσβασης του principal. Η ανάλυση και η επαναχρησιμοποίηση διαπιστευτηρίων από αρχεία keytab μπορεί να γίνει εύκολα με βοηθητικά προγράμματα όπως το klist και σενάρια όπως το KeytabParser.
Cheatsheet
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με το πώς να χρησιμοποιήσετε τα εισιτήρια στο linux στον παρακάτω σύνδεσμο:
Linux Active DirectoryEnumeration
Μπορείτε να εκτελέσετε την enumeration μέσω ldap και άλλων binary εργαλείων, ή συνδέοντας στη σελίδα web στην πόρτα 443 του διακομιστή FreeIPA.
Hosts, Users, and Groups
Είναι δυνατή η δημιουργία hosts, users και groups. Οι υπολογιστές και οι χρήστες ταξινομούνται σε κοντέινερ που ονομάζονται “Host Groups” και “User Groups” αντίστοιχα. Αυτά είναι παρόμοια με τις Οργανωτικές Μονάδες (OU).
Από προεπιλογή στο FreeIPA, ο διακομιστής LDAP επιτρέπει ανώνυμες συνδέσεις, και μια μεγάλη ποσότητα δεδομένων είναι αναγνωρίσιμη χωρίς αυθεντικοποίηση. Αυτό μπορεί να αναγνωρίσει όλα τα διαθέσιμα δεδομένα χωρίς αυθεντικοποίηση:
Για να αποκτήσετε περισσότερες πληροφορίες πρέπει να χρησιμοποιήσετε μια επαληθευμένη συνεδρία (ελέγξτε την ενότητα Επαλήθευσης για να μάθετε πώς να προετοιμάσετε μια επαληθευμένη συνεδρία).
Από μια μηχανή που είναι συνδεδεμένη σε τομέα, θα μπορείτε να χρησιμοποιήσετε εγκατεστημένα δυαδικά αρχεία για να καταγράψετε τον τομέα:
Ο χρήστης admin του FreeIPA είναι ισοδύναμος με τους domain admins από το AD.
Hashes
Ο χρήστης root από τον IPA server έχει πρόσβαση στους κωδικούς πρόσβασης hashes.
Ο κωδικός πρόσβασης hash ενός χρήστη αποθηκεύεται ως base64 στο “userPassword” attribute. Αυτός ο hash μπορεί να είναι SSHA512 (παλιές εκδόσεις του FreeIPA) ή PBKDF2_SHA256.
Ο Nthash του κωδικού αποθηκεύεται ως base64 στο “ipaNTHash” αν το σύστημα έχει integration με το AD.
Για να σπάσετε αυτούς τους hashes:
• Αν το freeIPA είναι ενσωματωμένο με το AD, ο ipaNTHash είναι εύκολο να σπάσει: Πρέπει να decode base64 -> να το ξανακωδικοποιήσετε ως ASCII hex -> ο John The Ripper ή το hashcat μπορούν να σας βοηθήσουν να το σπάσετε γρήγορα
• Αν χρησιμοποιείται παλιά έκδοση του FreeIPA, τότε χρησιμοποιείται SSHA512: Πρέπει να αποκωδικοποιήσετε base64 -> να βρείτε τον SSHA512 hash -> ο John The Ripper ή το hashcat μπορούν να σας βοηθήσουν να το σπάσετε
• Αν χρησιμοποιείται νέα έκδοση του FreeIPA, τότε χρησιμοποιείται PBKDF2_SHA256: Πρέπει να αποκωδικοποιήσετε base64 -> να βρείτε PBKDF2_SHA256 -> το length του είναι 256 byte. Ο John μπορεί να δουλέψει με 256 bits (32 byte) -> το SHA-265 χρησιμοποιείται ως η ψευδο-τυχαία συνάρτηση, το μέγεθος μπλοκ είναι 32 byte -> μπορείτε να χρησιμοποιήσετε μόνο τα πρώτα 256 bit του hash PBKDF2_SHA256 -> ο John The Ripper ή το hashcat μπορούν να σας βοηθήσουν να το σπάσετε
Για να εξάγετε τους hashes πρέπει να είστε root στον FreeIPA server, εκεί μπορείτε να χρησιμοποιήσετε το εργαλείο dbscan για να τους εξάγετε:
HBAC-Rules
Υπάρχουν οι κανόνες που παρέχουν συγκεκριμένες άδειες σε χρήστες ή hosts πάνω σε πόρους (hosts, υπηρεσίες, ομάδες υπηρεσιών...)
Sudo-Rules
Το FreeIPA επιτρέπει την κεντρική διαχείριση των sudo permissions μέσω των sudo-rules. Αυτοί οι κανόνες επιτρέπουν ή περιορίζουν την εκτέλεση εντολών με sudo σε hosts εντός του τομέα. Ένας επιτιθέμενος θα μπορούσε δυνητικά να εντοπίσει τους εφαρμοστέους hosts, χρήστες και επιτρεπόμενες εντολές εξετάζοντας αυτά τα σύνολα κανόνων.
Έλεγχος Πρόσβασης Βασισμένος σε Ρόλους
Ένας ρόλος αποτελείται από διάφορα προνόμια, το καθένα από τα οποία περιλαμβάνει μια συλλογή αδειών. Αυτοί οι ρόλοι μπορούν να ανατεθούν σε Χρήστες, Ομάδες Χρηστών, Hosts, Ομάδες Hosts και Υπηρεσίες. Για παράδειγμα, εξετάστε τον προεπιλεγμένο ρόλο “Διαχειριστής Χρηστών” στο FreeIPA για να παραδείξετε αυτή τη δομή.
Ο ρόλος Διαχειριστής Χρηστών έχει αυτά τα προνόμια:
Διαχειριστές Χρηστών
Διαχειριστές Ομάδων
Διαχειριστές Χρηστών Σταδίου
Με τις παρακάτω εντολές είναι δυνατή η απαρίθμηση των ρόλων, προνομίων και αδειών:
Σενάριο Επίθεσης Παράδειγμα
Στο https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e μπορείτε να βρείτε ένα απλό παράδειγμα για το πώς να εκμεταλλευτείτε κάποιες άδειες για να συμβιβάσετε το domain.
Linikatz/LinikatzV2
Privesc
δημιουργία χρήστη root
Αν μπορείτε να δημιουργήσετε έναν νέο χρήστη με το όνομα root, μπορείτε να τον μιμηθείτε και θα μπορείτε να SSH σε οποιαδήποτε μηχανή ως root.
ΑΥΤΟ ΕΧΕΙ ΔΙΟΡΘΩΘΕΙ.
Μπορείτε να ελέγξετε μια λεπτομερή εξήγηση στο https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b
Αναφορές
Last updated
