Hizmet hesabı kimlik bilgilerini toplamak için güçlü bir uzak araç olan serviceFu nasıl kullanılır
serviceFu
Son güvenlik denetimi faaliyetlerinde ekibimiz yeni bir güvenlik aracı tasarladı ve bunu tüm toplulukla paylaşmayı umuyor.
O sırada, güvenlik denetimi başlamadan önce, müşterinin ağ sistemine ilk erişimi sağlamaya çalışmamız gerekiyordu. Bu belirli müşteri, kurumsal ağ sisteminin güvenliğini artırmak için daha önce çok sayıda insan ve malzeme kaynağı yatırmıştı. Müşterinin alan adı sistemindeki çoğu müşteri akıllı kart kimlik doğrulaması gerektirir, kimlik bilgileri önbelleğe alma devre dışı bırakılır (Mimikatz'ın sekurlsa :: logonPasswords geçersizdir) ve ana bilgisayar tabanlı günlük kaydı sistemleri (Powershell, Sysmon, HIPS) de kurulur.
Dikkatli bir analizin ardından, daha "değerli" bir sunucuya odaklandık. Bu sunucunun "değerli" olmasının nedeni, üst düzey izinlere sahip ağ yöneticilerinin, yönetici görevlerini gerçekleştirmek için bu sunucuyu kullanmaları gerekmesidir. Bu sunucuda 0 günlük bir güvenlik açığını başarıyla keşfettik ve yararlanma kodunu manuel kodlama yoluyla tasarladık ve sonunda SİSTEM ayrıcalığını başarıyla elde ettik.
SYSTEM ayrıcalıklarıyla, örneğin kullanıcı işlemlerini enjekte ederek veya kullanıcı jetonlarını doğrudan çalarak hedef sistemde sık sık oturum açan bazı kullanıcılar gibi davranabiliriz. Bu teknoloji, ayrıcalık artışını ve yatay penetrasyonu etkili bir şekilde başarabilse de, kimlik gizlemesini sağlamak için aktif oturumlar bulmamızı gerektirir. Bu nedenle, bu işlem, ayrıcalık yükseltmeyi başarmak için kullanıcının oturum açmasını beklememizi gerektirebilir. Kullanıcı hesaplarından çıkış yaptıktan sonra hesabını kullanamayız. Bu nedenle, bu teknoloji yalnızca oturum açmak için hesap kimlik bilgilerini kullanan kullanıcı bilgilerini bulmak için kullanılabilir ve akıllı kart kimlik doğrulaması durumunda uygulanamaz.
Neyse ki, istemcinin Active Directory kurulumu ve yapılandırması sırasında birden çok üst düzey hizmet hesabı kullanır ve etki alanında birden çok sunucuyu içerir. Bu etki alanı hizmet hesapları, oturum açma kimlik doğrulamasını uygulamak için hesap kimlik bilgilerini kullanır. Windows, HKLM: \ Security \ Policy \ Secrets kayıt defterinde her hizmetin etki alanı hizmet hesabı hizmet hesabı için şifrelenmiş bir sertifika depolayacaktır. Lsadump :: secrets modülü (Mimikatz) yardımıyla, bu sertifikaların şifresini doğrudan çözebiliriz.
Daha sonra, ana sorumuz, hedef etki alanı hizmet hesabı altında hangi hizmet bileşenlerinin çalıştığını nasıl bulacağımızdır: mimikatz'ı her sistem için manuel olarak mı çalıştırıyoruz yoksa sistem bilgilerini ve kayıt defteri anahtarı içeriğini topladıktan sonra çevrimdışı mı çalıştırıyoruz? analiz? Bu teknik bir zorluk olmasa da, tembelim ve otomatikleştirilebilirse bunu kesinlikle manuel olarak yapmayacağız. Aşağıdaki ekran görüntüsü, mimikatz tarafından dışa aktarılan her bir hizmet hesabının kimlik bilgilerini gösterir:
Aracımızın bir yönetici hesabına sahip bir hedef ana bilgisayarda çalıştığını varsayarsak, hedef ana bilgisayarda çalışan hizmetleri uzaktan sorgulamak için Win32 API'yi kullanabileceğiz. Hizmet başlangıç adını analiz ederek mevcut işletim ortamının sistem düzeyinde bir hesap olup olmadığını belirleyebiliriz. İşletim ortamı belirlenirse, sistem bilgilerini ve kayıt defteri bilgilerini depolamak için uzak kayıt API'sini kullanabiliriz. Ardından, ilgili kayıt defteri anahtarını aldıktan sonra, mimikatz'ı ayrıştırıp şifresini çözmek ve hizmet hesabı kimlik bilgilerini elde etmek için kullanabiliriz. Bu aracı geliştirmek için C ++ kullanmamızın nedeninin esas olarak onu bir modül biçiminde yerel C2 çerçevesine kolayca entegre edebilmemizden kaynaklandığı unutulmamalıdır.
Ancak, bu aracın yalnızca bu özel durum için uygun olduğunu ve diğer özel durumlarda aracın ihtiyaç duyduğunuz görevleri tamamlayamayabileceğini kabul etmeliyiz. Ancak her durumda, tüm hedef etki alanındaki etki alanı hizmeti kimlik bilgilerinin düz metin bilgilerini uzaktan taramanıza yardımcı olabilir, bu hala çok kullanışlıdır. Bu projeyle ilgileniyorsanız, lütfen GitHub'ımıza bir mesaj bırakın veya kod gönderin.
* Referans kaynağı: securifera, FB editörü Alpha_h4ck tarafından derlenmiştir, lütfen FreeBuf.COM'dan olduğunu belirtin
