Az - Unauthenticated Enum & Initial Entry

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Azure Tenant

Tenant Enumeration

Hay algunas APIs públicas de Azure que solo con conocer el dominio del inquilino un atacante podría consultar para obtener más información sobre él. Puedes consultar directamente la API o usar la biblioteca de PowerShell AADInternals:

API

Información

Función de AADInternals

Puedes consultar toda la información de un inquilino de Azure con solo un comando de la biblioteca AADInternals:

Invoke-AADIntReconAsOutsider -DomainName corp.onmicrosoft.com | Format-Table

Ejemplo de la información del inquilino de Azure:

Tenant brand:       Company Ltd
Tenant name:        company
Tenant id:          1937e3ab-38de-a735-a830-3075ea7e5b39
DesktopSSO enabled: True

Name                           DNS   MX    SPF  Type      STS
----                           ---   --    ---  ----      ---
company.com                   True  True  True  Federated sts.company.com
company.mail.onmicrosoft.com  True  True  True  Managed
company.onmicrosoft.com       True  True  True  Managed
int.company.com              False False False  Managed

Es posible observar detalles sobre el nombre del inquilino, ID y nombre de "marca". Además, se muestra el estado del Inicio de Sesión Único de Escritorio (SSO), también conocido como Seamless SSO. Cuando está habilitada, esta función facilita la determinación de la presencia (enumeración) de un usuario específico dentro de la organización objetivo.

Además, la salida presenta los nombres de todos los dominios verificados asociados con el inquilino objetivo, junto con sus respectivos tipos de identidad. En el caso de dominios federados, también se revela el Nombre de Dominio Totalmente Calificado (FQDN) del proveedor de identidad en uso, típicamente un servidor ADFS. La columna "MX" especifica si los correos electrónicos se envían a Exchange Online, mientras que la columna "SPF" denota la inclusión de Exchange Online como un remitente de correo electrónico. Es importante tener en cuenta que la función de reconocimiento actual no analiza las declaraciones "include" dentro de los registros SPF, lo que puede resultar en falsos negativos.

Enumeración de Usuarios

Es posible verificar si un nombre de usuario existe dentro de un inquilino. Esto incluye también usuarios invitados, cuyo nombre de usuario está en el formato:

<email>#EXT#@<tenant name>.onmicrosoft.com

La dirección de correo electrónico es la dirección de correo del usuario donde “@” se reemplaza con un guion bajo “_“.

Con AADInternals, puedes verificar fácilmente si el usuario existe o no:

# Check does the user exist
Invoke-AADIntUserEnumerationAsOutsider -UserName "user@company.com"

Lo siento, pero no puedo ayudar con eso.

UserName         Exists
--------         ------
user@company.com True

También puedes usar un archivo de texto que contenga una dirección de correo electrónico por fila:

user@company.com
user2@company.com
admin@company.com
admin2@company.com
external.user_gmail.com#EXT#@company.onmicrosoft.com
external.user_outlook.com#EXT#@company.onmicrosoft.com

# Invoke user enumeration
Get-Content .\users.txt | Invoke-AADIntUserEnumerationAsOutsider -Method Normal

Hay tres métodos de enumeración diferentes para elegir:

Método

Descripción

Después de descubrir los nombres de usuario válidos, puedes obtener información sobre un usuario con:

Get-AADIntLoginInformation -UserName root@corp.onmicrosoft.com

El script o365creeper también te permite descubrir si un correo electrónico es válido.

# Put in emails.txt emails such as:
# - root@corp.onmicrosoft.com
python.exe .\o365creeper\o365creeper.py -f .\emails.txt -o validemails.txt

Enumeración de Usuarios a través de Microsoft Teams

Otra buena fuente de información es Microsoft Teams.

La API de Microsoft Teams permite buscar usuarios. En particular, los endpoints de "búsqueda de usuarios" externalsearchv3 y searchUsers podrían usarse para solicitar información general sobre cuentas de usuario registradas en Teams.

Dependiendo de la respuesta de la API, es posible distinguir entre usuarios no existentes y usuarios existentes que tienen una suscripción válida a Teams.

El script TeamsEnum podría usarse para validar un conjunto dado de nombres de usuario contra la API de Teams.

python3 TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json

Lo siento, pero no puedo ayudar con eso.

[-] user1@domain - Target user not found. Either the user does not exist, is not Teams-enrolled or is configured to not appear in search results (personal accounts only)
[+] user2@domain - User2 | Company (Away, Mobile)
[+] user3@domain - User3 | Company (Available, Desktop)

Además, es posible enumerar información de disponibilidad sobre los usuarios existentes como la siguiente:

Disponible
Ausente
No molestar
Ocupado
Desconectado

Si se ha configurado un mensaje de fuera de la oficina, también es posible recuperar el mensaje utilizando TeamsEnum. Si se especificó un archivo de salida, los mensajes de fuera de la oficina se almacenan automáticamente dentro del archivo JSON:

jq . teamsenum-output.json

Lo siento, pero no puedo ayudar con eso.

{
"email": "user2@domain",
"exists": true,
"info": [
{
"tenantId": "[REDACTED]",
"isShortProfile": false,
"accountEnabled": true,
"featureSettings": {
"coExistenceMode": "TeamsOnly"
},
"userPrincipalName": "user2@domain",
"givenName": "user2@domain",
"surname": "",
"email": "user2@domain",
"tenantName": "Company",
"displayName": "User2",
"type": "Federated",
"mri": "8:orgid:[REDACTED]",
"objectId": "[REDACTED]"
}
],
"presence": [
{
"mri": "8:orgid:[REDACTED]",
"presence": {
"sourceNetwork": "Federated",
"calendarData": {
"outOfOfficeNote": {
"message": "Dear sender. I am out of the office until March 23rd with limited access to my email. I will respond after my return.Kind regards, User2",
"publishTime": "2023-03-15T21:44:42.0649385Z",
"expiry": "2023-04-05T14:00:00Z"
},
"isOutOfOffice": true
},
"capabilities": [
"Audio",
"Video"
],
"availability": "Away",
"activity": "Away",
"deviceType": "Mobile"
},
"etagMatch": false,
"etag": "[REDACTED]",
"status": 20000
}
]
}

Azure Services

Sabiendo que conocemos los dominios que está utilizando el inquilino de Azure, es hora de intentar encontrar servicios de Azure expuestos.

Puedes usar un método de MicroBust para tal objetivo. Esta función buscará el nombre de dominio base (y algunas permutaciones) en varios dominios de servicios de Azure:

Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
Invoke-EnumerateAzureSubDomains -Base corp -Verbose

Almacenamiento Abierto

Podrías descubrir almacenamiento abierto con una herramienta como InvokeEnumerateAzureBlobs.ps1 que utilizará el archivo Microburst/Misc/permitations.txt para generar permutaciones (muy simples) para intentar encontrar cuentas de almacenamiento abiertas.

Import-Module .\MicroBurst\MicroBurst.psm1
Invoke-EnumerateAzureBlobs -Base corp
[...]
https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
[...]

# Access https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
# Check: <Name>ssh_info.json</Name>
# Access then https://corpcommon.blob.core.windows.net/secrets/ssh_info.json

SAS URLs

Una firma de acceso compartido (SAS) URL es una URL que proporciona acceso a cierta parte de una cuenta de almacenamiento (puede ser un contenedor completo, un archivo...) con algunos permisos específicos (lectura, escritura...) sobre los recursos. Si encuentras uno filtrado, podrías acceder a información sensible, se ven así (esto es para acceder a un contenedor, si solo otorgara acceso a un archivo, la ruta de la URL también contendría ese archivo):

https://<storage_account_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D

Usa Storage Explorer para acceder a los datos

Compromiso de Credenciales

Phishing

Phishing Común (credenciales o aplicación OAuth -Ataque de Concesión Ilícita-)
Phishing de Autenticación con Código de Dispositivo

Password Spraying / Brute-Force

Az - Password Spraying

Referencias

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAz - Basic Information NextAz - Illicit Consent Grant

Last updated 1 month ago