Думаем графами с IPAHound

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA. В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD. Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI. Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

https://habr.com/ru/companies/pt/articles/1028412/

#ipahound #freeipa #ldap #sudo #selinux #kerberos #pentest #ald pro #bloodhound

Самое подробное руководство по использованию утилиты ktpass в среде Active Directory

Давайте разберем как с помощью утилиты ktpass.exe создавать гарантированно рабочие файлы keytab . Подробно и с примерами рассмотрим каждый параметр утилиты ktpass.exe . А самое интересное - вы узнаете неочевидные факты о принципах использовании salt при генерации ключей Kerberos, из-за которой получаются нерабочие ключи AES. В этом поможет инспекция базы ntds.dit командлетами DSInternals.

https://habr.com/ru/articles/1029892/

#kerberos #keytab

Интеграция MULTIDIRECTORY и MULTIFACTOR: двухфакторная аутентификация в Kerberos

Kerberos — один из тех протоколов, которые в инфраструктуре работают «тихо». Пользователь вошёл в систему один раз, и дальше всё открывается без лишних вопросов. За этим удобством стоит строгая модель доверия, построенная вокруг KDC и тикетов. Но есть нюанс: классический Kerberos — это по сути однофакторная аутентификация. Если пароль скомпрометирован, вся цепочка доверия находится под угрозой. В этой статье разберём, как можно усилить Kerberos с помощью второго фактора и как это реализовано в связке MULTIDIRECTORY и MULTIFACTOR.

https://habr.com/ru/companies/multifactor/articles/1027480/

#multidirectory #multifactor #kerberos #2fa #2faаутентификация #служба_каталогов #мультифактор

@abbra and I released version 0.1.0 of the Kirmes LocalKDC today.

https://gitlab.com/kirmes/localkdc/-/releases/0.1.0

Wait, what are we needing a KDC for which only runs locally? Well, you want the details, I suggest to watch our talk at https://sambaxp.org/ next Monday (or wait till it is online).

It uses systemd-userdb via libkirmes (written in rust) and implements KDB modules for MIT Kerberos also written in Rust (kurbu5)!

#kerberos #rust #rustlang #systemd

Особенность настройки аутентификации 1С через веб-сервер расположенный на Linux

В сети достаточно информации о настройке аутентификации 1С при публикации базы на веб‑сервере. Наиболее полная из найденных расположена по адресу https://infostart.ru/1c/articles/2440678 Информация в комментариях к статье достойна ознакомления. Однако для сценария когда: Подробнее...

https://habr.com/ru/articles/1019054/

#1с #kerberos #аутентификация #вебсервер #сервер_приложений

Никаких эксплойтов и zero-day: как эксплуатация безобидных настроек Асtive Directory приводит к компрометации домена

Привет, Хабр! На связи Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры команды Бастиона и автор книги «Идём по киберследу» . Пентестер зачастую воспринимается как «белый маг хакер», которому дай только возможность запустить пару эксплойтов и поэксплуатировать zero-day. Однако наш опыт подсказывает, что самые неприметные и «безобидные» настройки Active Directory могут нести не меньшую опасность в руках умелого взломщика. В этой статье я расскажу о трех интересных пентестах, выполненных нашей командой. Во всех этих кейсах использовалась моя базовая методология пентеста, которая несколько отличается от классического подхода, и применялись только этичные приемы. Итак, поехали!

https://habr.com/ru/companies/bastion/articles/1012354/

#active_directory #Red_Team #пентест #информационная_безопасность #тестирование_на_проникновение #Kerberos #AD #компрометация_домена

Типичные ошибки настройки Active Directory

Всем привет! На связи Карпенко Савелий, специалист по тестированию на проникновение из группы по борьбе с уязвимостями в компании ТехВилл. В рамках нашей работы мы регулярно тестируем Active Directory (AD). Это центральный сервис аутентификации и управления доступом во многих корпоративных сетях. С практической точки зрения ошибки в конфигурациях AD часто становятся главной причиной взлома, среди проблемных аспектов можно назвать неверное назначение прав, доступов и использование устаревших механизмов аутентификации. Наличие недостатков в конфигурациях даёт атакующему возможность последовательно поднимать уровень своих привилегий. Ниже собраны типовые ошибки конфигурации, которые чаще всего встречаются на проектах, и показано, как они складываются в цепочки компрометации. На практике аудит и тестирование обычно начинаются с исходных учетных данных, которые предоставляет заказчик. Если их нет, проникновение в инфраструктуру часто происходит через внешние веб-сервисы и ошибки на периметре (утечки паролей, небезопасные публикации, уязвимости бизнес-приложений). В российской практике одним из наиболее частых векторов для входа считается инфраструктура 1С, из-за повсеместного использования и различного уровня поддержки здесь чаще встречаются и слабые настройки, и типовые уязвимости.

https://habr.com/ru/companies/vkusvill/articles/1010812/

#вкусвилл #active_directory #тестирование #kerberos #windows #pentest

Today's fun discovery:
* if you set the `+needchange` flag on a user's #Kerberos principal, the command-line utilities all do the right thing
* in my experience, the same is true of `pam_krb5` when it's configured to be first in the authentication stack
* but if you also have pam_duo configured, it will fight with pam_krb5 and both will fail, locking the user out rather than allowing them to change their password

I haven't figured out how to test this with another 2fa module yet.

PSA for #Qutebrowser users (#Qt6 #Webengine based): we need to use this option to enable #kerberos support in `~/.config/qutebrowser/autoconfig.yaml` (for example, if you're a @fedora package maintainer and don't want to have to keep re-logging into Fedora websites):

```
qt.args:
global:
- auth-server-allowlist=*<domain>
```

Used to be `auth-server-whitelist` but changed at some point.

Reference: https://github.com/qutebrowser/qutebrowser/issues/8313

#FOSS #OpenSource