Категория > Новости > Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен - «Новости»

Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен - «Новости»

15-04-2020, 16:03. Автор: Валентин

Представь, что мы скомпрометировали привилегированные учетные записи, используя разные техники повышения привилегий, распространились по сети, скрылись от средств обнаружения, но неожиданно потеряли контроль над доменом, потому что администратор по какой-то причине сменил пароль! В сегодняшней статье мы разберем способы сохранить административный доступ, даже если администратор сменил пароли или разрешения.

Другие статьи про атаки на Active Directory

Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий

Атаки на Active Directory. Разбираем актуальные методы повышения привилегий

Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен

Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен

Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен

Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен

Закрепляемся в Active Directory. Как сохранить доступ при атаке на домен - «Новости»

WARNING
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Kerberos Golden Tickets

Один из способов сохранить доступ к системе — сформировать Golden Ticket: пароль учетной записи krbtgt РЅРµ Р±СѓРґРµС‚ РёР·РјРµРЅРµРЅ РїСЂРё С‚РµС… Р¶Рµ СѓСЃР»РѕРІРёСЏС…, РїСЂРё РєРѕС‚РѕСЂС‹С… РјРѕР¶РµС‚ Р±С‹С‚СЊ РёР·РјРµРЅРµРЅ РїР°СЂРѕР»СЊ Р°РґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂР°.

Golden Ticket вЂ” СЌС‚Рѕ РїРѕРґРґРµР»СЊРЅС‹Рµ Р±РёР»РµС‚С‹ РґР»СЏ РІС‹РґР°С‡Рё Р±РёР»РµС‚РѕРІ, С‚Р°РєР¶Рµ РЅР°Р·С‹РІР°РµРјС‹Рµ Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРѕРЅРЅС‹РјРё Р±РёР»РµС‚Р°РјРё (РѕРЅРё Р¶Рµ TGT). Р•СЃР»Рё РїРѕСЃРјРѕС‚СЂРµС‚СЊ РЅР° СЃС…РµРјСѓ Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё Kerberos РІ СЃР»СѓС‡Р°Рµ Golden Ticket, С‚Рѕ РјРѕР¶РЅРѕ Р·Р°РјРµС‚РёС‚СЊ, С‡С‚Рѕ РїРѕРґР»РёРЅРЅРѕСЃС‚СЊ Kerberos РЅРµ РїСЂРѕРІРµСЂСЏРµС‚СЃСЏ (AS-REQ Рё AS-REP СЃ РєРѕРЅС‚СЂРѕР»Р»РµСЂРѕРј РґРѕРјРµРЅР°). РўР°Рє РєР°Рє Golden Ticket СЏРІР»СЏРµС‚СЃСЏ РїРѕРґРґРµР»СЊРЅС‹Рј TGT, РѕРЅ РѕС‚РїСЂР°РІР»СЏРµС‚СЃСЏ РєРѕРЅС‚СЂРѕР»Р»РµСЂСѓ РґРѕРјРµРЅР° РєР°Рє С‡Р°СЃС‚СЊ TGS-REQ РґР»СЏ РїРѕР»СѓС‡РµРЅРёСЏ Р±РёР»РµС‚Р° TGS.

РЎС…РµРјР° Р°СѓС‚РµРЅС‚РёС„РёРєР°С†РёРё Kerberos c Golden Ticket

Р—РѕР»РѕС‚РѕР№ Р±РёР»РµС‚ Kerberos вЂ” РґРµР№СЃС‚РІРёС‚РµР»СЊРЅС‹Р№ Р±РёР»РµС‚ Kerberos TGT, РїРѕСЃРєРѕР»СЊРєСѓ РѕРЅ Р·Р°С€РёС„СЂРѕРІР°РЅ Рё РїРѕРґРїРёСЃР°РЅ РґРѕРјРµРЅРЅРѕР№ СѓС‡РµС‚РЅРѕР№ Р·Р°РїРёСЃСЊСЋ Kerberos (krbtgt). А так как TGT зашифрован хешем пароля krbtgt Рё РјРѕР¶РµС‚ Р±С‹С‚СЊ СЂР°СЃС€РёС„СЂРѕРІР°РЅ Р»СЋР±РѕР№ СЃР»СѓР¶Р±РѕР№ KDC РІ РґРѕРјРµРЅРµ, С‚Рѕ Р±РёР»РµС‚ Рё РІРѕСЃРїСЂРёРЅРёРјР°РµС‚СЃСЏ РєР°Рє СЂРµР°Р»СЊРЅС‹Р№. Р”Р»СЏ С‚РѕРіРѕ С‡С‚РѕР±С‹ СЃРґРµР»Р°С‚СЊ Golden Ticket, РЅР°Рј РЅРµРѕР±С…РѕРґРёРјРѕ Р·РЅР°С‚СЊ СЃР»РµРґСѓСЋС‰РµРµ:

SPN РґРѕРјРµРЅР°.

SID РґРѕРјРµРЅР°.

NTLM-С…РµС€ РґРѕРјРµРЅРЅРѕР№ СѓС‡РµС‚РЅРѕР№ Р·Р°РїРёСЃРё krbtgt.

Имя пользователя, под которым будет работать оператор (даже если такого пользователя не существует).

Так как имя пользователя можно использовать любое, остается найти три недостающих компонента. Название и SID домена можно узнать с помощью PowerShell-команды Get-ADDomain.

РўРµРїРµСЂСЊ РЅСѓР¶РЅРѕ РїРѕР»СѓС‡РёС‚СЊ NTLM-С…РµС€ СѓС‡РµС‚РЅРѕР№ Р·Р°РїРёСЃРё krbtgt. Сделать это можно как удаленно, так и с помощью mimikatz. С использованием mimikatz у оператора есть выбор: выполнить атаку DCSync, используя базу Security Account Managers (SAM), или задействовать модуль sekurlsa.

mimikatz # lsadump::dcsync /user:krbtgt

Получаем хеши с помощью mimikatz, используя атаку DCSync

mimikatz # privilege::debug
mimikatz # lsadump::lsa /inject /name:krbtgt

Получаем хеши с помощью mimikatz, используя базу SAM

mimikatz # sekurlsa::krbtgt

Получаем хеши с помощью mimikatz, используя модуль sekurlsa

Удаленная атака выполняется также с использованием DCSync или при наличии открытой сессии meterpreter.

impacket-secretsdump domain.dom/root@192.168.6.100

Получение хешей с помощью secretsdump

Существует два варианта использования meterpreter: РїСЂРё РїРѕРјРѕС‰Рё hashdump и dcsync_ntlm (РґР»СЏ РІС‚РѕСЂРѕРіРѕ РЅСѓР¶РЅРѕ Р·Р°РіСЂСѓР·РёС‚СЊ РјРѕРґСѓР»СЊ kiwi).

РџРѕР»СѓС‡РµРЅРёРµ С…РµС€РµР№ СЃ РїРѕРјРѕС‰СЊСЋ meterpreter hashdump

РџРѕР»СѓС‡РµРЅРёРµ С…РµС€РµР№ СЃ РїРѕРјРѕС‰СЊСЋ meterpreter dcsync_ntlm

РЎ РїРѕРјРѕС‰СЊСЋ РїРѕР»СѓС‡РµРЅРЅРѕР№ РёРЅС„РѕСЂРјР°С†РёРё РјРѕР¶РЅРѕ СЃРѕР·РґР°С‚СЊ Рё РїСЂРёРјРµРЅРёС‚СЊ Golden Ticket. РЎРґРµР»Р°РµРј СЌС‚Рѕ С‚СЂРµРјСЏ СЃРїРѕСЃРѕР±Р°РјРё: РёСЃРїРѕР»СЊР·СѓСЏ mimikatz, СѓРґР°Р»РµРЅРЅРѕ СЃ РїРѕРјРѕС‰СЊСЋ ticketer и с использованием meterpreter.

Ticketer

РџРµСЂРІС‹Рј РґРµР»РѕРј СЃР»РµРґСѓРµС‚ СЃРѕР·РґР°С‚СЊ Р±РёР»РµС‚. Р”Р»СЏ СЌС‚РѕРіРѕ РёСЃРїРѕР»СЊР·СѓРµРј СЃРєСЂРёРїС‚ ticketer из пакета impacket (РЅР°РїРѕРјРЅСЋ, С‡С‚Рѕ РёРјСЏ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏ РјРѕР¶РЅРѕ РІС‹РґСѓРјР°С‚СЊ Р»СЋР±РѕРµ).

impacket-ticketer -nthash 08f5bf2e292d77d8e460d3926a0d90de -domain-sid S-1-5-21-719111203-942671344-1831409528 -domain domain.dom anyuser

Создание Golden Ticket с помощью ticketer

В текущей директории создан билет anyuser.ccache. РРєСЃРїРѕСЂС‚РёСЂСѓРµРј РµРіРѕ.

export KRB5CCNAME=anyuser.ccache

Теперь подключимся с помощью psexec РёР· С‚РѕРіРѕ Р¶Рµ РїР°РєРµС‚Р° impacket.

python3 psexec.py -k -no-pass [РґРѕРјРµРЅ]/[РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ]@[РёРјСЏ С…РѕСЃС‚Р°]

Подключаемся к хосту, используя golden ticket

Получаем удаленное управление с правами SYSTEM.

Mimikatz

РЎРѕР·РґР°РґРёРј РїРѕРґРґРµР»СЊРЅС‹Р№ Р·РѕР»РѕС‚РѕР№ Р±РёР»РµС‚ СЃ РїРѕРјРѕС‰СЊСЋ mimikatz.

Р•СЃР»Рё РІ РґР°РЅРЅРѕР№ РєРѕРјР°РЅРґРµ РЅРµ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊ РїР°СЂР°РјРµС‚СЂ /ptt, то билет будет просто сохранен в текущей директории. В данном случае он сразу будет кеширован в памяти. Давай проверим это, вызвав командную строку.

mimikatz # misc::cmd

Теперь, выполнив команду klist, РЅР°Р±Р»СЋРґР°РµРј РєРµС€РёСЂРѕРІР°РЅРЅС‹Р№ Golden Ticket.

Meterpreter

Р”Р»СЏ СЂР°Р±РѕС‚С‹ СЃ meterpreter будем использовать модуль kiwi. Первым делом создадим Golden Ticket.

Создание Golden Ticket с помощью meterpreter

Теперь применим его.

Применение Golden Ticket с помощью meterpreter

И проверим, что билет успешно загружен.

Загруженный Golden Ticket

Таким образом, у нас остается возможность работы с повышенными привилегиями, при этом мы не используем учетных данных администраторов. Это означает, что мы можем получить доступ всегда, даже при смене паролей пользователей, изменении их ролей и даже при удалении скомпрометированных учетных записей.

Перейти обратно к новости