Az - Lateral Movement (Cloud - On-Prem)
Az - Lateral Movement (Cloud - On-Prem)
连接到云的本地机器
机器可以通过不同方式连接到云:
Azure AD 加入
工作场所加入
混合加入
在 AADJ 或混合上工作场所加入
令牌和限制
在 Azure AD 中,有不同类型的令牌,具有特定的限制:
访问令牌:用于访问 API 和资源,如 Microsoft Graph。它们与特定客户端和资源绑定。
刷新令牌:发放给应用程序以获取新的访问令牌。它们只能由发放给它们的应用程序或一组应用程序使用。
主刷新令牌 (PRT):用于 Azure AD 加入、注册或混合加入设备的单点登录。它们可以在浏览器登录流程中使用,也可以用于在设备上登录移动和桌面应用程序。
Windows Hello for Business 密钥 (WHFB):用于无密码身份验证。用于获取主刷新令牌。
最有趣的令牌类型是主刷新令牌 (PRT)。
Az - Primary Refresh Token (PRT)旋转技术
从 被攻陷的机器到云:
Pass the Cookie:从浏览器窃取 Azure cookie 并使用它们登录
Dump processes access tokens:转储与云同步的本地进程的内存(如 Excel、Teams...)并找到明文访问令牌。
Phishing Primary Refresh Token: 钓鱼 PRT 以滥用它
Pass the PRT:窃取设备 PRT 以访问 Azure 进行冒充。
Pass the Certificate: 基于 PRT 生成证书以从一台机器登录到另一台机器
从攻陷 AD 到攻陷 云,再从攻陷 云 到攻陷 AD:
从云到本地的另一种旋转方式是 滥用 Intune
此工具允许执行多种操作,如在 Azure AD 中注册机器以获取 PRT,并使用 PRT(合法或被盗)以多种方式访问资源。这些不是直接攻击,但它简化了使用 PRT 以不同方式访问资源的过程。更多信息请访问 https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
参考
Last updated