Shadow Credentials
Wprowadzenie
Sprawdź oryginalny post, aby uzyskać wszystkie informacje na temat tej techniki.
Podsumowując: jeśli możesz zapisać do właściwości msDS-KeyCredentialLink użytkownika/komputera, możesz odzyskać hash NT tego obiektu.
W poście opisana jest metoda konfiguracji uwierzytelniania klucza publicznego-prywatnego w celu uzyskania unikalnego biletu usługi, który zawiera hash NTLM docelowego obiektu. Proces ten obejmuje zaszyfrowane NTLM_SUPPLEMENTAL_CREDENTIAL w ramach Certyfikatu Atrybutu Uprawnień (PAC), które można odszyfrować.
Wymagania
Aby zastosować tę technikę, muszą zostać spełnione pewne warunki:
Wymagany jest co najmniej jeden kontroler domeny Windows Server 2016.
Kontroler domeny musi mieć zainstalowany certyfikat uwierzytelniania serwera.
Katalog Active Directory musi mieć poziom funkcjonalności Windows Server 2016.
Wymagane jest konto z uprawnieniami do modyfikowania atrybutu msDS-KeyCredentialLink obiektu docelowego.
Nadużycie
Nadużycie Key Trust dla obiektów komputerowych obejmuje kroki poza uzyskaniem Biletu Grantowego (TGT) i hasha NTLM. Opcje obejmują:
Tworzenie srebrnego biletu RC4 w celu działania jako uprzywilejowani użytkownicy na docelowym hoście.
Użycie TGT z S4U2Self do podszycia się pod uprzywilejowanych użytkowników, co wymaga zmian w Bilecie Usługi w celu dodania klasy usługi do nazwy usługi.
Znaczącą zaletą nadużycia Key Trust jest ograniczenie do prywatnego klucza wygenerowanego przez atakującego, unikając delegacji do potencjalnie podatnych kont i nie wymagając tworzenia konta komputera, co mogłoby być trudne do usunięcia.
Narzędzia
### Whisker
Opiera się na DSInternals i zapewnia interfejs C# do tego ataku. Whisker i jego odpowiednik w języku Python, pyWhisker, umożliwiają manipulację atrybutem msDS-KeyCredentialLink
, aby uzyskać kontrolę nad kontami Active Directory. Narzędzia te obsługują różne operacje, takie jak dodawanie, wyświetlanie, usuwanie i czyszczenie kluczowych poświadczeń z obiektu docelowego.
Funkcje Whisker obejmują:
Dodaj: Generuje parę kluczy i dodaje kluczowe poświadczenie.
Lista: Wyświetla wszystkie wpisy kluczowych poświadczeń.
Usuń: Usuwa określone kluczowe poświadczenie.
Wyczyść: Usuwa wszystkie kluczowe poświadczenia, potencjalnie zakłócając prawidłowe korzystanie z WHfB.
Rozszerza funkcjonalność Whisker na systemy oparte na UNIX, wykorzystując Impacket i PyDSInternals do kompleksowych możliwości eksploatacji, w tym listowania, dodawania i usuwania KeyCredentials, a także importowania i eksportowania ich w formacie JSON.
ShadowSpray ma na celu wykorzystanie uprawnień GenericWrite/GenericAll, które szerokie grupy użytkowników mogą mieć wobec obiektów domeny w celu szerokiego zastosowania ShadowCredentials. Polega to na zalogowaniu się do domeny, sprawdzeniu poziomu funkcjonalnego domeny, wyliczeniu obiektów domeny i próbie dodania KeyCredentials w celu uzyskania TGT i ujawnienia skrótu NT. Opcje czyszczenia i taktyki rekurencyjnego wykorzystania zwiększają jego użyteczność.
Referencje
Last updated