原文:https://www.n00py.io/2018/08/bypassing-duo-two-factor-authentication-fail-open/

在进行渗透测试时,如果能够通过远程桌面协议(RDP)连接到目标系统的话,通常是非常有利的。就我而言,一旦获得了执行各种操作所需的凭证,就会使用rdesktopxfreerdp连接到相应的主机。可是,如果客户端使用Duo为Windows上的RDP访问提供了相应的保护的话,这种方法就会遇到问题。实际上,这还是一个非常棘手的问题,特别是当端口3389是跳板机器上开放的唯一端口的时候,则需要绕道其他网络。上次遇到这种情况时,偶然发现Alex LomasPen Test Partners上发表了一篇文章,详细介绍了绕过这种双因子认证的具体方法。

当然,这种攻击方法能给奏效的前提是,目标机器已将其Duo配置为“失效开放(fail open)”模式。不过,这种设置实际上是非常普遍的,毕竟这是其默认设置。如果系统将Duo 2FA配置为失效关闭(fail closed),并且互联网无法正常连接或DNS存在问题,那么这种攻击将会失效。当然,对于所有组织而言,这种做法是无法接受的(当然,极少数组织除外),所以,失效开放(fail open)是最为常见的配置。

在本文中,我们将通过两种方式来演示如何绕过这种认证方法:

  • 假设:您可以在系统上获得shell
  • 可以使用本地绕过方式
  • 假设:您无法访问系统
  • 可以使用基于网络的攻击方式

本地绕过方式


首先,设法获得shell。对于我来说,通常使用CrackMapExec + Metasploitwmiexec.py,当然,除此之外,还有许多其他方法可用。利用不需要2FA认证的方法进入目标系统后,运行下列命令:

ipconfig /displaydns

通常情况下,我会将命令输出传递给一个文件,以防其内容过多,同时也便于解析。我们需要检查文件的内容,以找到相应的Duo API DNS条目。当然,每个独立的Duo安装都会有一个不同的API端点与之对应。

如果由于某种原因,DNS缓存中没有任何内容的话,则需要触发身份验证请求。如果必须这样做的话,请避免使用已注册过Duo的帐户,因为这样的话,系统很可能会向其手机发送推送消息、短信或电子邮件。

下一步是编辑系统上的hosts文件。这一步需要具有管理员权限。

然后,需要备份原始hosts文件。备份后,请修改当前hosts文件。这一步非常简单,只需在hosts文件后面追加一个条目,将Duo API端点映射到localhost即可。

此时,如果Duo设置为失效开放(fail open)的话,只需通过用户名和密码就可以进入系统了。完成后这些操作后,请恢复hosts文件。

网络绕过方式


如果您没有管理员凭据,或SMB/WMI/etc不可用的话,则可以通过中间人攻击(MITM)拒绝访问Duo API。

要执行该操作,我们可以借助于Bettercap。人们通常Bettercap描述为“用于802.11、BLE和以太网网络侦察和攻击的瑞士军刀”。对于本文来说,我们将使用它执行ARP欺骗攻击和DNS欺骗攻击。

第一步是执行ARP欺骗。在这里,目标需要设置为我们尝试访问的IP。Bettercap会欺骗主机,让它相信我们就是默认网关。要完成该攻击,攻击者必须与受害者位于同一广播域中。否则的话,攻击者必须借助ARP欺骗之外的其他方法来完成MITM攻击。

安装运行Bettercap后,输入下列命令:

>set arp.spoof.targets [VICTIM IP]
>arp.spoof on

Bettercap将自动启用转发功能。

注意:您必须以root身份运行Bettercap才能启用转发功能。

成功执行ARP欺骗攻击之后,还将需要执行DNS欺骗攻击。为此,可以在Bettercap中键入下列命令:

>set dns.spoof.domains *.duosecurity.com
>dns.spoof on

这将改变针对Duo安全子域的所有DNS查询,从而响应攻击者的IP地址——这就很好了,因为我们只是想破坏API的正常工作。

之后,攻击者就可以通过RDP登录系统,而无需进行2FA身份认证了。登录后,请退出Bettercap。Bettercap将重新发送针对目标的ARP查询,不过,DNS条目的过期需要一段时间,一般等待几分钟即可。

控制台绕过方式


对于这种方法来说,除了要求系统采用默认设置以外,还有其他的要求,但是,我确实发现一些客户端选中了第三个框,“仅在通过RDP登录时提示进行Duo身份验证”。很多时候,管理员会通过身份验证将远程攻击者拒之门外,但对具有物理访问权限的用户来说,通常会给予更多的信任。然而,问题在于,在某些情况下,攻击者也可以远程执行“本地”登录。

如果客户端是通过VMware或Hyper-V来实现某些基础架构的虚拟化的话,那么,我们就可以将其用作访问受Duo保护的系统的一种攻击路径。通常情况下,在获得凭据后,会有一个VMware web界面可供连接使用。此外,用户还可以连接Hyper-V或VSphere软件的客户端。完成连接后,攻击者就可以通过虚拟控制台连接所有虚拟化的系统了。当我们连接到控制台时,系统会像对待本地登录一样对待我们的登陆过程。因此,Duo是不会提示MFA的。

当然,在许多情况下,攻击者无需获得RDP访问权限就能实现自己的目的,但是,有时候获取该权限也是非常有用的。RDP很酷的一点是,如果我们使用能够生成有效会话的凭据进行连接的话,就能接管该用户的桌面会话。如果用户已经打开了KeePass、Lastpass或1Password之类的密码管理软件,或者他们主动登录到Web上的内部资源或通过其系统上的软件完成了相应的登录,则RDP访问权限就会变得非常有用。在登陆了内部Web资源的情况下,攻击者可以从磁盘上的浏览器中提取cookie,但是,对于某些东西来说,例如HTTP基本身份验证头部等,根本就不会驻留到硬盘驱动器上,所以,只能通过转储内存来恢复这些数据。虽然像KeeThief这样的工具有时可以在获得shell访问权限的情况下从内存中提取密码,但RDP通常可以让这个过程更加容易,并且还可以应付其他类型的密码管理软件或不太了解的、已经通过身份验证的各种软件。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖