Az - PTA - Pass-through Authentication

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Basic Information

Van die dokumentasie: Azure Active Directory (Azure AD) Pass-through Authentication laat jou gebruikers toe om in te teken op beide plaaslike en wolk-gebaseerde toepassings met dieselfde wagwoorde. Hierdie funksie bied jou gebruikers 'n beter ervaring - een minder wagwoord om te onthou, en verminder IT helpdesk koste omdat jou gebruikers minder geneig is om te vergeet hoe om in te teken. Wanneer gebruikers in teken met Azure AD, valideer hierdie funksie gebruikers se wagwoorde direk teen jou plaaslike Active Directory.

In PTA identiteite is gesinkroniseer maar wagwoorde is nie soos in PHS nie.

Die autentisering word in die plaaslike AD gevalideer en die kommunikasie met die wolk word gedoen deur 'n autentisering agent wat op 'n plaaslike bediener loop (dit hoef nie op die plaaslike DC te wees nie).

Authentication flow

Om te log in word die gebruiker na Azure AD herlei, waar hy die gebruikersnaam en wagwoord stuur.
Die bewyse word geënkripteer en in 'n ry in Azure AD gestel.
Die plaaslike autentisering agent versamel die bewyse uit die ry en dekripteer dit. Hierdie agent word "Pass-through authentication agent" of PTA agent genoem.
Die agent valideer die bewys teen die plaaslike AD en stuur die antwoord terug na Azure AD wat, indien die antwoord positief is, die inlog van die gebruiker voltooi.

As 'n aanvaller die PTA kompromitteer, kan hy die alle bewyse uit die ry sien (in duidelike teks). Hy kan ook enige bewys na die AzureAD valideer (soortgelyke aanval as Skeleton key).

On-Prem -> cloud

As jy admin toegang het tot die Azure AD Connect bediener met die PTA agent wat loop, kan jy die AADInternals module gebruik om 'n agterdeur te invoeg wat AL die wagwoorde wat ingevoer word, sal valideer (sodat al die wagwoorde geldig sal wees vir autentisering):

Install-AADIntPTASpy

As die installasie misluk, is dit waarskynlik as gevolg van ontbrekende Microsoft Visual C++ 2015 Redistributables.

Dit is ook moontlik om die duidelike teks wagwoorde wat na die PTA-agent gestuur is te sien met behulp van die volgende cmdlet op die masjien waar die vorige agterdeur geïnstalleer is:

Get-AADIntPTASpyLog -DecodePasswords

This backdoor will:

Skep 'n verborge gids C:\PTASpy
Kopieer 'n PTASpy.dll na C:\PTASpy
Spuit PTASpy.dll in die AzureADConnectAuthenticationAgentService proses

Wanneer die AzureADConnectAuthenticationAgent diens herbegin word, word PTASpy “ontlaai” en moet dit weer geïnstalleer word.

Cloud -> On-Prem

Nadat GA bevoegdhede op die wolk verkry is, is dit moontlik om 'n nuwe PTA-agent te registreer deur dit op 'n aanvaller beheerde masjien in te stel. Sodra die agent opgestel is, kan ons die vorige stappe herhaal om te autentiseer met enige wagwoord en ook, die wagwoorde in duidelike teks te verkry.

Seamless SSO

Dit is moontlik om Seamless SSO met PTA te gebruik, wat kwesbaar is vir ander misbruik. Kontroleer dit in:

Az - Seamless SSO

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - PHS - Password Hash Sync NextAz - Seamless SSO

Last updated 3 days ago