Shadow Credentials
Вступ
Перевірте оригінальний пост для всієї інформації про цей метод.
Як короткий огляд: якщо ви можете записувати в властивість msDS-KeyCredentialLink користувача/комп'ютера, ви можете отримати NT-хеш цього об'єкта.
У пості описано метод налаштування публічно-приватних аутентифікаційних облікових даних для отримання унікального Сервісного квитка, який містить NTLM-хеш цілі. Цей процес включає зашифрований NTLM_SUPPLEMENTAL_CREDENTIAL у Свідоцтві про привілеї (PAC), який можна розшифрувати.
Вимоги
Для застосування цього методу необхідно виконати певні умови:
Потрібен принаймні один контролер домену Windows Server 2016.
На контролері домену повинен бути встановлений цифровий сертифікат аутентифікації сервера.
Активний каталог повинен бути на рівні функціональності Windows Server 2016.
Потрібен обліковий запис з делегованими правами на зміну властивості msDS-KeyCredentialLink цільового об'єкта.
Зловживання
Зловживання довіри до ключа для об'єктів комп'ютера охоплює кроки, які виходять за межі отримання Квитка для надання прав (TGT) та NTLM-хешу. Опції включають:
Створення срібного квитка RC4 для дії як привілейовані користувачі на цільовому хості.
Використання TGT з S4U2Self для імітації привілейованих користувачів, що потребує змін у Сервісному квитку для додавання класу служби до назви служби.
Значним перевагою зловживання довіри до ключа є обмеження на приватний ключ, створений зловмисником, уникнення делегування потенційно вразливим обліковим записам та відсутність необхідності створення облікового запису комп'ютера, що може бути складним для видалення.
Інструменти
### Whisker
Це базується на DSInternals, надаючи інтерфейс C# для цього атаки. Whisker та його Python аналог, pyWhisker, дозволяють маніпулювати властивістю msDS-KeyCredentialLink
, щоб отримати контроль над обліковими записами Active Directory. Ці інструменти підтримують різні операції, такі як додавання, перелік, видалення та очищення ключових облікових даних з цільового об'єкта.
Функції Whisker включають:
Додати: Генерує пару ключів та додає ключові облікові дані.
Список: Показує всі записи ключових облікових даних.
Видалити: Видаляє вказані ключові облікові дані.
Очистити: Стирає всі ключові облікові дані, що може порушити законне використання WHfB.
Він розширює функціональність Whisker на системи на базі UNIX, використовуючи Impacket та PyDSInternals для комплексних можливостей експлуатації, включаючи перелік, додавання та видалення KeyCredentials, а також їх імпорт та експорт у форматі JSON.
ShadowSpray має на меті експлуатувати права GenericWrite/GenericAll, які можуть мати широкі групи користувачів над об'єктами домену, щоб широко застосовувати ShadowCredentials. Це передбачає вхід в домен, перевірку функціонального рівня домену, перелік об'єктів домену та спробу додати KeyCredentials для отримання TGT та розкриття NT-хешу. Опції очищення та тактики рекурсивної експлуатації підвищують його корисність.
References
Last updated