Az - PTA - Pass-through Authentication
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Van die dokumentasie: Azure Active Directory (Azure AD) Pass-through Authentication laat jou gebruikers toe om in te teken op beide plaaslike en wolk-gebaseerde toepassings met dieselfde wagwoorde. Hierdie funksie bied jou gebruikers 'n beter ervaring - een minder wagwoord om te onthou, en verminder IT helpdesk koste omdat jou gebruikers minder geneig is om te vergeet hoe om in te teken. Wanneer gebruikers in teken met Azure AD, valideer hierdie funksie gebruikers se wagwoorde direk teen jou plaaslike Active Directory.
In PTA identiteite is gesinkroniseer maar wagwoorde is nie soos in PHS nie.
Die autentisering word in die plaaslike AD gevalideer en die kommunikasie met die wolk word gedoen deur 'n autentisering agent wat op 'n plaaslike bediener loop (dit hoef nie op die plaaslike DC te wees nie).
Om te log in word die gebruiker na Azure AD herlei, waar hy die gebruikersnaam en wagwoord stuur.
Die bewyse word geënkripteer en in 'n ry in Azure AD gestel.
Die plaaslike autentisering agent versamel die bewyse uit die ry en dekripteer dit. Hierdie agent word "Pass-through authentication agent" of PTA agent genoem.
Die agent valideer die bewys teen die plaaslike AD en stuur die antwoord terug na Azure AD wat, indien die antwoord positief is, die inlog van die gebruiker voltooi.
As 'n aanvaller die PTA kompromitteer, kan hy die alle bewyse uit die ry sien (in duidelike teks). Hy kan ook enige bewys na die AzureAD valideer (soortgelyke aanval as Skeleton key).
As jy admin toegang het tot die Azure AD Connect bediener met die PTA agent wat loop, kan jy die AADInternals module gebruik om 'n agterdeur te invoeg wat AL die wagwoorde wat ingevoer word, sal valideer (sodat al die wagwoorde geldig sal wees vir autentisering):
As die installasie misluk, is dit waarskynlik as gevolg van ontbrekende Microsoft Visual C++ 2015 Redistributables.
Dit is ook moontlik om die duidelike teks wagwoorde wat na die PTA-agent gestuur is te sien met behulp van die volgende cmdlet op die masjien waar die vorige agterdeur geïnstalleer is:
This backdoor will:
Skep 'n verborge gids C:\PTASpy
Kopieer 'n PTASpy.dll
na C:\PTASpy
Spuit PTASpy.dll
in die AzureADConnectAuthenticationAgentService
proses
Wanneer die AzureADConnectAuthenticationAgent diens herbegin word, word PTASpy “ontlaai” en moet dit weer geïnstalleer word.
Nadat GA bevoegdhede op die wolk verkry is, is dit moontlik om 'n nuwe PTA-agent te registreer deur dit op 'n aanvaller beheerde masjien in te stel. Sodra die agent opgestel is, kan ons die vorige stappe herhaal om te autentiseer met enige wagwoord en ook, die wagwoorde in duidelike teks te verkry.
Dit is moontlik om Seamless SSO met PTA te gebruik, wat kwesbaar is vir ander misbruik. Kontroleer dit in:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)