Kerberos Double Hop Problem
Wprowadzenie
Problem "podwójnego skoku" Kerberos pojawia się, gdy atakujący próbuje użyć uwierzytelnienia Kerberos w dwóch skokach, na przykład za pomocą PowerShell/WinRM.
Gdy uwierzytelnienie zachodzi za pomocą Kerberos, poświadczenia nie są przechowywane w pamięci. Dlatego jeśli uruchomisz mimikatz, nie znajdziesz poświadczeń użytkownika na maszynie, nawet jeśli uruchamia procesy.
Dzieje się tak, ponieważ podczas łączenia się za pomocą Kerberos zachodzą następujące kroki:
Użytkownik1 podaje poświadczenia, a kontroler domeny zwraca użytkownikowi1 TGT Kerberos.
Użytkownik1 używa TGT do żądania biletu usługi w celu połączenia z Serwerem1.
Użytkownik1 łączy się z Serwerem1 i dostarcza bilet usługi.
Serwer1 nie ma przechowywanych poświadczeń użytkownika1 ani TGT użytkownika1. Dlatego gdy Użytkownik1 z Serwera1 próbuje zalogować się na drugi serwer, nie jest w stanie się uwierzytelnić.
Nieograniczone przekazywanie
Jeśli jest włączone nieograniczone przekazywanie na PC, to nie wystąpi ten problem, ponieważ Serwer otrzyma TGT każdego użytkownika, który się do niego łączy. Ponadto, jeśli jest używane nieograniczone przekazywanie, prawdopodobnie można skompromitować kontroler domeny z niego. Więcej informacji na stronie dotyczącej nieograniczonego przekazywania.
CredSSP
Innym sposobem uniknięcia tego problemu, który jest zauważalnie niebezpieczny, jest Dostawca Obsługi Bezpieczeństwa Poświadczeń. Według Microsoftu:
Uwierzytelnianie CredSSP przekazuje poświadczenia użytkownika z komputera lokalnego do zdalnego komputera. Ta praktyka zwiększa ryzyko bezpieczeństwa operacji zdalnych. Jeśli zdalny komputer zostanie skompromitowany, gdy poświadczenia zostaną do niego przekazane, poświadczenia mogą być użyte do kontrolowania sesji sieciowej.
Zaleca się wyłączenie CredSSP na systemach produkcyjnych, wrażliwych sieciach i podobnych środowiskach ze względów bezpieczeństwa. Aby sprawdzić, czy CredSSP jest włączone, można uruchomić polecenie Get-WSManCredSSP
. Polecenie to pozwala na sprawdzenie stanu CredSSP i może być nawet wykonane zdalnie, o ile jest włączone WinRM.
Metody obejścia
Wywołanie polecenia
Aby rozwiązać problem podwójnego skoku, przedstawiona jest metoda wykorzystująca zagnieżdżone polecenie Invoke-Command
. Nie rozwiązuje to problemu bezpośrednio, ale oferuje obejście bez konieczności stosowania specjalnych konfiguracji. Podejście to pozwala na wykonanie polecenia (hostname
) na drugim serwerze za pomocą polecenia PowerShell wykonanego z początkowego atakującego komputera lub poprzez wcześniej ustanowioną sesję PS-Session z pierwszym serwerem. Oto jak to się robi:
Alternatywnie, ustanowienie sesji PS z pierwszym serwerem i uruchomienie polecenia Invoke-Command
przy użyciu $cred
jest sugerowane do scentralizowania zadań.
Zarejestruj konfigurację sesji PS
Rozwiązaniem umożliwiającym obejście problemu podwójnego skoku jest użycie Register-PSSessionConfiguration
z Enter-PSSession
. Ta metoda wymaga innego podejścia niż evil-winrm
i pozwala na sesję, która nie cierpi z powodu ograniczenia podwójnego skoku.
Przekierowywanie portów
Dla administratorów lokalnych na docelowym pośrednim serwerze, przekierowywanie portów pozwala na przesyłanie żądań do ostatecznego serwera. Korzystając z netsh
, można dodać regułę przekierowywania portów, wraz z regułą zapory systemu Windows, aby zezwolić na przekierowany port.
winrs.exe
winrs.exe
może być używany do przekazywania żądań WinRM, potencjalnie jako mniej wykrywalna opcja, jeśli obawiasz się monitorowania PowerShell. Poniższe polecenie demonstruje jego użycie:
OpenSSH
Instalowanie OpenSSH na pierwszym serwerze umożliwia obejście problemu podwójnego skoku, szczególnie przydatne w scenariuszach skrzynki skokowej. Ta metoda wymaga instalacji wiersza poleceń i konfiguracji OpenSSH dla systemu Windows. Po skonfigurowaniu uwierzytelniania hasłem, pozwala to serwerowi pośredniemu na uzyskanie TGT w imieniu użytkownika.
Kroki instalacji OpenSSH
Pobierz i przenieś najnowszy plik zip z wydaniem OpenSSH na serwer docelowy.
Rozpakuj i uruchom skrypt
Install-sshd.ps1
.Dodaj regułę zapory sieciowej, aby otworzyć port 22 i sprawdź, czy usługi SSH są uruchomione.
Aby rozwiązać błędy Connection reset
, uprawnienia mogą wymagać aktualizacji, aby umożliwić wszystkim odczyt i wykonanie dostępu do katalogu OpenSSH.
Odnośniki
Last updated