Giriş

Bu teknik hakkındaki tüm bilgiler için orijinal yazıyı kontrol edin buradan.

Özet olarak: bir kullanıcının/bilgisayarın msDS-KeyCredentialLink özelliğine yazabilirseniz, nesnenin NT hash'ini alabilirsiniz.

Yazıda, genel-özel anahtar kimlik doğrulama kimlik bilgileri kurarak hedefin NTLM hash'ini içeren benzersiz bir Hizmet Bileti elde etmek için bir yöntem açıklanmaktadır. Bu süreç, şifrelenmiş NTLM_SUPPLEMENTAL_CREDENTIAL'ı içeren Privilege Attribute Certificate (PAC) içerir ve bu PAC çözülebilir.

Gereksinimler

Bu teknik uygulanabilmesi için belirli koşulların sağlanması gerekmektedir:

• En az bir Windows Server 2016 Etki Alanı Denetleyicisi gerekmektedir.

• Etki Alanı Denetleyicisi üzerinde bir sunucu kimlik doğrulama dijital sertifikası yüklü olmalıdır.

• Active Directory, Windows Server 2016 İşlevsel Düzeyinde olmalıdır.

• Hedef nesnenin msDS-KeyCredentialLink özelliğini değiştirme yetkisine sahip bir hesap gerekmektedir.

Kötüye Kullanım

Bilgisayar nesneleri için Key Trust'ın kötüye kullanımı, bir Bilet Verme Bileti (TGT) ve NTLM hash'ini elde etmekten öte adımları içerir. Seçenekler şunları içerir:

1. Ayrıcalıklı kullanıcılar olarak hareket etmek için bir RC4 gümüş bileti oluşturma.

2. S4U2Self ile TGT kullanarak ayrıcalıklı kullanıcıları taklit etme, hizmet adına bir hizmet sınıfı eklemek için Hizmet Biletinde değişiklik yapılmasını gerektirir.

Key Trust kötüye kullanımının önemli bir avantajı, saldırgan tarafından oluşturulan özel anahtarla sınırlı olmasıdır. Bu, potansiyel olarak savunmasız hesaplara yetkilendirme yapmadan ve zor kaldırılabilecek bir bilgisayar hesabı oluşturmayı gerektirmez.

Araçlar

### Whisker

Bu saldırı için bir C# arabirimi sağlayan DSInternals'e dayanmaktadır. Whisker ve Python karşılığı olan pyWhisker, msDS-KeyCredentialLink özelliğini manipüle etmek için kullanılır ve Active Directory hesapları üzerinde kontrol sağlar. Bu araçlar, hedef nesneden anahtar kimlik bilgileri eklemeyi, listelemeyi, kaldırmayı ve temizlemeyi içeren çeşitli işlemleri destekler.

Whisker işlevleri şunları içerir:

• Ekle: Bir anahtar çifti oluşturur ve bir anahtar kimlik bilgisi ekler.

• Listele: Tüm anahtar kimlik bilgisi girişlerini görüntüler.

• Kaldır: Belirtilen bir anahtar kimlik bilgisini siler.

• Temizle: Tüm anahtar kimlik bilgilerini siler, meşru WHfB kullanımını bozabilir.

Whisker.exe add /target:computername$ /domain:constoso.local /dc:dc1.contoso.local /path:C:\path\to\file.pfx /password:P@ssword1

pyWhisker

Bu, Whisker işlevselliğini UNIX tabanlı sistemlere genişletir ve Impacket ve PyDSInternals'i kullanarak kapsamlı saldırı yetenekleri sağlar. Bu yetenekler arasında KeyCredentials'ın listelenmesi, ekleme ve kaldırma işlemleri ile JSON formatında içe aktarma ve dışa aktarma bulunur.

python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "list"

ShadowSpray

ShadowSpray, geniş kullanıcı gruplarının etki alanı nesneleri üzerinde sahip olabileceği GenericWrite/GenericAll izinlerini sömürerek ShadowCredentials'ı geniş kapsamda uygulamayı amaçlar. Bu, etki alanına giriş yapmayı, etki alanının işlevsel seviyesini doğrulamayı, etki alanı nesnelerini numaralandırmayı ve TGT edinimi ve NT hash açığa çıkarmak için KeyCredentials eklemeyi denemeyi içerir. Temizleme seçenekleri ve özyinelemeli sömürü taktikleri, kullanışlılığını artırır.

Referanslar

• https://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab

• https://github.com/eladshamir/Whisker

• https://github.com/Dec0ne/ShadowSpray/

• https://github.com/ShutdownRepo/pywhisker