Az - Pass the PRT
O que é um PRT
pageAz - Primary Refresh Token (PRT)Verifique se você tem um PRT
Na seção Estado do SSO, você deve ver o AzureAdPrt
definido como YES.
No mesmo resultado, você também pode ver se o dispositivo está conectado ao Azure (no campo AzureAdJoined
):
Cookie PRT
O cookie PRT é na verdade chamado de x-ms-RefreshTokenCredential
e é um JSON Web Token (JWT). Um JWT contém 3 partes, o cabeçalho, carga útil e assinatura, divididos por um .
e todos codificados em base64 de forma segura para URL. Um cookie PRT típico contém o seguinte cabeçalho e corpo:
O Token de Atualização Primário (PRT) real está encapsulado dentro do refresh_token
, que é criptografado por uma chave sob o controle do Azure AD, tornando seu conteúdo opaco e indescritível para nós. O campo is_primary
significa a encapsulação do token de atualização primário dentro deste token. Para garantir que o cookie permaneça vinculado à sessão de login específica para a qual foi destinado, o request_nonce
é transmitido a partir da página logon.microsoftonline.com
.
Fluxo de Cookie PRT usando TPM
O processo LSASS enviará para o TPM o contexto KDF, e o TPM usará a chave de sessão (obtida quando o dispositivo foi registrado no AzureAD e armazenada no TPM) e o contexto anterior para derivar uma chave, e esta chave derivada é usada para assinar o cookie PRT (JWT).
O contexto KDF é um nonce do AzureAD e o PRT criando um JWT misturado com um contexto (bytes aleatórios).
Portanto, mesmo que o PTR não possa ser extraído porque está localizado dentro do TPM, é possível abusar do LSASS para solicitar chaves derivadas de novos contextos e usar as chaves geradas para assinar Cookies.
Cenários de Abuso do PRT
Como um usuário regular, é possível solicitar o uso do PRT pedindo ao LSASS dados de SSO. Isso pode ser feito como aplicativos nativos que solicitam tokens do Gerenciador de Contas da Web (token broker). O WAM passa a solicitação para o LSASS, que solicita tokens usando uma afirmação PRT assinada. Ou pode ser feito com fluxos baseados em navegador (web) onde um cookie PRT é usado como cabeçalho para autenticar solicitações às páginas de login do Azure AS.
Como SISTEMA, você poderia roubar o PRT se não estiver protegido pelo TPM ou interagir com as chaves PRT no LSASS usando APIs criptográficas.
Exemplos de Ataques Pass-the-PRT
Ataque - ROADtoken
Para mais informações sobre este método verifique este post. ROADtoken executará BrowserCore.exe
do diretório correto e o usará para obter um cookie PRT. Este cookie pode então ser usado com ROADtools para autenticar e obter um token de atualização persistente.
Para gerar um cookie PRT válido, a primeira coisa que você precisa é um nonce. Você pode obter isso com:
Ou usando roadrecon:
Então você pode usar roadtoken para obter um novo PRT (execute a ferramenta a partir de um processo do usuário para atacar):
Em seguida, você pode usar o cookie gerado para gerar tokens e fazer login usando o Azure AD Graph ou Microsoft Graph:
Ataque - Usando roadrecon
Ataque - Usando AADInternals e um PTR vazado
Get-AADIntUserPRTToken
obtém o token PRT do usuário do computador associado ao Azure AD ou híbrido. Usa BrowserCore.exe
para obter o token PRT.
Ou se você tiver os valores do Mimikatz, você também pode usar o AADInternals para gerar um token:
Acesse https://login.microsoftonline.com, limpe todos os cookies para login.microsoftonline.com e insira um novo cookie.
Em seguida, acesse https://portal.azure.com
O restante deve ser o padrão. Certifique-se de poder atualizar a página e o cookie não desaparecer, se desaparecer, você pode ter cometido um erro e precisará passar pelo processo novamente. Se não desaparecer, você está pronto.
Ataque - Mimikatz
Passos
O PRT (Token de Atualização Primário) é extraído do LSASS (Local Security Authority Subsystem Service) e armazenado para uso subsequente.
A Chave de Sessão é extraída em seguida. Dado que essa chave é emitida inicialmente e depois reencriptada pelo dispositivo local, é necessário descriptografá-la usando uma chave mestra DPAPI. Informações detalhadas sobre DPAPI (API de Proteção de Dados) podem ser encontradas nestes recursos: HackTricks e para entender sua aplicação, consulte o ataque Pass-the-cookie.
Após a descriptografia da Chave de Sessão, a chave derivada e o contexto para o PRT são obtidos. Esses são cruciais para a criação do cookie PRT. Especificamente, a chave derivada é usada para assinar o JWT (Token da Web JSON) que constitui o cookie. Uma explicação abrangente desse processo foi fornecida por Dirk-jan, acessível aqui.
Observe que se o PRT estiver dentro do TPM e não dentro do lsass
, o mimikatz não poderá extraí-lo.
No entanto, será possível obter uma chave de uma chave derivada de um contexto do TPM e usá-la para assinar um cookie (verifique a opção 3).
Você pode encontrar uma explicação detalhada do processo realizado para extrair esses detalhes aqui: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/
Isso não funcionará exatamente após as correções de agosto de 2021 para obter tokens PRT de outros usuários, pois apenas o usuário pode obter seu PRT (um administrador local não pode acessar os PRTs de outros usuários), mas pode acessar o seu.
Você pode usar o mimikatz para extrair o PRT:
Copie a parte rotulada como Prt e salve-a.
Extraia também a chave de sessão (o KeyValue
do campo ProofOfPossesionKey
) que você pode ver destacada abaixo. Isso está criptografado e precisaremos usar nossas chaves mestras DPAPI para descriptografá-lo.
Se você não ver nenhum dado PRT, pode ser que você não tenha nenhum PRT porque seu dispositivo não está associado ao Azure AD ou pode ser que você esteja executando uma versão antiga do Windows 10.
Para descriptografar a chave de sessão, você precisa elevar seus privilégios para SYSTEM para executar no contexto do computador e ser capaz de usar a chave mestra DPAPI para descriptografá-la. Você pode usar os seguintes comandos para fazer isso:
Opção 1 - Mimikatz Completo
Agora você deseja copiar tanto o valor do Contexto:
Quanto o valor da chave derivada:
Por fim, você pode usar todas essas informações para gerar cookies PRT:
Acesse https://login.microsoftonline.com, limpe todos os cookies para login.microsoftonline.com e insira um novo cookie.
Em seguida, acesse https://portal.azure.com
O restante deve permanecer como padrão. Certifique-se de que é possível atualizar a página e o cookie não desaparece. Se isso acontecer, você pode ter cometido um erro e precisará passar pelo processo novamente. Caso contrário, você está pronto.
Opção 2 - roadrecon usando PTR
Renove primeiro o PRT, que será salvo em
roadtx.prt
:
Agora podemos solicitar tokens usando o navegador interativo com
roadtx browserprtauth
. Se usarmos o comandoroadtx describe
, veremos que o token de acesso inclui uma reivindicação MFA porque o PRT que usei neste caso também tinha uma reivindicação MFA.
Opção 3 - roadrecon usando chaves derivadas
Tendo o contexto e a chave derivada extraída pelo mimikatz, é possível usar o roadrecon para gerar um novo cookie assinado com:
Referências
Última actualización