Az - PHS - Password Hash Sync
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: पासवर्ड हैश समन्वयन हाइब्रिड पहचान को पूरा करने के लिए उपयोग किए जाने वाले साइन-इन तरीकों में से एक है। Azure AD Connect एक ऑन-प्रिमाइसेस सक्रिय निर्देशिका उदाहरण से एक उपयोगकर्ता के पासवर्ड का हैश, हैश का हैश, को क्लाउड-आधारित Azure AD उदाहरण में समन्वयित करता है।
यह कंपनियों द्वारा उपयोग किया जाने वाला सबसे सामान्य तरीका है ताकि ऑन-प्रिम AD को Azure AD के साथ समन्वयित किया जा सके।
सभी उपयोगकर्ता और पासवर्ड हैश का हैश ऑन-प्रिम से Azure AD में समन्वयित होते हैं। हालाँकि, स्पष्ट-टेक्स्ट पासवर्ड या मूल हैश Azure AD में नहीं भेजे जाते। इसके अलावा, निर्मित सुरक्षा समूह (जैसे डोमेन प्रशासक...) Azure AD में समन्वयित नहीं होते।
हैश समन्वयन हर 2 मिनट में होता है। हालाँकि, डिफ़ॉल्ट रूप से, पासवर्ड समाप्ति और खाता समाप्ति Azure AD में समन्वयित नहीं होते। इसलिए, एक उपयोगकर्ता जिसका ऑन-प्रिम पासवर्ड समाप्त हो गया है (बदला नहीं गया) वह पुराने पासवर्ड का उपयोग करके Azure संसाधनों तक पहुँच जारी रख सकता है।
जब एक ऑन-प्रिम उपयोगकर्ता Azure संसाधन तक पहुँच प्राप्त करना चाहता है, तो प्रमाणीकरण Azure AD पर होता है।
PHS की आवश्यकता होती है जैसे पहचान सुरक्षा और AAD डोमेन सेवाओं के लिए।
जब PHS कॉन्फ़िगर किया जाता है, तो कुछ विशिष्ट खाते स्वचालित रूप से बनाए जाते हैं:
खाता MSOL_<installationID>
स्वचालित रूप से ऑन-प्रिम AD में बनाया जाता है। इस खाते को डायरेक्टरी समन्वयन खातों की भूमिका दी जाती है (देखें दस्तावेज़) जिसका अर्थ है कि इसके पास ऑन-प्रिम AD में पुनरुत्पादन (DCSync) अनुमतियाँ हैं।
एक खाता Sync_<name of on-prem ADConnect Server>_installationID
Azure AD में बनाया जाता है। इस खाते को Azure AD में किसी भी उपयोगकर्ता (समन्वयित या केवल क्लाउड) का पासवर्ड रीसेट करने की अनुमति है।
पिछले दो विशेष खातों के पासवर्ड SQL सर्वर में संग्रहीत होते हैं उस सर्वर पर जहाँ Azure AD Connect स्थापित है। व्यवस्थापक स्पष्ट-टेक्स्ट में उन विशेष उपयोगकर्ताओं के पासवर्ड निकाल सकते हैं।
डेटाबेस C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
में स्थित है।
एक टेबल में से कॉन्फ़िगरेशन निकालना संभव है, जिसमें से एक एन्क्रिप्टेड है:
SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;
एन्क्रिप्टेड कॉन्फ़िगरेशन DPAPI के साथ एन्क्रिप्टेड है और इसमें MSOL_*
उपयोगकर्ता के पासवर्ड ऑन-प्रिम AD में और Sync_* का पासवर्ड AzureAD में शामिल है। इसलिए, इनका समझौता करना AD और AzureAD में प्रिवेस्क करने की संभावना बनाता है।
आप इस टॉक में देख सकते हैं कि ये क्रेडेंशियल्स कैसे संग्रहीत और डिक्रिप्ट किए जाते हैं यहाँ।
यदि सर्वर जहाँ Azure AD connect स्थापित है डोमेन से जुड़ा हुआ है (दस्तावेज़ में अनुशंसित), तो इसे निम्नलिखित के साथ खोजा जा सकता है:
आप इन क्रेडेंशियल्स को प्राप्त करने के लिए adconnectdump का भी उपयोग कर सकते हैं।
Sync_*
खाते से समझौता करने पर किसी भी उपयोगकर्ता (जिसमें Global Administrators भी शामिल हैं) का पासवर्ड रीसेट करना संभव है।
यह केवल क्लाउड उपयोगकर्ताओं के पासवर्ड को संशोधित करना भी संभव है (भले ही यह अप्रत्याशित हो)।
यह उपयोगकर्ता का पासवर्ड डंप करना भी संभव है।
एक और विकल्प होगा एक सेवा प्रमुख को विशेषाधिकार प्राप्त अनुमतियाँ सौंपना, जिसे Sync उपयोगकर्ता अनुमतियाँ देने के लिए सक्षम है, और फिर उस सेवा प्रमुख तक पहुँच प्राप्त करना एक प्रिवेस्क के तरीके के रूप में।
PHS के साथ Seamless SSO का उपयोग करना संभव है, जो अन्य दुरुपयोगों के प्रति संवेदनशील है। इसे चेक करें:
Az - Seamless SSOAWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)