Az - PTA - Pass-through Authentication
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
From the docs: Azure Active Directory (Azure AD) Pass-through Authentication omogućava vašim korisnicima da prijave se na aplikacije koje se nalaze na lokaciji i u oblaku koristeći iste lozinke. Ova funkcija pruža vašim korisnicima bolje iskustvo - jedna lozinka manje za pamćenje, i smanjuje troškove IT podrške jer je manje verovatno da će korisnici zaboraviti kako da se prijave. Kada se korisnici prijave koristeći Azure AD, ova funkcija validira lozinke korisnika direktno protiv vašeg lokalnog Active Directory-a.
U PTA identiteti su sinhronizovani ali lozinke nisu kao u PHS.
Autentifikacija se validira u lokalnom AD-u, a komunikacija sa oblakom se vrši putem autentifikacionog agenta koji radi na lokalnom serveru (ne mora biti na lokalnom DC-u).
Da bi se prijavio, korisnik se preusmerava na Azure AD, gde šalje korisničko ime i lozinku
Akreditivi se šifruju i postavljaju u red u Azure AD
Lokalni autentifikacioni agent prikuplja akreditive iz reda i dešifruje ih. Ovaj agent se naziva "Pass-through authentication agent" ili PTA agent.
Agent validira akreditive protiv lokalnog AD-a i šalje odgovor nazad Azure AD-u koji, ako je odgovor pozitivan, kompletira prijavu korisnika.
If an attacker compromises the PTA he can see the all credentials from the queue (in clear-text). He can also validate any credentials to the AzureAD (similar attack to Skeleton key).
If you have admin access to the Azure AD Connect server with the PTA agent running, you can use the AADInternals module to insert a backdoor that will validate ALL the passwords introduced (so all passwords will be valid for authentication):
Ako instalacija ne uspe, to je verovatno zbog nedostatka Microsoft Visual C++ 2015 Redistributables.
Takođe je moguće videti lozinke u čistom tekstu poslate PTA agentu koristeći sledeći cmdlet na mašini gde je prethodni backdoor instaliran:
Ova zadnja vrata će:
Kreirati skrivenu fasciklu C:\PTASpy
Kopirati PTASpy.dll
u C:\PTASpy
Injektovati PTASpy.dll
u proces AzureADConnectAuthenticationAgentService
Kada se AzureADConnectAuthenticationAgent servis ponovo pokrene, PTASpy se “uklanja” i mora se ponovo instalirati.
Nakon dobijanja GA privilegija na cloudu, moguće je registrovati novi PTA agent postavljanjem na mašini pod kontrolom napadača. Kada je agent postavljen, možemo ponoviti prethodne korake da se autentifikujemo koristeći bilo koju lozinku i takođe, dobiti lozinke u čistom tekstu.
Moguće je koristiti Seamless SSO sa PTA, koji je podložan drugim zloupotrebama. Proverite to u:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)