Картошка-0. Повышаем привилегии в AD при помощи RemotePotato0

Содержание статьи

• Предыстория
• Немного о «картошках»
• RottenPotato & Co
• RoguePotato
• RemotePotato0
• Введение
• Как работает и когда использовать
• Сферические примеры в вакууме
• Боевая практика
• Уклоняемся от AV
• ngrok + socat = ?
• Бонус #1. Релей на AD CS (ESC8)
• Бонус #2. RemotePotato без RemotePotato0.exe

В этой статье мы погово­рим о раз­ных вари­ациях кросс‑про­токоль­ной ата­ки NTLM Relay с исполь­зовани­ем экс­пло­ита RemotePotato0, а так­же на этом при­мере обсу­дим, как мож­но спря­тать сиг­натуру исполня­емо­го фай­ла от ста­тичес­кого ана­лиза.

Эта исто­рия отно­сит­ся к катего­рии «бай­ки с внут­ренних пен­тестов», ког­да мы попали в сре­ду Active Directory, где чле­ны груп­пы безопас­ности Domain Users (все поль­зовате­ли домена) обла­дали при­виле­гией для уда­лен­ного под­клю­чения к кон­трол­лерам домена по про­токо­лу RDP. Хоть это уже само по себе ужас­ная «мис­конфи­га», потен­циаль­ный зло­умыш­ленник все еще дол­жен най­ти спо­соб для локаль­ного повыше­ния при­виле­гий на DC, что проб­лематич­но, если на сис­теме сто­ят все хот­фиксы.

Здесь и при­ходит на помощь баг фича из серии Microsoft Won’t Fix List — кросс‑сес­сион­ное про­воци­рова­ние вынуж­денной аутен­тифика­ции по про­токо­лу RPC. При отсутс­твии защиты служ­бы LDAP от атак NTLM Relay оно мгно­вен­но подарит тебе «клю­чи от королевс­тва».

Предыстория

Итак, внут­ренний пен­тест. Все по клас­сике: толь­ко я, мой ноут­бук, ка­пюшон и мас­ка Гая Фок­са перего­вор­ка, ском­мутиро­ван­ная розет­ка RJ-45 и прос­торы кор­поратив­ной сети жер­твы ауди­та. Отсутс­твие пра­вил филь­тра­ции IPv6 в моем широко­веща­тель­ном домене — в роли уяз­вимос­ти, отравлен­ные пакеты DHCPv6 Advertise с link-local IPv6-адре­сом моего ноут­бука (mitm6) — в роли ата­ки, и вот получен пер­воначаль­ный аутен­тифици­рован­ный дос­туп в сре­ду AD. Далее сбор дам­па «бла­да» с помощью BloodHound.py, пока все как обыч­но.

Но вот то, что было даль­ше, повер­гло меня в шок… Ока­залось, что все домен­ные «поль­заки» могут кон­нектить­ся к кон­трол­лерам домена по RDP. Дей­стви­тель­но, что может пой­ти не так?

Най­ди уяз­вимость на кар­тинке

В этот момент мож­но начинать потирать руки в пред­вку­шении кре­дов доменад­мина. Убе­дим­ся, что мы можем реле­ить Net-NTLMv2-аутен­тифика­цию на служ­бы LDAP(S) с помощью LdapRelayScan.

~$ python3 LdapRelayScan.py -method BOTH -dc-ip -u -p

PARTY TIME!

Не­уди­витель­но, что LDAP Signing (защита LDAP, 389/TCP) и LDAP Channel Binding (защита LDAPS, 636/TCP) отклю­чены, — еще мало кто осоз­нал, что это мас­тхев-mitigations для AD в наше вре­мя.

А теперь по поряд­ку, что со всем этим мож­но сде­лать.

Немного о «картошках»

RottenPotato & Co

В далеком 2016 году умные люди при­дума­ли RottenPotato — тех­нику локаль­ного повыше­ния при­виле­гий с сер­висных акка­унтов Windows (нап­ример, IIS APPPOOLDefaultAppPool или NT ServiceMSSQL$SQLEXPRESS), обла­дающих при­виле­гией оли­цет­ворения чужих токенов безопас­ности (aka SeImpersonatePrivilege), до NT AUTHORITYSYSTEM.

Для это­го ата­кующий дол­жен был:

Ме­ханизм работы RottenPotato (изоб­ражение — jlajara.gitlab.io)

Не­кото­рое вре­мя спус­тя лавоч­ку прик­рыли, зап­ретив DCOM/RPC общать­ся с локаль­ными слу­шате­лями, — никаких тебе боль­ше мит­мов. Но «кар­тошки» все рав­но пре­тер­певали изме­нения: были напиле­ны LonelyPotato (неак­туаль­но) и JuicyPotato — улуч­шенная вер­сия RottenPotato, уме­ющая работать с раз­ными зна­чени­ями CLSID (Class ID, иден­тифика­тор COM-клас­са) для «арбу­зин­га» дру­гих служб (помимо BITS, которую исполь­зовала ори­гиналь­ная «кар­тошка»), в которых реали­зован интерфейс IMarshal для триг­гера NTLM-аутен­тифика­ции.

JuicyPotato

В дан­ном слу­чае про­воци­рова­ние NTLM-аутен­тифика­ции в сво­ей осно­ве име­ет прин­цип, схо­жий с вре­донос­ной десери­али­заци­ей объ­ектов, толь­ко здесь это называ­ется «ан­марша­линг» — про­цесс вос­ста­нов­ления COM-объ­екта из пос­ледова­тель­нос­ти битов пос­ле его переда­чи в целевой метод в качес­тве аргу­мен­та.

Ата­кующий соз­дает вре­донос­ный COM-объ­ект клас­са IStorage и вызыва­ет API CoGetInstanceFromIStorage с ука­зани­ем соз­дать объ­ект клас­са с кон­крет­ным иден­тифика­тором CLSID и ини­циали­зиро­вать его сос­тоянием из мар­шализи­рован­ного вре­донос­ного объ­екта. Одно из полей мар­шализи­рован­ного объ­екта содер­жит ука­затель на под­кон­троль­ный ата­кующе­му слу­шатель, на который авто­мати­чес­ки при­ходит отстук с NTLM-аутен­тифика­цией в про­цес­се анмарша­лин­га.

public static void BootstrapComMarshal(int port){ IStorage stg = ComUtils.CreateStorage(); // Use a known local system service COM server, in this cast BITSv1 Guid clsid = new Guid("4991d34b-80a1-4291-83b6-3328366b9097"); TestClass c = new TestClass(stg, String.Format("127.0.0.1[{0}]", port)); MULTI_QI[] qis = new MULTI_QI[1]; qis[0].pIID = ComUtils.IID_IUnknownPtr; qis[0].pItf = null; qis[0].hr = 0; CoGetInstanceFromIStorage(null, ref clsid, null, CLSCTX.CLSCTX_LOCAL_SERVER, c, 1, qis);}

Под­робнее о механиз­ме триг­гера NTLM-аутен­тифика­ции в ходе абь­юза DCOM/RPC мож­но почитать в пер­вом репор­те Project Zero на эту тему.

RoguePotato

С релизом RoguePotato — эво­люци­они­ровав­шей вер­сией JuicyPotato — был про­демонс­три­рован аль­тер­натив­ный под­ход к имперсо­нации при­виле­гиро­ван­ных сис­темных токенов:

Ме­ханизм работы RoguePotato (изоб­ражение — jlajara.gitlab.io)

С базовой теорией закон­чили.

www

Potatoes — Windows Privilege Escalation — статья с хорошим опи­сани­ем всех «кар­тошек» и тай­млай­ном их появ­ления.

RemotePotato0

Введение

RemotePotato0 — успешный резуль­тат попыт­ки рас­ширить область при­мене­ния RoguePotato для про­веде­ния атак на домен­ные учет­ные записи.

Источник: xakep.ru