Last updated
学习与实践 AWS 黑客技术: 学习与实践 GCP 黑客技术:
密码哈希同步 是实现混合身份的一种登录方法。Azure AD Connect 将用户密码的哈希值从本地 Active Directory 实例同步到基于云的 Azure AD 实例。
这是公司用来将本地 AD 与 Azure AD 同步的 最常见方法。
所有 用户 和 密码哈希的哈希 都从本地同步到 Azure AD。然而,明文密码 或 原始 哈希 不会发送到 Azure AD。 此外,内置 安全组(如域管理员等)不会 同步 到 Azure AD。
哈希同步 每 2 分钟 发生一次。然而,默认情况下,密码过期 和 帐户 过期 在 Azure AD 中 不同步。因此,本地密码过期(未更改)的用户可以继续使用旧密码 访问 Azure 资源。
当本地用户想要访问 Azure 资源时,身份验证在 Azure AD 上进行。
PHS 是 身份保护 和 AAD 域服务等功能所必需的。
当配置 PHS 时,一些 特权帐户 会自动 创建:
帐户 Sync_<name of on-prem ADConnect Server>_installationID 会在 Azure AD 中创建。该帐户可以 重置 Azure AD 中任何用户(同步或仅云)的密码。
这两个特权帐户的密码 存储在 SQL 服务器 上,该服务器上 安装了 Azure AD Connect。管理员可以提取这些特权用户的明文密码。
数据库位于 C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf。
可以从其中一个表中提取配置,其中一个是加密的:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
加密配置 使用 DPAPI 加密,并包含本地 AD 中 MSOL_* 用户的 密码 和 AzureAD 中 Sync_* 的密码。因此,妥协这些信息可以提升到 AD 和 AzureAD 的权限。
如果 安装 Azure AD Connect 的服务器 加入了域(文档中推荐),可以使用以下方法找到它:
妥协 Sync_* 账户可以 重置任何用户的密码(包括全局管理员)。
也可以仅修改云用户的密码(即使这出乎意料)
可以转储该用户的密码。
另一个选项是为服务主体分配特权权限,而Sync用户有权限这样做,然后访问该服务主体作为特权提升的方法。
可以使用PHS进行无缝单点登录,这对其他滥用行为是脆弱的。请查看:
帐户 MSOL_<installationID> 会在本地 AD 中自动创建。该帐户被赋予 目录同步帐户 角色(见 ),这意味着它在本地 AD 中具有 复制 (DCSync) 权限。
您可以在 。
您还可以使用 来获取这些凭据。
学习和实践AWS黑客攻击: 学习和实践GCP黑客攻击:
查看!
加入 💬 或或在 Twitter 🐦 上关注我们。
通过向 和 GitHub库提交PR来分享黑客技巧。
