Az - Pass the PRT
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Що таке PRT
Az - Primary Refresh Token (PRT)Перевірте, чи у вас є PRT
У розділі SSO State ви повинні побачити, що AzureAdPrt
встановлено на YES.
У тому ж виводі ви також можете побачити, чи приєднано пристрій до Azure (у полі AzureAdJoined
):
PRT Cookie
PRT cookie насправді називається x-ms-RefreshTokenCredential
і це JSON Web Token (JWT). JWT містить 3 частини, header, payload і signature, розділені .
і всі закодовані в url-safe base64. Типовий PRT cookie містить наступний header і body:
Актуальний Primary Refresh Token (PRT) інкапсульований у refresh_token
, який зашифрований ключем під контролем Azure AD, що робить його вміст непрозорим і недекодуємим для нас. Поле is_primary
означає інкапсуляцію основного токена оновлення в цьому токені. Щоб забезпечити прив'язку cookie до конкретної сесії входу, для якої вона була призначена, request_nonce
передається зі сторінки logon.microsoftonline.com
.
Потік PRT Cookie з використанням TPM
Процес LSASS відправить до TPM KDF context, і TPM використає session key (отриманий під час реєстрації пристрою в AzureAD і збережений у TPM) та попередній контекст для виведення ключа, і цей виведений ключ використовується для підпису PRT cookie (JWT).
KDF context - це nonce з AzureAD і PRT, що створює JWT, змішаний з контекстом (випадкові байти).
Таким чином, навіть якщо PRT не може бути витягнутий, оскільки він знаходиться всередині TPM, можливо зловживати LSASS для запиту виведених ключів з нових контекстів і використання згенерованих ключів для підпису Cookies.
Сценарії зловживання PRT
Як звичайний користувач можливо запросити використання PRT, звернувшись до LSASS за даними SSO. Це можна зробити як нативні додатки, які запитують токени у Web Account Manager (брокер токенів). WAM передає запит до LSASS, який запитує токени, використовуючи підписану PRT assertion. Або це можна зробити за допомогою браузерних (веб) потоків, де PRT cookie використовується як заголовок для автентифікації запитів до сторінок входу Azure AS.
Як SYSTEM ви можете вкрасти PRT, якщо він не захищений TPM або взаємодіяти з PRT ключами в LSASS за допомогою крипто API.
Приклади атак Pass-the-PRT
Атака - ROADtoken
Для отримання додаткової інформації про цей спосіб перевірте цей пост. ROADtoken запустить BrowserCore.exe
з правильного каталогу і використає його для отримання PRT cookie. Цей cookie потім можна використовувати з ROADtools для автентифікації та отримання постійного токена оновлення.
Щоб згенерувати дійсний PRT cookie, перше, що вам потрібно, це nonce. Ви можете отримати це за допомогою:
Або використовуючи roadrecon:
Потім ви можете використовувати roadtoken для отримання нового PRT (запустіть у інструменті з процесу користувача для атаки):
Як однолайнер:
Потім ви можете використовувати згенерований cookie для генерації токенів для входу за допомогою Azure AD Graph або Microsoft Graph:
Атака - Використання roadrecon
Атака - Використання AADInternals та злитого PRT
Get-AADIntUserPRTToken
отримує PRT токен користувача з комп'ютера, приєднаного до Azure AD або Hybrid. Використовує BrowserCore.exe
для отримання PRT токена.
Або якщо у вас є значення з Mimikatz, ви також можете використовувати AADInternals для генерації токена:
Перейдіть на https://login.microsoftonline.com, видаліть усі cookies для login.microsoftonline.com і введіть новий cookie.
Потім перейдіть на https://portal.azure.com
Решта повинна бути за замовчуванням. Переконайтеся, що ви можете оновити сторінку і cookie не зникає, якщо це так, можливо, ви зробили помилку і доведеться пройти процес знову. Якщо ні, то все добре.
Атака - Mimikatz
Кроки
PRT (Primary Refresh Token) витягується з LSASS (Local Security Authority Subsystem Service) і зберігається для подальшого використання.
Сесійний ключ витягується наступним. Оскільки цей ключ спочатку видається, а потім повторно шифрується локальним пристроєм, його необхідно розшифрувати за допомогою DPAPI masterkey. Детальну інформацію про DPAPI (Data Protection API) можна знайти в цих ресурсах: HackTricks, а для розуміння його застосування зверніться до Pass-the-cookie attack.
Після розшифрування сесійного ключа, отримуються похідний ключ і контекст для PRT. Вони є важливими для створення PRT cookie. Зокрема, похідний ключ використовується для підпису JWT (JSON Web Token), який складає cookie. Вичерпне пояснення цього процесу надано Dirk-jan, доступне тут.
Зверніть увагу, що якщо PRT знаходиться всередині TPM, а не всередині lsass
, mimikatz не зможе його витягти.
Однак, буде можливо отримати ключ з похідного ключа з контексту з TPM і використовувати його для підпису cookie (перевірте опцію 3).
Ви можете знайти детальне пояснення виконаного процесу для витягнення цих деталей тут: https://dirkjanm.io/digging-further-into-the-primary-refresh-token/
Це не буде точно працювати після виправлень серпня 2021 року для отримання PRT токенів інших користувачів, оскільки тільки користувач може отримати свій PRT (локальний адміністратор не може отримати доступ до PRT інших користувачів), але може отримати доступ до свого.
Ви можете використовувати mimikatz для витягнення PRT:
(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)
Скопіюйте частину з міткою Prt і збережіть її.
Також витягніть ключ сесії (значення KeyValue
поля ProofOfPossesionKey
), яке ви можете побачити виділеним нижче. Це зашифровано, і нам потрібно буде використовувати наші DPAPI masterkeys, щоб розшифрувати це.
Якщо ви не бачите жодних даних PRT, це може бути тому, що у вас немає жодних PRT, оскільки ваш пристрій не приєднаний до Azure AD, або тому, що ви використовуєте стару версію Windows 10.
Щоб розшифрувати ключ сесії, вам потрібно підвищити свої привілеї до SYSTEM, щоб працювати в контексті комп'ютера і мати можливість використовувати DPAPI masterkey для розшифровки. Ви можете використовувати наступні команди для цього:
Option 1 - Full Mimikatz
Тепер ви хочете скопіювати обидва значення Context:
І значення derived key:
Нарешті, ви можете використати всю цю інформацію, щоб згенерувати PRT cookies:
Перейдіть на https://login.microsoftonline.com, видаліть всі cookies для login.microsoftonline.com і введіть новий cookie.
Потім перейдіть до https://portal.azure.com
Решта повинна бути за замовчуванням. Переконайтеся, що ви можете оновити сторінку і cookie не зникає, якщо це так, можливо, ви зробили помилку і вам доведеться пройти процес знову. Якщо ні, то все добре.
Опція 2 - roadrecon використовуючи PRT
Спочатку поновіть PRT, що збереже його в
roadtx.prt
:
Тепер ми можемо запитувати токени за допомогою інтерактивного браузера з
roadtx browserprtauth
. Якщо ми використовуємо командуroadtx describe
, ми бачимо, що access token включає MFA claim, тому що PRT, який я використовував у цьому випадку, також мав MFA claim.
Option 3 - roadrecon using derived keys
Маючи контекст і derived key, отримані за допомогою mimikatz, можна використовувати roadrecon для генерації нового підписаного cookie з:
References
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated