Az - Persistence
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Illicit Consent Grant
Por defecto, cualquier usuario puede registrar una aplicación en Azure AD. Así que puedes registrar una aplicación (solo para el inquilino objetivo) que necesita permisos de alto impacto con consentimiento de administrador (y aprobarlo si eres el administrador) - como enviar correos en nombre de un usuario, gestión de roles, etc. Esto nos permitirá ejecutar ataques de phishing que serían muy fructíferos en caso de éxito.
Además, también podrías aceptar esa aplicación con tu usuario como una forma de mantener el acceso sobre ella.
Applications and Service Principals
Con privilegios de Administrador de Aplicaciones, GA o un rol personalizado con permisos microsoft.directory/applications/credentials/update, podemos agregar credenciales (secreto o certificado) a una aplicación existente.
Es posible dirigir una aplicación con altos permisos o agregar una nueva aplicación con altos permisos.
Un rol interesante para agregar a la aplicación sería el rol de administrador de autenticación privilegiada, ya que permite restablecer la contraseña de los Administradores Globales.
Esta técnica también permite eludir MFA.
Para la autenticación basada en certificados
Federación - Certificado de Firma de Token
Con privilegios de DA en AD local, es posible crear e importar nuevos certificados de firma de token y certificados de descifrado de token que tienen una validez muy larga. Esto nos permitirá iniciar sesión como cualquier usuario cuyo ImuutableID conozcamos.
Ejecuta el siguiente comando como DA en el/los servidor(es) ADFS para crear nuevos certificados (contraseña predeterminada 'AADInternals'), agregarlos a ADFS, deshabilitar la rotación automática y reiniciar el servicio:
Luego, actualiza la información del certificado con Azure AD:
Federación - Dominio de Confianza
Con privilegios de GA en un inquilino, es posible agregar un nuevo dominio (debe ser verificado), configurar su tipo de autenticación como Federado y configurar el dominio para confiar en un certificado específico (any.sts en el comando a continuación) y emisor:
Referencias
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Last updated