Az - Pass the PRT
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Nella sezione Stato SSO, dovresti vedere il AzureAdPrt
impostato su YES.
Nello stesso output puoi anche vedere se il dispositivo è unito ad Azure (nel campo AzureAdJoined
):
Il cookie PRT è in realtà chiamato x-ms-RefreshTokenCredential
ed è un JSON Web Token (JWT). Un JWT contiene 3 parti, l'intestazione, il payload e la firma, divisi da un .
e tutti codificati in base64 sicuro per URL. Un tipico cookie PRT contiene la seguente intestazione e corpo:
Il Primary Refresh Token (PRT) attuale è racchiuso all'interno del refresh_token
, che è crittografato da una chiave sotto il controllo di Azure AD, rendendo il suo contenuto opaco e indecifrabile per noi. Il campo is_primary
indica l'incapsulamento del token di aggiornamento primario all'interno di questo token. Per garantire che il cookie rimanga legato alla specifica sessione di accesso per cui era destinato, il request_nonce
viene trasmesso dalla pagina logon.microsoftonline.com
.
Il processo LSASS invierà al TPM il KDF context, e il TPM utilizzerà la session key (raccolta quando il dispositivo è stato registrato in AzureAD e memorizzata nel TPM) e il contesto precedente per derivare una chiave, e questa chiave derivata viene utilizzata per firmare il cookie PRT (JWT).
Il KDF context è un nonce da AzureAD e il PRT creando un JWT mescolato con un contesto (byte casuali).
Pertanto, anche se il PRT non può essere estratto perché si trova all'interno del TPM, è possibile abusare di LSASS per richiedere chiavi derivate da nuovi contesti e utilizzare le chiavi generate per firmare i cookie.
Come utente regolare è possibile richiedere l'uso del PRT chiedendo a LSASS i dati SSO. Questo può essere fatto come app native che richiedono token da Web Account Manager (token broker). WAM passa la richiesta a LSASS, che chiede token utilizzando l'asserzione PRT firmata. Oppure può essere fatto con flussi basati su browser (web) dove un cookie PRT viene utilizzato come header per autenticare le richieste alle pagine di accesso di Azure AS.
Come SYSTEM potresti rubare il PRT se non protetto da TPM o interagire con le chiavi PRT in LSASS utilizzando API crittografiche.
Per ulteriori informazioni su questo modo controlla questo post. ROADtoken eseguirà BrowserCore.exe
dalla directory corretta e lo utilizzerà per ottenere un cookie PRT. Questo cookie può quindi essere utilizzato con ROADtools per autenticarsi e ottenere un token di aggiornamento persistente.
Per generare un cookie PRT valido, la prima cosa di cui hai bisogno è un nonce. Puoi ottenerlo con:
O utilizzando roadrecon:
Poi puoi usare roadtoken per ottenere un nuovo PRT (esegui lo strumento da un processo dell'utente da attaccare):
Come oneliner:
Quindi puoi utilizzare il cookie generato per generare token per accedere utilizzando Azure AD Graph o Microsoft Graph:
Get-AADIntUserPRTToken
ottiene il token PRT dell'utente dal computer unito ad Azure AD o unito in modo ibrido. Utilizza BrowserCore.exe
per ottenere il token PRT.
Oppure, se hai i valori da Mimikatz, puoi anche usare AADInternals per generare un token:
Vai a https://login.microsoftonline.com, cancella tutti i cookie per login.microsoftonline.com e inserisci un nuovo cookie.
Poi vai su https://portal.azure.com
Il resto dovrebbe essere le impostazioni predefinite. Assicurati di poter aggiornare la pagina e che il cookie non scompaia; se lo fa, potresti aver commesso un errore e dover ripetere il processo. Se non scompare, dovresti essere a posto.
Il PRT (Primary Refresh Token) viene estratto da LSASS (Local Security Authority Subsystem Service) e memorizzato per un uso successivo.
La Session Key viene estratta successivamente. Poiché questa chiave viene inizialmente emessa e poi ri-criptata dal dispositivo locale, richiede la decrittazione utilizzando una chiave master DPAPI. Informazioni dettagliate su DPAPI (Data Protection API) possono essere trovate in queste risorse: HackTricks e per comprendere la sua applicazione, fai riferimento a Pass-the-cookie attack.
Dopo la decrittazione della Session Key, la chiave derivata e il contesto per il PRT vengono ottenuti. Questi sono cruciali per la creazione del cookie PRT. In particolare, la chiave derivata viene utilizzata per firmare il JWT (JSON Web Token) che costituisce il cookie. Una spiegazione completa di questo processo è stata fornita da Dirk-jan, accessibile qui.
Nota che se il PRT è all'interno del TPM e non dentro lsass
, mimikatz non sarà in grado di estrarlo.
Tuttavia, sarà possibile ottenere una chiave da una chiave derivata da un contesto dal TPM e usarla per firmare un cookie (controlla l'opzione 3).
Puoi trovare una spiegazione approfondita del processo eseguito per estrarre questi dettagli qui: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/
Questo non funzionerà esattamente dopo le correzioni di agosto 2021 per ottenere i token PRT di altri utenti, poiché solo l'utente può ottenere il proprio PRT (un amministratore locale non può accedere ai PRT di altri utenti), ma può accedere al proprio.
Puoi usare mimikatz per estrarre il PRT:
(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)
Copia la parte etichettata Prt e salvala.
Estrai anche la chiave di sessione (il KeyValue
del campo ProofOfPossesionKey
) che puoi vedere evidenziata qui sotto. Questa è crittografata e avremo bisogno di utilizzare le nostre chiavi master DPAPI per decrittografarla.
Se non vedi alcun dato PRT potrebbe essere che non hai PRT perché il tuo dispositivo non è unito ad Azure AD o potrebbe essere che stai eseguendo una vecchia versione di Windows 10.
Per decrittografare la chiave di sessione devi elevare i tuoi privilegi a SYSTEM per eseguire sotto il contesto del computer per poter utilizzare la chiave master DPAPI per decrittografarla. Puoi usare i seguenti comandi per farlo:
Ora vuoi copiare sia il valore del Contesto:
E il valore della chiave derivata:
Infine, puoi usare tutte queste informazioni per generare i cookie PRT:
Vai a https://login.microsoftonline.com, cancella tutti i cookie per login.microsoftonline.com e inserisci un nuovo cookie.
Quindi vai su https://portal.azure.com
Il resto dovrebbe essere le impostazioni predefinite. Assicurati di poter aggiornare la pagina e che il cookie non scompaia; se lo fa, potresti aver commesso un errore e dover ripetere il processo. Se non scompare, dovresti essere a posto.
Rinnova prima il PRT, che verrà salvato in roadtx.prt
:
Ora possiamo richiedere token utilizzando il browser interattivo con roadtx browserprtauth
. Se utilizziamo il comando roadtx describe
, vediamo che il token di accesso include un'affermazione MFA perché il PRT che ho usato in questo caso aveva anche un'affermazione MFA.
Avendo il contesto e la chiave derivata estratta da mimikatz, è possibile utilizzare roadrecon per generare un nuovo cookie firmato con:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)