FreeIPA Pentesting
Informações Básicas
O FreeIPA é uma alternativa de código aberto ao Active Directory da Microsoft, principalmente para ambientes Unix. Ele combina um diretório LDAP completo com um Centro de Distribuição de Chaves MIT Kerberos para gerenciamento semelhante ao Active Directory. Utilizando o Sistema de Certificados Dogtag para gerenciamento de certificados CA & RA, ele suporta autenticação multi-fator, incluindo cartões inteligentes. O SSSD é integrado para processos de autenticação Unix.
Impressões Digitais
Arquivos e Variáveis de Ambiente
O arquivo em
/etc/krb5.conf
é onde as informações do cliente Kerberos, necessárias para a inscrição no domínio, são armazenadas. Isso inclui as localizações dos KDCs e servidores de administração, configurações padrão e mapeamentos.As configurações padrão do sistema para clientes e servidores IPA são definidas no arquivo localizado em
/etc/ipa/default.conf
.Os hosts dentro do domínio devem ter um arquivo
krb5.keytab
em/etc/krb5.keytab
para processos de autenticação.Várias variáveis de ambiente (
KRB5CCNAME
,KRB5_KTNAME
,KRB5_CONFIG
,KRB5_KDC_PROFILE
,KRB5RCACHETYPE
,KRB5RCACHEDIR
,KRB5_TRACE
,KRB5_CLIENT_KTNAME
,KPROP_PORT
) são usadas para apontar para arquivos específicos e configurações relevantes para autenticação Kerberos.
Binários
Ferramentas como ipa
, kdestroy
, kinit
, klist
, kpasswd
, ksu
, kswitch
e kvno
são essenciais para gerenciar domínios FreeIPA, lidar com tickets Kerberos, alterar senhas e adquirir tickets de serviço, entre outras funcionalidades.
Rede
Uma ilustração é fornecida para representar uma configuração típica de servidor FreeIPA.
Autenticação
A autenticação no FreeIPA, aproveitando o Kerberos, espelha a do Active Directory. O acesso a recursos do domínio requer um ticket Kerberos válido, que pode ser armazenado em vários locais, dependendo da configuração do domínio FreeIPA.
Arquivos de Ticket CCACHE
Os arquivos CCACHE, armazenados tipicamente em /tmp
com permissões 600, são formatos binários para armazenar credenciais Kerberos, importantes para autenticação sem a senha em texto simples do usuário devido à sua portabilidade. Analisar um ticket CCACHE pode ser feito usando o comando klist
, e reutilizar um Ticket CCACHE válido envolve exportar KRB5CCNAME
para o caminho do arquivo de ticket.
Chaveiro Unix
Alternativamente, os Tickets CCACHE podem ser armazenados no chaveiro do Linux, oferecendo mais controle sobre o gerenciamento de tickets. O escopo de armazenamento de tickets varia (KEYRING:nome
, KEYRING:processo:nome
, KEYRING:thread:nome
, KEYRING:sessão:nome
, KEYRING:persistente:uidnúmero
), com klist
capaz de analisar essas informações para o usuário. No entanto, reutilizar um Ticket CCACHE do chaveiro Unix pode apresentar desafios, com ferramentas como Tickey disponíveis para extrair tickets Kerberos.
Keytab
Arquivos Keytab, contendo princípios Kerberos e chaves criptografadas, são críticos para obter tickets de concessão de tickets (TGT) válidos sem precisar da senha do princípio. Analisar e reutilizar credenciais de arquivos Keytab pode ser facilmente realizado com utilitários como klist
e scripts como KeytabParser.
Cheatsheet
Você pode encontrar mais informações sobre como usar tickets no Linux no seguinte link:
pageLinux Active DirectoryEnumeração
Você pode realizar a enumeração via ldap e outras ferramentas binárias, ou conectando-se à página da web na porta 443 do servidor FreeIPA.
Hosts, Usuários e Grupos
É possível criar hosts, usuários e grupos. Hosts e usuários são classificados em contêineres chamados "Grupos de Hosts" e "Grupos de Usuários" respectivamente. Esses são semelhantes às Unidades Organizacionais (OU).
Por padrão no FreeIPA, o servidor LDAP permite ligações anônimas, e uma grande quantidade de dados é enumerável não autenticada. Isso pode enumerar todos os dados disponíveis não autenticados:
Para obter mais informações, você precisa usar uma sessão autenticada (verifique a seção de Autenticação para aprender como preparar uma sessão autenticada).
A partir de uma máquina integrada ao domínio, você poderá usar binários instalados para enumerar o domínio:
O usuário admin do FreeIPA é equivalente aos administradores de domínio do AD.
Hashes
O usuário root do servidor IPA tem acesso aos hashes de senha.
O hash da senha de um usuário é armazenado como base64 no atributo "userPassword". Esse hash pode ser SSHA512 (versões antigas do FreeIPA) ou PBKDF2_SHA256.
O Nthash da senha é armazenado como base64 em "ipaNTHash" se o sistema tiver integração com o AD.
Para quebrar esses hashes:
Se o FreeIPA estiver integrado com o AD, o ipaNTHash é fácil de quebrar: Você deve decodificar o base64 -> re-codificá-lo como hexadecimal ASCII -> John The Ripper ou hashcat podem ajudar a quebrá-lo rapidamente.
Se uma versão antiga do FreeIPA for usada, então o SSHA512 é usado: Você deve decodificar o base64 -> encontrar o hash SSHA512 -> John The Ripper ou hashcat podem ajudar a quebrá-lo.
Se uma nova versão do FreeIPA for usada, então o PBKDF2_SHA256 é usado: Você deve decodificar o base64 -> encontrar o PBKDF2_SHA256 -> seu comprimento é de 256 bytes. O John pode trabalhar com 256 bits (32 bytes) -> SHA-265 é usado como a função pseudo-aleatória, o tamanho do bloco é de 32 bytes -> você pode usar apenas os primeiros 256 bits do nosso hash PBKDF2_SHA256 -> John The Ripper ou hashcat podem ajudar a quebrá-lo.
Para extrair os hashes, você precisa ser root no servidor FreeIPA, lá você pode usar a ferramenta dbscan
para extraí-los:
Regras HBAC
São regras que concedem permissões específicas a usuários ou hosts sobre recursos (hosts, serviços, grupos de serviços...).
Regras do Sudo
O FreeIPA permite controle centralizado sobre as permissões do sudo via regras do sudo. Essas regras permitem ou limitam a execução de comandos com sudo em hosts dentro do domínio. Um atacante poderia potencialmente identificar os hosts aplicáveis, usuários e comandos permitidos examinando esses conjuntos de regras.
Controle de Acesso Baseado em Função
Um papel é composto por vários privilégios, cada um dos quais engloba uma coleção de permissões. Esses papéis podem ser atribuídos a Usuários, Grupos de Usuários, Hosts, Grupos de Hosts e Serviços. Por exemplo, considere o papel padrão de "Administrador de Usuário" no FreeIPA para exemplificar essa estrutura.
O papel Administrador de Usuário
possui esses privilégios:
Administradores de Usuários
Administradores de Grupos
Administradores de Usuários de Estágio
Com os seguintes comandos é possível enumerar os papéis, privilégios e permissões:
Exemplo de Cenário de Ataque
Em https://posts.specterops.io/attacking-freeipa-part-iii-finding-a-path-677405b5b95e você pode encontrar um exemplo simples de como abusar de algumas permissões para comprometer o domínio.
Linikatz/LinikatzV2
Privesc
Criação de usuário root
Se você puder criar um novo usuário com o nome root
, você pode se passar por ele e será capaz de fazer SSH em qualquer máquina como root.
ISSO FOI CORRIGIDO.
Você pode conferir uma explicação detalhada em https://posts.specterops.io/attacking-freeipa-part-iv-cve-2020-10747-7c373a1bf66b
Referências
Last updated