Az - Pass the PRT
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Na seção SSO State, você deve ver o AzureAdPrt
definido como YES.
Na mesma saída, você também pode ver se o dispositivo está associado ao Azure (no campo AzureAdJoined
):
O cookie PRT é na verdade chamado x-ms-RefreshTokenCredential
e é um JSON Web Token (JWT). Um JWT contém 3 partes, o cabeçalho, carga útil e assinatura, divididos por um .
e todos codificados em base64 seguros para URL. Um cookie PRT típico contém o seguinte cabeçalho e corpo:
O Primary Refresh Token (PRT) real está encapsulado dentro do refresh_token
, que é criptografado por uma chave sob o controle do Azure AD, tornando seu conteúdo opaco e indecifrável para nós. O campo is_primary
indica a encapsulação do token de atualização primário dentro deste token. Para garantir que o cookie permaneça vinculado à sessão de login específica para a qual foi destinado, o request_nonce
é transmitido da página logon.microsoftonline.com
.
O processo LSASS enviará ao TPM o KDF context, e o TPM usará a session key (coletada quando o dispositivo foi registrado no AzureAD e armazenada no TPM) e o contexto anterior para derivar uma chave, e essa chave derivada é usada para assinar o cookie PRT (JWT).
O KDF context é um nonce do AzureAD e o PRT criando um JWT misturado com um contexto (bytes aleatórios).
Portanto, mesmo que o PRT não possa ser extraído porque está localizado dentro do TPM, é possível abusar do LSASS para solicitar chaves derivadas de novos contextos e usar as chaves geradas para assinar Cookies.
Como um usuário regular, é possível solicitar o uso do PRT pedindo ao LSASS dados de SSO. Isso pode ser feito como aplicativos nativos que solicitam tokens do Web Account Manager (corretor de tokens). O WAM passa a solicitação para o LSASS, que pede tokens usando a asserção PRT assinada. Ou pode ser feito com fluxos baseados em navegador (web) onde um cookie PRT é usado como cabeçalho para autenticar solicitações às páginas de login do Azure AS.
Como SYSTEM, você poderia roubar o PRT se não estiver protegido pelo TPM ou interagir com as chaves PRT no LSASS usando APIs criptográficas.
Para mais informações sobre essa abordagem ver este post. O ROADtoken executará BrowserCore.exe
do diretório correto e usará isso para obter um cookie PRT. Este cookie pode então ser usado com ROADtools para autenticar e obter um token de atualização persistente.
Para gerar um cookie PRT válido, a primeira coisa que você precisa é de um nonce. Você pode obter isso com:
Ou usando roadrecon:
Então você pode usar roadtoken para obter um novo PRT (execute a ferramenta a partir de um processo do usuário a ser atacado):
Como uma linha:
Em seguida, você pode usar o cookie gerado para gerar tokens para fazer login usando Azure AD Graph ou Microsoft Graph:
Get-AADIntUserPRTToken
obtém o token PRT do usuário do computador associado ao Azure AD ou associado de forma híbrida. Usa BrowserCore.exe
para obter o token PRT.
Ou se você tiver os valores do Mimikatz, você também pode usar AADInternals para gerar um token:
Vá para https://login.microsoftonline.com, limpe todos os cookies para login.microsoftonline.com e insira um novo cookie.
Então vá para https://portal.azure.com
O restante deve ser os padrões. Certifique-se de que você pode atualizar a página e o cookie não desaparece, se isso acontecer, você pode ter cometido um erro e terá que passar pelo processo novamente. Se não, você deve estar bem.
O PRT (Primary Refresh Token) é extraído do LSASS (Local Security Authority Subsystem Service) e armazenado para uso posterior.
A Chave de Sessão é extraída em seguida. Dado que essa chave é inicialmente emitida e depois recriptografada pelo dispositivo local, é necessário a descriptografia usando uma chave mestra DPAPI. Informações detalhadas sobre DPAPI (Data Protection API) podem ser encontradas nesses recursos: HackTricks e para entender sua aplicação, consulte Pass-the-cookie attack.
Após a descriptografia da Chave de Sessão, a chave derivada e o contexto para o PRT são obtidos. Estes são cruciais para a criação do cookie PRT. Especificamente, a chave derivada é empregada para assinar o JWT (JSON Web Token) que constitui o cookie. Uma explicação abrangente desse processo foi fornecida por Dirk-jan, acessível aqui.
Observe que se o PRT estiver dentro do TPM e não dentro do lsass
, mimikatz não conseguirá extraí-lo.
No entanto, será possível obter uma chave de uma chave derivada de um contexto do TPM e usá-la para assinar um cookie (ver opção 3).
Você pode encontrar uma explicação detalhada do processo realizado para extrair esses detalhes aqui: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/
Isso não funcionará exatamente após as correções de agosto de 2021 para obter os tokens PRT de outros usuários, pois apenas o usuário pode obter seu PRT (um administrador local não pode acessar os PRTs de outros usuários), mas pode acessar o seu.
Você pode usar mimikatz para extrair o PRT:
(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)
Copie a parte rotulada Prt e salve-a.
Extraia também a chave da sessão (o KeyValue
do campo ProofOfPossesionKey
) que você pode ver destacado abaixo. Isso está criptografado e precisaremos usar nossas chaves mestras DPAPI para descriptografá-lo.
Se você não ver nenhum dado PRT, pode ser que você não tenha nenhum PRT porque seu dispositivo não está associado ao Azure AD ou pode ser que você esteja executando uma versão antiga do Windows 10.
Para descriptografar a chave da sessão, você precisa elevar seus privilégios para SYSTEM para executar sob o contexto do computador e poder usar a chave mestra DPAPI para descriptografá-la. Você pode usar os seguintes comandos para fazer isso:
Agora você quer copiar tanto o valor do Contexto:
Quanto o valor da chave derivada:
Finalmente, você pode usar todas essas informações para gerar cookies PRT:
Vá para https://login.microsoftonline.com, limpe todos os cookies para login.microsoftonline.com e insira um novo cookie.
Em seguida, vá para https://portal.azure.com
O restante deve ser os padrões. Certifique-se de que você pode atualizar a página e o cookie não desaparece, se desaparecer, você pode ter cometido um erro e terá que passar pelo processo novamente. Se não desaparecer, você deve estar bem.
Renove o PRT primeiro, que será salvo em roadtx.prt
:
Agora podemos solicitar tokens usando o navegador interativo com roadtx browserprtauth
. Se usarmos o comando roadtx describe
, vemos que o token de acesso inclui uma reivindicação de MFA porque o PRT que usei neste caso também tinha uma reivindicação de MFA.
Tendo o contexto e a chave derivada despejada pelo mimikatz, é possível usar roadrecon para gerar um novo cookie assinado com:
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)