Shadow Credentials
Uvod
Proverite originalni post za sve informacije o ovoj tehnici.
Ukratko: ako možete pisati u svojstvo msDS-KeyCredentialLink korisnika/računara, možete dobiti NT hash tog objekta.
U postu je opisan metod za podešavanje javno-privatnih ključeva za autentifikaciju kako bi se dobio jedinstveni Service Ticket koji uključuje NTLM hash cilja. Ovaj proces uključuje šifrovanje NTLM_SUPPLEMENTAL_CREDENTIAL unutar Privilege Attribute Certificate (PAC), koji se može dešifrovati.
Zahtevi
Da biste primenili ovu tehniku, moraju se ispuniti određeni uslovi:
Potreban je najmanje jedan Windows Server 2016 Domain Controller.
Domain Controller mora imati instaliran digitalni sertifikat za server autentifikaciju.
Active Directory mora biti na Windows Server 2016 Functional Level.
Potreban je nalog sa delegiranim pravima za izmenu atributa msDS-KeyCredentialLink ciljnog objekta.
Zloupotreba
Zloupotreba Key Trust-a za računarske objekte obuhvata korake koji idu dalje od dobijanja Ticket Granting Ticket (TGT) i NTLM hasha. Opcije uključuju:
Kreiranje RC4 silver ticket-a kako bi se delovalo kao privilegovani korisnici na ciljanom hostu.
Korišćenje TGT-a sa S4U2Self za impersonaciju privilegovanih korisnika, što zahteva izmene na Service Ticket-u kako bi se dodala klasa servisa imenu servisa.
Značajna prednost zloupotrebe Key Trust-a je ograničenje na privatni ključ koji generiše napadač, izbegavajući delegaciju potencijalno ranjivim nalozima i ne zahteva kreiranje računara, što može biti teško ukloniti.
Alati
### Whisker
Zasnovan na DSInternals-u, pruža C# interfejs za ovaj napad. Whisker i njegov Python pandan, pyWhisker, omogućavaju manipulaciju atributom msDS-KeyCredentialLink
kako bi se preuzela kontrola nad Active Directory nalozima. Ovi alati podržavaju različite operacije kao što su dodavanje, listanje, uklanjanje i brisanje ključnih akreditacija sa ciljnog objekta.
Funkcije Whisker-a uključuju:
Add: Generiše par ključeva i dodaje ključne akreditacije.
List: Prikazuje sve unose ključnih akreditacija.
Remove: Briše određene ključne akreditacije.
Clear: Briše sve ključne akreditacije, potencijalno ometajući legitimnu upotrebu WHfB.
Proširuje funkcionalnost Whiskera na UNIX-baziranim sistemima, koristeći Impacket i PyDSInternals za sveobuhvatne mogućnosti iskorišćavanja, uključujući listanje, dodavanje i uklanjanje KeyCredentials, kao i njihovo uvoz i izvoz u JSON formatu.
ShadowSpray ima za cilj da iskoristi dozvole GenericWrite/GenericAll koje široke grupe korisnika mogu imati nad objektima domena kako bi široko primenio ShadowCredentials. To podrazumeva prijavljivanje na domen, proveru funkcionalnog nivoa domena, enumeraciju objekata domena i pokušaj dodavanja KeyCredentials za dobijanje TGT-a i otkrivanje NT hash-a. Opcije za čišćenje i taktike rekurzivnog iskorišćavanja poboljšavaju njegovu korisnost.
Reference
Last updated