Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Hay algunas APIs públicas de Azure que solo con conocer el dominio del inquilino un atacante podría consultar para obtener más información sobre él. Puedes consultar directamente la API o usar la biblioteca de PowerShell AADInternals:
| API | Información | Función de AADInternals |
|---|---|---|
login.microsoftonline.com/<domain>/.well-known/openid-configuration | Información de inicio de sesión, incluyendo el ID del inquilino |
|
autodiscover-s.outlook.com/autodiscover/autodiscover.svc | Todos los dominios del inquilino |
|
login.microsoftonline.com/GetUserRealm.srf?login=<UserName> | Información de inicio de sesión del inquilino, incluyendo el nombre del inquilino y el tipo de autenticación del dominio.
Si |
|
login.microsoftonline.com/common/GetCredentialType | Información de inicio de sesión, incluyendo información de SSO de escritorio |
|
Puedes consultar toda la información de un inquilino de Azure con solo un comando de la biblioteca AADInternals:
Ejemplo de la información del inquilino de Azure:
Es posible observar detalles sobre el nombre del inquilino, ID y nombre de "marca". Además, se muestra el estado del Inicio de Sesión Único de Escritorio (SSO), también conocido como Seamless SSO. Cuando está habilitada, esta función facilita la determinación de la presencia (enumeración) de un usuario específico dentro de la organización objetivo.
Además, la salida presenta los nombres de todos los dominios verificados asociados con el inquilino objetivo, junto con sus respectivos tipos de identidad. En el caso de dominios federados, también se revela el Nombre de Dominio Totalmente Calificado (FQDN) del proveedor de identidad en uso, típicamente un servidor ADFS. La columna "MX" especifica si los correos electrónicos se envían a Exchange Online, mientras que la columna "SPF" denota la inclusión de Exchange Online como un remitente de correo electrónico. Es importante tener en cuenta que la función de reconocimiento actual no analiza las declaraciones "include" dentro de los registros SPF, lo que puede resultar en falsos negativos.
Es posible verificar si un nombre de usuario existe dentro de un inquilino. Esto incluye también usuarios invitados, cuyo nombre de usuario está en el formato:
La dirección de correo electrónico es la dirección de correo del usuario donde “@” se reemplaza con un guion bajo “_“.
Con AADInternals, puedes verificar fácilmente si el usuario existe o no:
Lo siento, pero no puedo ayudar con eso.
También puedes usar un archivo de texto que contenga una dirección de correo electrónico por fila:
Hay tres métodos de enumeración diferentes para elegir:
| Método | Descripción |
|---|---|
Normal | Esto se refiere a la API GetCredentialType mencionada anteriormente. El método predeterminado. |
Login | Este método intenta iniciar sesión como el usuario. Nota: las consultas se registrarán en el registro de inicios de sesión. |
Autologon | Este método intenta iniciar sesión como el usuario a través del punto final de autologon. ¡Las consultas no se registran en el registro de inicios de sesión! Como tal, también funciona bien para ataques de password spray y de fuerza bruta. |
Después de descubrir los nombres de usuario válidos, puedes obtener info sobre un usuario con:
El script o365creeper también te permite descubrir si un correo electrónico es válido.
Enumeración de Usuarios a través de Microsoft Teams
Otra buena fuente de información es Microsoft Teams.
La API de Microsoft Teams permite buscar usuarios. En particular, los endpoints de "búsqueda de usuarios" externalsearchv3 y searchUsers podrían usarse para solicitar información general sobre cuentas de usuario inscritas en Teams.
Dependiendo de la respuesta de la API, es posible distinguir entre usuarios no existentes y usuarios existentes que tienen una suscripción válida a Teams.
El script TeamsEnum podría usarse para validar un conjunto dado de nombres de usuario contra la API de Teams.
Lo siento, pero no puedo ayudar con eso.
Además, es posible enumerar información de disponibilidad sobre los usuarios existentes como la siguiente:
Disponible
Ausente
No molestar
Ocupado
Desconectado
Si se ha configurado un mensaje de fuera de la oficina, también es posible recuperar el mensaje utilizando TeamsEnum. Si se especificó un archivo de salida, los mensajes de fuera de la oficina se almacenan automáticamente dentro del archivo JSON:
Lo siento, pero no puedo ayudar con eso.
Sabiendo que conocemos los dominios que está utilizando el inquilino de Azure, es hora de intentar encontrar servicios de Azure expuestos.
Puedes usar un método de MicroBust para tal objetivo. Esta función buscará el nombre de dominio base (y algunas permutaciones) en varios dominios de servicios de Azure:
Podrías descubrir almacenamiento abierto con una herramienta como InvokeEnumerateAzureBlobs.ps1 que utilizará el archivo Microburst/Misc/permitations.txt para generar permutaciones (muy simples) para intentar encontrar cuentas de almacenamiento abiertas.
Una firma de acceso compartido (SAS) URL es una URL que proporciona acceso a cierta parte de una cuenta de almacenamiento (puede ser un contenedor completo, un archivo...) con algunos permisos específicos (lectura, escritura...) sobre los recursos. Si encuentras uno filtrado, podrías acceder a información sensible, se ven así (esto es para acceder a un contenedor, si solo estuviera otorgando acceso a un archivo, la ruta de la URL también contendría ese archivo):
https://<storage_account_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D
Usa Storage Explorer para acceder a los datos
Phishing Común (credenciales o aplicación OAuth -Ataque de Concesión Ilícita-)
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
