Пример получения билета TGT с помощью Pass the certificate

Pass the certificate

Pass the cert — это тех­ника получе­ния билета TGT, при которой для аутен­тифика­ции исполь­зует­ся сер­тификат поль­зовате­ля вмес­то пароля. Сегодня, на примере уязвимой виртуальной машины Authority с пло­щад­ки Hack The Box, разберем технику Pass the cert.

Еще по теме: Использование Certify и Rubeus для атаки на ADCS

Пример получения билета TGT с помощью Pass the certificate

Обыч­но этот способ мож­но про­вер­нуть в инструменте Certipy (см. Атаки на службы сертификатов Active Directory), но в дан­ном слу­чае получа­ем ошиб­ку.

Ошиб­ка получе­ния TGT-билета
Ошиб­ка получе­ния TGT-билета

Certipy и PKINITtools исполь­зуют PKINIT и получа­ют TGT-билет, что­бы с помощью тех­ники UnPac the hash извлечь NT-хеш учет­ной записи. Если вер­нуть­ся к шаб­лону сер­тифика­та, мож­но уви­деть, что он не име­ет EKU Smart Card Logon, а зна­чит, и не будет под­дер­жки PKINIT!

Тог­да возь­мем дру­гую прог­рамму — PassTheCert. Она под­клю­чает­ся к LDAP, исполь­зуя аутен­тифика­цию Schannel. Но спер­ва раз­делим файл PFX на сер­тификат и ключ.

Из­вле­чение сер­тифика­та и клю­ча
Из­вле­чение сер­тифика­та и клю­ча

В PassTheCert есть очень удоб­ная встро­енная ути­лита для работы с LDAP — ldap_shell.

Получив дос­туп к LDAP коман­дой add_user_to_group, добав­ляем соз­данную учет­ную запись компь­юте­ра в груп­пу адми­нис­тра­торов.

Экс­плу­ата­ция Pass the Cert через LDAP
Экс­плу­ата­ция Pass the Cert через LDAP

На этом все. Как видите, техника получения билета TGT с помощью Pass the certificate довольно проста в реализации.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий