Cat.6(ねころっく)

脆弱性のお金でご飯が食べたい

Experience Overpass-the-hash Attack / Mimikatz usage

Harekaze Advent Calendar 2017 13日目の記事です。

adventar.org

 

 ●はいふり見て

Harekaze CTF 2018 はじまります。

harekaze.com

English: Harekaze CTF 2018 - Harekaze

CTF time: CTFtime.org / Harekaze CTF 2018

 

●ちょっと雑談

ここのところ、休みがないなーっと感じてます。各位にはご迷惑をおかけしております。ごめんなさい。今回はゆるーく軽めの記事にします。

今回の記事は、原理や解説は置いといて、Overpass-the-hash Attack を手軽に体験してもらおう!という趣向で書きました。先日のCODE BLUEで、Pass-the-ticketの話が出てきまして、Active Directoryに絡む攻撃手法を鍛えておきたいお気持ちになりました。 

 

●Overpass-the-hash Attackを雑に説明する

Windows Serverの目玉機能の一つ、Active Directoryですが、ここの認証はNTLM認証、Kerberos認証というやつをやってるんです。通常はKerberosプロトコルでAESを使って認証しているのですが、AS_REQフィールドのメッセージ暗号化種類をRC4に意図的にダウングレードさせて(NT Hashに相当)、いい感じにやるんですよ!!!

なんも……わからん……。この理解で合っているのだろうか。これから勉強していきます。Active Directoryに絡む認証系のロジックの知識を得たいので、最近調べてます。攻撃者の行動の追跡や、その行動パターンのモデル化に関して、ちょっと別件でやってるので、Active Directoryに対する攻撃は私の中ではトレンドです。 

 

Overpass-the-hash Attackを体験しよう!

まずはいわゆるAD環境というものを構築します。最近dcpromoがなくなったんですって。寂しいなぁ。

GUIをポチポチ押していけばフォレスト作って、DNSもいい感じにやってくれて、ドメインコントローラに昇格にして終わりです。あとはWindowsクライアントからドメイン参加するだけで環境は完成!ね、簡単でしょ?

Primary Domain Controller eins.reinforce.tv. / ¥¥server1

f:id:reinforchu:20171219015419p:plain

Client / ¥¥pc1

f:id:reinforchu:20171219015401p:plain

Windows 10はInsider Previewや評価版を、Windows Serverは評価版を調達してください。

ここで、¥¥pc1が標的型攻撃を受けて、残念ながら攻撃者によって侵入されたと仮定しましょう。

Overpass-the-hash Attackするには、標的となるアカウントのNTLM Hashが欲しいですね。頑張って発掘しましょう。。。

そこで攻撃者はHackTool.Mimikatzを用意しました。

そしてコマンドプロンプトから次のコマンドを叩きました。

mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords" 

f:id:reinforchu:20171219023029p:plain

なんかいっぱい出てきましたね。見ていくと、AdministratorのNTLM Hashがありました。都合がいい!

次に攻撃者は下記のコマンドを叩きました。

mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Administrator /ntlm:ab918fa7d7943a6ae75073c0e069b1f4 /domain:eins.reinforce.tv"

f:id:reinforchu:20171219023258p:plain

お、なにやら新たにcmdが立ち上がりました。ここでゲームオーバーです。ドメインコントローラのAdministratorのアカウントなので、ほぼなんでも出来るようになりました。

一応裏のウィンドウを見てみましょう。

f:id:reinforchu:20171219023653p:plain

どうやらRC4が使えるようです。

今回使用したMimikatzというツールは、アンチウイルスソフトマルウェア扱いなので、何が起こってもいい環境でやってくださいね。

 

●余談

存在しないアカウントのGolden ticketを作り出してドメインコントローラに侵入する、という攻撃手法を調査して記事にしたかったんですが、またやる気が出たら取り掛かろうと思います。

 

●参考情報

興味がありましたらこちらの記事を読むなどをオススメします。

Overpass-the-hash | Blog de Gentil Kiwi