Az - Lateral Movement (Cloud - On-Prem)

Az - Movimento Lateral (Nuvem - On-Prem)

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

Máquinas On-Prem conectadas à nuvem

Existem diferentes maneiras de uma máquina estar conectada à nuvem:

Azure AD joined

Workplace joined

Hybrid joined

Workplace joined em AADJ ou Hybrid

Tokens e limitações

No Azure AD, existem diferentes tipos de tokens com limitações específicas:

Access tokens: Usados para acessar APIs e recursos como o Microsoft Graph. Eles estão vinculados a um cliente e recurso específicos.
Refresh tokens: Emitidos para aplicativos para obter novos access tokens. Eles só podem ser usados pelo aplicativo ao qual foram emitidos ou por um grupo de aplicativos.
Primary Refresh Tokens (PRT): Usados para Single Sign-On em dispositivos Azure AD joined, registrados ou hybrid joined. Eles podem ser usados em fluxos de login no navegador e para fazer login em aplicativos móveis e de desktop no dispositivo.
Windows Hello for Business keys (WHFB): Usados para autenticação sem senha. É usado para obter Primary Refresh Tokens.

O tipo de token mais interessante é o Primary Refresh Token (PRT).

Az - Primary Refresh Token (PRT)

Técnicas de Pivoting

Do máquina comprometida para a nuvem:

Pass the Cookie: Roubar cookies do Azure do navegador e usá-los para fazer login
Dump processes access tokens: Despejar a memória de processos locais sincronizados com a nuvem (como excel, Teams...) e encontrar access tokens em texto claro.
Phishing Primary Refresh Token: Phish o PRT para abusar dele
Pass the PRT: Roubar o PRT do dispositivo para acessar o Azure se passando por ele.
Pass the Certificate: Gerar um certificado baseado no PRT para fazer login de uma máquina para outra

De comprometer AD para comprometer a Nuvem e de comprometer a Nuvem para comprometer AD:

Azure AD Connect
Outra maneira de pivotar da nuvem para On-Prem é abusar do Intune

Roadtx

Esta ferramenta permite realizar várias ações, como registrar uma máquina no Azure AD para obter um PRT e usar PRTs (legítimos ou roubados) para acessar recursos de várias maneiras diferentes. Esses não são ataques diretos, mas facilitam o uso de PRTs para acessar recursos de diferentes maneiras. Encontre mais informações em https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Referências

https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAz - Permissions for a Pentest NextAz AD Connect - Hybrid Identity

Last updated 1 month ago