Для реали­зации целого ряда атак типа pass the ticket необ­ходимо внед­рить в ском­про­мети­рован­ную сис­тему билет Kerberos. Обыч­но для это­го исполь­зуют­ся инс­тру­мен­ты вро­де Mimikatz, Impacket или Rubeus, но они отлично палят­ся анти­виру­сами, что дела­ет такой под­ход неэф­фектив­ным. В этой статье я под­робно рас­смот­рю методы решения этой задачи без вспо­мога­тель­ных инс­тру­мен­тов, с исполь­зовани­ем толь­ко WinAPI и магии.

В пре­дыду­щей моей статье я рас­ска­зал об Authentication Package, Security Package и мы успешно перех­ватили пароль поль­зовате­ля. Но это­го мало, не так ли? Сле­дующим шагом будет внед­рение билетов Kerberos для реали­зации ата­ки pass the ticket. Само собой, никако­го Mimikatz и Impacket мы исполь­зовать не будем. Абсо­лют­но все будет сде­лано сво­ими силами (ну и с исполь­зовани­ем стан­дар­тно­го Win32 API).

 

Получение тикета

Ти­кет переда­ется ата­кующе­му, нап­ример при дам­пе, в фор­мате Base64 — в «сыром» виде тикет может иметь непеча­таемые сим­волы, что при­ведет к выводу на экран непонят­но чего. В свя­зи с этим, что­бы наш код мог инжектить рабочие тикеты, сле­дует пре­дус­мотреть в нем воз­можность декоди­ровать получен­ную стро­ку. Пред­лагаю соз­дать файл stuff.h, в котором реали­зуем прос­тень­кую фун­кцию для декоди­рова­ния зна­чения Base64. Допол­нитель­но помес­тим туда все заголо­воч­ные фай­лы, которые пот­ребу­ются нам в будущем.

#pragma once
#define WIN32_NO_STATUS
#define SECURITY_WIN32
#include <windows.h>
#include <sspi.h>
#include <NTSecAPI.h>
#include <ntsecpkg.h>
#include <iostream>
#include <string>
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
#pragma comment (lib, "Secur32.lib")
static char encoding_table[] = { 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H',
'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P',
'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X',
'Y', 'Z', 'a', 'b', 'c', 'd', 'e', 'f',
'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n',
'o', 'p', 'q', 'r', 's', 't', 'u', 'v',
'w', 'x', 'y', 'z', '0', '1', '2', '3',
'4', '5', '6', '7', '8', '9', '+', '/' };
static char* decoding_table = NULL;
static int mod_table[] = { 0, 2, 1 };
void build_decoding_table();
unsigned char* base64_decode(const char* data, size_t input_length, size_t* output_length);
void build_decoding_table() {
decoding_table = (char*)malloc(256);
if (decoding_table == NULL) {
exit(-1);
}
for (int i = 0; i < 64; i++) {
decoding_table[(unsigned char)encoding_table[i]] = i;
}
}
unsigned char* base64_decode(const char* data, size_t input_length, size_t* output_length) {
if (decoding_table == NULL) build_decoding_table();
if (input_length % 4 != 0) return NULL;
*output_length = input_length / 4 * 3;
if (data[input_length - 1] == '=') {
(*output_length)--;
}
if (data[input_length - 2] == '=') (*output_length)--;
unsigned char* decoded_data = (unsigned char*)malloc(*output_length);
if (decoded_data == NULL) return NULL;
for (int i = 0, j = 0; i < input_length;) {
DWORD sextet_a = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];
DWORD sextet_b = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];
DWORD sextet_c = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];
DWORD sextet_d = data[i] == '=' ? 0 & i++ : decoding_table[data[i++]];
DWORD triple = (sextet_a << 3 * 6)
+ (sextet_b << 2 * 6)
+ (sextet_c << 1 * 6)
+ (sextet_d << 0 * 6);
if (j < *output_length) decoded_data[j++] = (triple >> 2 * 8) & 0xFF;
if (j < *output_length) decoded_data[j++] = (triple >> 1 * 8) & 0xFF;
if (j < *output_length) decoded_data[j++] = (triple >> 0 * 8) & 0xFF;
}
return decoded_data;
}

Ти­кет нашей прог­рамме мы будем переда­вать через аргу­мен­ты коман­дной стро­ки. Соз­дадим файл Source.cpp с таким содер­жимым:

#include "stuff.h"
void usage() {
std::cout << "ptt.exe <b64 ticket>" << std::endl;
}
int main(int argc, char** argv) {
if (argc != 2) {
usage();
return 1;
}
unsigned int kirbiSize = 0;
char* ticket = argv[1];
unsigned char* kirbiTicket = base64_decode(ticket, strlen(ticket), &kirbiSize);
if (kirbiSize == 0) {
std::wcout << L"[-] Error converting from b64" << std::endl;
return 1;
}
...

В этом фай­ле мы получа­ем вто­рой аргу­мент, содер­жащий закоди­рован­ный в Base64 тикет. Пер­вый — это имя прог­раммы: нап­ример, в слу­чае вызова prog.exe 123 в argv[0] будет prog.exe, а в argv[1] — 123. Пос­ле чего вызыва­ем фун­кцию для декоди­рова­ния, про­веря­ем, что раз­мер изме­нил­ся. Ведь если изме­нил­ся раз­мер, зна­чит, что‑то (может, даже и успешно) декоди­рова­лось.

 

Подключение к LSA

Имен­но про­цесс служ­бы LSA будет хра­нить в сво­ем адресном прос­транс­тве все тикеты. Внут­ри про­цес­са lsass.exe под­гру­жена kerberos.dll, которая и реали­зует все фун­кции одно­имен­ного про­токо­ла. Так или ина­че, сле­дует отли­чать TGT от TGS, да и в прин­ципе понимать работу «Кер­бероса». Вот виде­оро­лики, которые поз­волят нович­кам разоб­рать­ся в теме:

Под­клю­чить­ся к LSA нес­ложно, для это­го есть две спе­циаль­ные фун­кции.

NTSTATUS LsaRegisterLogonProcess(
[in] PLSA_STRING LogonProcessName,
[out] PHANDLE LsaHandle,
[out] PLSA_OPERATIONAL_MODE SecurityMode
);
NTSTATUS LsaConnectUntrusted(
[out] PHANDLE LsaHandle
);

Пер­вая поз­воля­ет получить хендл на LSA от лица про­цес­са вхо­да в сис­тему. Эту фун­кцию, нап­ример, вызыва­ет winlogon.exe во вре­мя вхо­да поль­зовате­ля в сис­тему. С помощью получен­ного таким обра­зом хен­дла появит­ся воз­можность исполь­зовать LSA для аутен­тифика­ции, управле­ния поль­зователь­ским вхо­дом и дос­тупом.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии