Az - Lateral Movement (Cloud - On-Prem)

Az - Laterale Bewegung (Cloud - On-Prem)

Unterstützen Sie HackTricks

On-Prem Maschinen, die mit der Cloud verbunden sind

Es gibt verschiedene Möglichkeiten, wie eine Maschine mit der Cloud verbunden sein kann:

Azure AD verbunden

Arbeitsplatz verbunden

Hybrid verbunden

Arbeitsplatz verbunden auf AADJ oder Hybrid

Tokens und Einschränkungen

In Azure AD gibt es verschiedene Arten von Tokens mit spezifischen Einschränkungen:

  • Zugriffstokens: Werden verwendet, um auf APIs und Ressourcen wie Microsoft Graph zuzugreifen. Sie sind an einen bestimmten Client und eine Ressource gebunden.

  • Aktualisierungstokens: Werden an Anwendungen ausgegeben, um neue Zugriffstokens zu erhalten. Sie können nur von der Anwendung verwendet werden, an die sie ausgegeben wurden, oder von einer Gruppe von Anwendungen.

  • Primäre Aktualisierungstokens (PRT): Werden für die Single Sign-On-Authentifizierung auf Azure AD verbundenen, registrierten oder hybrid verbundenen Geräten verwendet. Sie können in Anmeldeflüssen im Browser und für die Anmeldung bei mobilen und Desktop-Anwendungen auf dem Gerät verwendet werden.

  • Windows Hello for Business-Schlüssel (WHFB): Werden für passwortlose Authentifizierung verwendet. Sie werden verwendet, um primäre Aktualisierungstokens zu erhalten.

Die interessanteste Art von Token ist das primäre Aktualisierungstoken (PRT).

Az - Primary Refresh Token (PRT)

Pivoting-Techniken

Von der kompromittierten Maschine zur Cloud:

  • Pass the Cookie: Stehlen Sie Azure-Cookies aus dem Browser und verwenden Sie sie zur Anmeldung

  • Dump processes access tokens: Dumpen Sie den Speicher lokaler Prozesse, die mit der Cloud synchronisiert sind (wie Excel, Teams...) und finden Sie Zugriffstokens im Klartext.

  • Phishing Primary Refresh Token: Phish das PRT, um es auszunutzen

  • Pass the PRT: Stehlen Sie das Geräte-PRT, um Azure zuzugreifen und sich als es auszugeben.

  • Pass the Certificate: Generieren Sie ein Zertifikat basierend auf dem PRT, um sich von einer Maschine zur anderen anzumelden

Vom Kompromittieren AD zum Kompromittieren der Cloud und vom Kompromittieren der Cloud zum Kompromittieren AD:

Dieses Tool ermöglicht es, mehrere Aktionen durchzuführen, wie z.B. eine Maschine in Azure AD zu registrieren, um ein PRT zu erhalten, und PRTs (echt oder gestohlen) zu verwenden, um auf Ressourcen auf verschiedene Weise zuzugreifen. Dies sind keine direkten Angriffe, aber es erleichtert die Verwendung von PRTs, um auf Ressourcen auf verschiedene Weise zuzugreifen. Weitere Informationen finden Sie unter https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Referenzen

Unterstützen Sie HackTricks

Last updated