Az AD Connect - Hybrid Identity

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Basiese Inligting

Integrasie tussen On-premises Active Directory (AD) en Azure AD word gefasiliteer deur Azure AD Connect, wat verskeie metodes bied wat Enkeltekenaanmelding (SSO) ondersteun. Elke metode, hoewel nuttig, bied potensiële sekuriteitskwesbaarhede wat uitgebuit kan word om die wolk- of on-premises-omgewing in gevaar te bring:

  • Pass-Through Authentication (PTA):

  • Moontlike kompromittering van die agent op die on-prem AD, wat validering van gebruikerswagwoorde vir Azure-verbindinge (on-prem na Cloud) moontlik maak.

  • Moontlikheid om 'n nuwe agent te registreer om validering van outentifikasies op 'n nuwe plek moontlik te maak (Cloud na on-prem).

Az - PTA - Pass-through Authentication
  • Password Hash Sync (PHS):

  • Potensiële ontginning van klaarteks wagwoorde van bevoorregte gebruikers uit die AD, insluitend legitimasie van 'n hoë-bevoorregte, outomaties gegenereerde AzureAD-gebruiker.

Az - PHS - Password Hash Sync
  • Federasie:

  • Diefstal van die privaat sleutel wat gebruik word vir SAML-ondertekening, wat die verpersoonliking van on-prem en wolk-identiteite moontlik maak.

Az - Federation
  • Naadlose SSO:

  • Diefstal van die wagwoord van die AZUREADSSOACC-gebruiker, wat gebruik word vir die ondertekening van Kerberos silwermiddels, wat die verpersoonliking van enige wolk-gebruiker moontlik maak.

Az - Seamless SSO
  • Cloud Kerberos Trust:

  • Moontlikheid om van Global Admin na on-prem Domain Admin te eskaleer deur AzureAD-gebruikersname en SIDs te manipuleer en TGT's van AzureAD aan te vra.

Az - Cloud Kerberos Trust
  • Verstektoepassings:

  • Kompromittering van 'n Application Administrator-rekening of die on-premises Sync-rekening maak dit moontlik om aanpassing van gidsinstellings, groepslidmaatskappe, gebruikersrekeninge, SharePoint-webwerwe en OneDrive-lêers toe te laat.

Az - Default Applications

Vir elke integrasiemetode word gebruikerssinsronisering uitgevoer, en 'n MSOL_<installationidentifier>-rekening word in die on-prem AD geskep. Dit is vermeldenswaardig dat beide die PHS- en PTA-metodes Naadlose SSO fasiliteer, wat outomatiese aanmelding vir Azure AD-rekenaars wat by die on-prem-domein aangesluit is, moontlik maak.

Om die installasie van Azure AD Connect te verifieer, kan die volgende PowerShell-opdrag, wat gebruik maak van die AzureADConnectHealthSync-module (standaard geïnstalleer met Azure AD Connect), gebruik word:

Get-ADSyncConnector
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated