Rubeusを使用したKerberos攻撃の理解。パート2

こんにちは！



これは、Kerberosプロトコル攻撃ツールであるRubeusの機能に関する記事の2番目の部分です。最初はここで読むことができます。今回は、このツールを使用して次の攻撃を実装する方法を見ていきます。


• Overpass The Hash / Pass The Key（PTK）;
• チケットを渡す;
• 制約のない委任;
• 制約付き委任。

これらの攻撃が可能である理由、それらの実装のメカニズム、存在する原理、Kerberosの中心にある原理（たとえば、Jet Infosystemの同僚が分析した優れた記事を公開しているなど）についてはすでに多くの記事が書かれているので、私の資料では、攻撃の実装に焦点を当てますRubeusを使用します。



Rubeusは、攻撃を実行してKerberosと対話するための「アクション」に加えて、クリアテキストのパスワードに基づいてNTLMハッシュを計算できるため、非常に便利で便利な場合があります。







これで小さな叙情的な余談が終わりました。本題に戻りましょう。記事の最初の部分が公開されて

以来、攻撃を実行するためのテストベンチは変更されていません。

Overpass The Hash / Pass The Key（PTK）

—



Pass-the-hash — . , NTLM LM.

しかし、ネットワークでNTLMまたはLM認証が無効になっていて、Kerberos認証のみが使用されており、パスワードハッシュがある場合はどうでしょうか。これがOverpass-the-hashの出番です。ユーザーのパスワードハッシュを使用して、RubeusはそのアカウントのTGTを要求できます。



Barsikが情報セキュリティの問題を調査することを決めたドメインユーザーは次のとおりです。ADadminドメイン管理者パスワードのハッシュを入手し、Rubeusをダウンロードし、スマートな記事を読んで、それを実践しようとしています。







キャッシュされたチケットもドメインコントローラーへのアクセス権もないことがわかりますが、BarsikはADubeアカウントの既存のパスワードハッシュに基づいて有効なTGTチケットを取得するためにDC-16.meow.local、「アクション」asktgtと引数/domain, /user, /rc4, /pttでRubeusを起動します。/ptt受信したチケットをすぐにBarsikユーザーの現在のセッションにアップロードします。







チケットを受信して​​アップロードすると、BarsikはAdadminとしてドメインコントローラーに再度ログインしようとします。







そして今回は彼はそれを成功させています。

チケットを渡す（PTT）

この攻撃はOverpass-the-hash / Pass-the-keyに似ており、攻撃者はドメインユーザーチケット（できればドメインで最大の権限を持つ）を取得して現在のセッションにロードしようとします。 TGTチケットを取得する1つの方法は、プロセスlsass.exe（ローカルセキュリティ認証サーバー）から現在のドメインマシンのローカルにチケットをダンプすることです。これを行うには、ローカル管理者特権、またはNT AUTHORITY / SYSTEMが必要です。 Rubeusはlsassに保存されているチケットをダンプアクションでダンプできます。トリアージアクションは、現在システムに保存されているチケットを示します。











Rubeusはlsassエンコードされたチケットをアンロードしbase64ますが、ツール自体は受信したbase64チケットをに保存する方法に関するメモを持ってい.kirbiます。







チケットを保存して現在のユーザーセッションにインポートします。







スクリーンショットからわかるように、ADadminチケットは正常に読み込まれ、ADadmin DC-16.meow.local に代わってドメインコントローラーのCドライブの内容を表示できます。

制約のない委任

制約のない委任は、ユーザーまたはコンピューターアカウントに付与できるドメイン権限です。これにより、アカウントはネットワーク上のサービスに対して別のアカウントとして認証できます。



次に、テストベンチを少し調整して、無制限の委任を有効にします。BARSCOMPコンピュータに無制限の委任の特権を与えましょう。







Active Directoryドメインのセキュリティテストを実施する段階の1つは、委任が有効になっているアカウントを検索することです。通常、これらの目的にはPowerviewが使用されますが、標準のActiveDirectoryモジュールを使用して手動で行うこともできます。







この攻撃を実行するために、Printer Bugを使用しますSpecterOpsのLee Christensenによって詳細に説明されました。認証されたユーザーは、ドメインコントローラのプリントサーバーにリモートで接続し、無制限の委任アカウントに通知を送信するように指示することで、新しい印刷ジョブの更新を要求できます。 Lee Christensenは、MS-RPRNプロトコルを使用してCD印刷サービスを呼び出すSpoolSampleアプリケーションを作成しました。



攻撃が実行されるコンピューター（BARSCOMP.meow.local）で、「アクション」を使用して監視モードでRubeusを起動する必要がありますmonitoring。このモードはNT ATHORITY / SYSTEM特権を必要とし、lsassプロセスで新しいTGT / TGSチケッ​​トをリッスンします。/interval:1新しいチケットのlsassをポーリングする間隔（秒）と引数を設定します/filteruser:DC-16$DC-16 $チケットのみを表示するフィルターを設定します。







Rubeusが実行されており、別のセッションで並行して、引数dc-16.meow.local（攻撃されたマシン）とbarscomp.meow.local（「待機」ホスト）を指定してSpoolSample.exeを起動します。







Rubeusが「監視」した内容を見てみましょう。







TGTドメインコントローラーアカウントチケットをキャッチしました。これで、既知のPass-the-Ticket攻撃を使用して、チケットをインポートし、mimikatzを使用してDCSync攻撃を実行して、krbtgtアカウントのNTLMハッシュを取得できます（記事の最初の部分ですでに知っているように、このアカウントのハッシュを使用して作成できます）ゴールデンチケットと完全なADドメインのキャプチャ）。

Rubeusは.kirbiファイルの形式とbase64エンコードされた文字列の両方でチケットを理解することに注意してください。

制約付き委任

攻撃者が制約付き委任が有効になっているユーザーまたはコンピューターアカウントの侵害に成功すると、任意のドメインユーザーになりすまして、委任が許可されているサービスに対して認証を行うことができます。



パスワードB @ ckup1234で新しいドメインユーザーBackupを作成し、ドメインコントローラー上のcifsサービスのSPNを割り当てます。







これで、このアカウントを設定して、LDAPおよびCIFSサービスをDC-16.meow.localドメインコントローラーに委任できるようになりました。







また、PowerviewまたはActiveDirectoryモジュールを使用して、制限付き委任が許可されているアカウントを特定することもできます。







meow.local \ BackupアカウントのパスワードまたはNTLMハッシュがわかっているので、Rubeusを使用してTGTチケットを要求できます。







これで、Rubeusの「アクション」s4uを使用して、cifs \ dc-16.meow.localサービスでの認証が許可されているユーザー（たとえば、ADadminドメインの管理者）にTGSを要求できます。







ここでは、以前に取得したバックアップアカウントチケットを示します。 / impersonateuser-権利を取得したいユーザー。 /ドメイン-すべてが発生するドメイン。 / msdsspn / asltservice-TGSを必要とするサービス。 / ptt-受信したチケットを現在のセッションにすぐにインポートします。



Rubeusで何が起こるかを







次に示します。制約付き委任2でKerberos拡張が有効になっていることがわかります。これらはS4U2selfとS4U2proxyです。



S4U2selfを使用すると、サービスの参加者は、特定のユーザーに代わって、FORWARDABLEフラグ付きの特別なTGSを自分自身に要求できます。これは、このチケットを後でS4U2proxy拡張機能で使用できるようにするために必要です。



S4U2proxyにより、呼び出し元はこの特別なチケットを使用して、委任が許可されているサービス（この場合は、cifs \ dc-16.meow.local）のユーザーのTGSを要求できます。あなたはこことここでこれについてもっと読むことができます。



この時点で、Rubeusはすでに最終チケットを受け取り、現在のセッションにインポートしました。







受信したチケットを使用して、ドメインコントローラーのCドライブを確認できるかどうかを確認します。







はい、すべてうまくいきました。



これで、このツールのレビューは終わりです。一般的に、私はそれを気に入っており、使いやすく、機能が優れています。これらの記事を読んだ後、あなたがそれを実際に役立ててくれることを願っています。



あなたの注意をありがとう、誰もが良いです、病気にならないでください！