Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) 自动在用户使用连接到公司网络的公司设备时自动登录。启用后,用户无需输入密码即可登录 Azure AD,通常甚至无需输入用户名。此功能为用户提供了轻松访问基于云的应用程序的方式,而无需任何额外的本地组件。
基本上,Azure AD Seamless SSO 在用户 在本地域加入的 PC 上 自动登录。
它支持 PHS (密码哈希同步) 和 PTA (透传身份验证)。
桌面 SSO 使用 Kerberos 进行身份验证。配置后,Azure AD Connect 在本地 AD 中创建一个名为 AZUREADSSOACC$ 的 计算机帐户。AZUREADSSOACC$ 帐户的密码在配置期间以明文形式发送到 Azure AD。
Kerberos 票证使用密码的 NTHash (MD4) 进行 加密,Azure AD 使用发送的密码解密票证。
Azure AD 暴露一个 端点 (https://autologon.microsoftazuread-sso.com),接受 Kerberos 票证。域加入机器的浏览器将票证转发到此端点以实现 SSO。
用户 AZUREADSSOACC$ 的密码从不更改。因此,域管理员可以破解该 帐户的哈希,然后使用它来 创建银票 以连接到 Azure,使用 任何已同步的本地用户:
使用该哈希,您现在可以生成银票:
要利用银票,应执行以下步骤:
启动浏览器: 应启动Mozilla Firefox。
配置浏览器:
导航到 about:config。
将 network.negotiate-auth.trusted-uris 的首选项设置为指定的 值:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
访问Web应用程序:
访问与组织的AAD域集成的Web应用程序。一个常见的例子是 Office 365。
身份验证过程:
在登录屏幕上,应输入用户名,密码字段留空。
要继续,请按TAB或ENTER。
这不会绕过启用的MFA
也可以执行此攻击 而不进行dcsync攻击,以更隐蔽,如 在这篇博客文章中解释的。为此,您只需以下之一:
黄金票证:如果您拥有KRBTGT密钥,您可以为被攻击用户创建所需的TGT。
被攻陷用户的NTLM哈希或AES密钥: SeamlessPass将使用此信息与域控制器通信以生成TGT。
AZUREADSSOACC$帐户NTLM哈希或AES密钥: 使用此信息和用户的安全标识符(SID)进行攻击,可以创建服务票证并与云进行身份验证(如前面的方法所示)。
最后,使用TGT可以使用工具 SeamlessPass 进行:
有关将 Firefox 设置为与无缝 SSO 一起使用的更多信息,可以在 此博客文章中找到。
如果 Active Directory 管理员可以访问 Azure AD Connect,他们可以 为任何云用户设置 SID。这样,Kerberos 票证也可以 为仅云用户创建。唯一的要求是 SID 是一个合适的 SID。
更改仅云管理员用户的 SID 现在被 微软阻止。 有关信息,请查看 https://aadinternals.com/post/on-prem_admin/
任何可以管理计算机帐户 (AZUREADSSOACC$) 的人,在该帐户所在的容器或 OU 中,都可以 配置基于资源的受限委派并访问它。
学习和实践 AWS 黑客攻击:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客攻击:HackTricks 培训 GCP 红队专家 (GRTE)
