Az - Lateral Movement (Cloud - On-Prem)
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
マシンがクラウドに接続される方法はいくつかあります:
Azure ADには、特定の制限を持つさまざまなタイプのトークンがあります:
アクセストークン:Microsoft GraphのようなAPIやリソースにアクセスするために使用されます。特定のクライアントとリソースに結びついています。
リフレッシュトークン:新しいアクセストークンを取得するためにアプリケーションに発行されます。発行されたアプリケーションまたはアプリケーションのグループのみが使用できます。
プライマリリフレッシュトークン(PRT):Azure AD参加、登録、またはハイブリッド参加デバイスでのシングルサインオンに使用されます。ブラウザのサインインフローやデバイス上のモバイルおよびデスクトップアプリケーションへのサインインに使用できます。
Windows Hello for Businessキー(WHFB):パスワードなしの認証に使用されます。プライマリリフレッシュトークンを取得するために使用されます。
最も興味深いタイプのトークンはプライマリリフレッシュトークン(PRT)です。
Az - Primary Refresh Token (PRT)侵害されたマシンからクラウドへ:
Pass the Cookie:ブラウザからAzureクッキーを盗み、それを使用してログイン
Dump processes access tokens:クラウドと同期されたローカルプロセスのメモリをダンプし(Excel、Teamsなど)、クリアテキストのアクセストークンを見つける。
Phishing Primary Refresh Token: PRTをフィッシングして悪用する
Pass the PRT:デバイスのPRTを盗んでAzureにアクセスする
Pass the Certificate: PRTに基づいて証明書を生成し、1台のマシンから別のマシンにログインする
ADからクラウドへの侵害およびクラウドからADへの侵害:
クラウドからオンプレミスへの別のピボット方法は Intuneを悪用することです。
このツールは、Azure ADにマシンを登録してPRTを取得し、PRT(正当または盗まれた)を使用してさまざまな方法でリソースにアクセスするなど、いくつかのアクションを実行することを可能にします。これらは直接的な攻撃ではありませんが、PRTを使用してさまざまな方法でリソースにアクセスするのを容易にします。詳細はhttps://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/で確認してください。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)