В данной статье я постарался максимально полно и глубоко рассказать про построение и внутреннее использование ACL (Access Control List) внутри Active Directory. В этой статье нет рассказов про "null DACL" и "empty DACL" и тому подобного. Если читатель хочет изучить все более простые нюансы использования ACL, то рекомендую почитать другую мою статью или лучше сразу почитать комментарии к моему тестовому коду для этой статьи.

Что будет в этой статье:

- Расскажу про все 22 различных типа ACE, а также разделю их на 4 различных вида;

- Расскажу, почему прав вида "GENERIC" не существует;

- Покажу, как именно флаги из ACCESS_MASK работают при проверках в Active Directory;

- Расскажу почему вы не сможете "сделать RBCD" имея AllExtendedRights на "computer";

- Расскажу и дам ссылку на программу для получения всех "control access rights" (extended rights, validated writes, property sets);

- Покажу, как получить полный список всех атрибутов, связанных control access rights и подчинённых классов для любого объекта в домене;

- Расскажу про каждое "validated write" в отдельности и покажу как можно обойти их контроль;

- Как именно хранятся security descriptors в NTDS.DIT и почему их там мало;

- Дам таблицу для всех "extended access rights" со ссылками на алгоритмы их использования;

Несмотря на то, что уже существует множество различных статей про Kerberos, я всё‑таки решил написать ещё одну. Прежде всего эта статья написана для меня лично: я захотел обобщить знания, полученные в ходе изучения других статей, документации, а также в ходе практического использования Kerberos. Однако я также надеюсь, что статья будет полезна всем её читателям и кто‑то найдёт в ней новую и полезную информацию.

Данную статью я написал после того, как сделал собственную библиотеку, генерирующую сообщения протокола Kerberos, а также после того, как я протестировал «стандартный клиент» Kerberos в Windows — набор функций SSPI. Я научился тестировать произвольные конфигурации сервисов при всех возможных видах делегирования. Я нашёл способ, как выполнять пре‑аутентификацию в Windows как с применением имени пользователя и пароля, так и с помощью PKINIT. Я также сделал библиотеку, которая умещает «стандартный» код для запроса к SSPI в 3–5 строк вместо, скажем, 50-ти.

Хотя в названии статьи фигурирует «простыми словами» однако эта статья предполагает, что читатель уже имеет какое‑то представление о Kerberos.

В сентябре 2021 года я решил лучше изучить область "offensive cybersecurity". Задача стояла именно в получении реальных знаний, без какой-то последующей привязки к сертификации. Изучая рынок предложений я нашёл, что крайне большой популярностью пользуется курс от сайта offensive-security.com, однако он жёстко привязан именно к получению сертификата OSCP. Курс на тот момент стоил порядка $700 (сейчас он, кстати, стоит уже $1500) и представлял из себя один длинный PDF, набор хороших (по отзывам) лабораторных работ и возможность прохождения сертификации OSCP.

И тут я нашёл информацию, что кроме OSCP есть ещё один достаточно популярный источник знаний - elearnsecurity.com. Как оказалось, на тот момент этот ресурс был куплен компанией INE (ine.com), и INE предлагал крайне выгодные условия обучения - те же $700 (https://ine.com/pricing), но только за годичный неограниченный доступ к около 1000 различных курсов, 42 "learning paths", множеству лабораторных работ (более 185), а также 50% скидку на любой сертификат от eLearnSecurity. На данной платформе есть как курсы по cybersecurity, так и по Cisco (CCNP, CCNA, CCIE), Azure, basic networking и многое другое. Также кому-то будет интересно, что INE недавно купила ресурс Pentester Academy (www.pentesteracademy.com) и на платформе INE появились дополнительные 45 курсов от Pentester Academy. В данной статье я приведу дополнительную информацию и свой личный опыт обучения на данной платформе. 

Итак, для начала приведу скриншоты с цифрами по количеству и категориям существующих курсов:

Хотите изучить подсистему контроля доступа Windows за два час? Да ещё так знать эту тему, как ни один ваш преподаватель не знает? Хотите знать, как использовать функцию Windows API с самым длинным именем - AccessCheckByTypeResultListAndAuditAlarmByHandle? А увидеть код, создающий недокументированные структуры Windows? Тогда вам сюда!

В статье представлено описание библиотеки и набора тестов, которые позволят любому пользователю изучить в максимально полном объёме подсистему контроля доступа Windows при достаточно малых начальных знаниях. Рассматриваются вопросы работы с DACL, SACL, Conditional ACE, mandatory integrity checking и многие другие. Тесты позволяют пользователю самому произвольно менять входные данные и самостоятельно модифицировать их для более детального изучения нужных конкретному пользователю тем. Представленная библиотека позволят осуществлять разбор и создание всех внутренних структур подсистемы безопасности Windows, а также позволяет создавать «access tokens» с произвольными начальными данными.

Введение

• Полная поддержка Web Cryptography API;
• Ограниченная возможность использования как в iPhone (через использование Safari), так и в Android приложениях (Google Chrome);
• Расширилось количество примеров. В частности, добавились примеры использования PKIjs для проверки подписей в PDF файлах и для проверки подписей в S/MIME;
• Использование всех алгоритмов подписи из Web Cryptography API:
  • RSASSA-PKCS1-v1_5 (PKCS#1 v1.5);
  • RSA-PSS (PKCS#1 v2);
  • ECDSA (подпись на ECC, Elliptic Curve Cryptography);
• Первая реализация «certificate chain verification engine» (верификация цепочки сертификатов) на чистом JavaScript и проходящая основные тесты NIST;
• Первая и пока единственная реализация «Suite B» для подписи и шифрования данных в виде CMS (Cryptographic Message Syntax) в «open-source» на чистом JavaScript;
  • Подпись CMS с помощью ECDSA;
  • Шифрование с применением схем «ephemeral-static» ECDH;
  • Использование AES-CBC и AES-GCM;
  • Использование расширенного списка алгоритмов хеширования: от SHA-1 до SHA-512;
  • Возможность создания зашифрованных сообщений на основе использования пароля с использованием алгоритмов серии AES;

1. Объектно-ориентированный код;
2. Работа с HTML5 (ArrayBuffer, Promises, WebCrypto (используется «dev nightly build» Google Chrome));
3. Возможность создавать, проверять, получать внутренние данные, изменять данные для следующих объектов:
   
   1. Сертификаты X.509
   2. Списки отзыва (CRL) X.509
   3. Запросы на сертификат (PKCS#10)
   4. OCSP запросы;
   5. Ответы OCSP сервера
   6. Time-stamping (TSP) запросы
   7. Ответы TSP сервера
   8. CMS Signed Data
   9. CMS Enveloped Data
   
   
4. Реализация собственной «certificate chain validation engine» на JavaScript;
5. … И многое другое! Смотрите под катом!

Введение для Хабра

Приведённый ниже текст является на самом деле первыми двумя главами моей статьи "ASN.1 простыми словами". Так как сама статья достаточно большая по меркам Хабра я решил сначала проверить являются ли знания по кодированию простых типов востребованными на этом ресурсе. В случае положительной реакции аудитории я продолжу публикацию всех остальных глав.