Az - PTA - Pass-through Authentication

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

From the docs: Azure Active Directory (Azure AD) Pass-through Authentication omogućava vašim korisnicima da prijave se na aplikacije koje se nalaze na lokaciji i u oblaku koristeći iste lozinke. Ova funkcija pruža vašim korisnicima bolje iskustvo - jedna lozinka manje za pamćenje, i smanjuje troškove IT podrške jer je manje verovatno da će korisnici zaboraviti kako da se prijave. Kada se korisnici prijave koristeći Azure AD, ova funkcija validira lozinke korisnika direktno protiv vašeg lokalnog Active Directory-a.

U PTA identiteti su sinhronizovani ali lozinke nisu kao u PHS.

Autentifikacija se validira u lokalnom AD-u, a komunikacija sa oblakom se vrši putem autentifikacionog agenta koji radi na lokalnom serveru (ne mora biti na lokalnom DC-u).

Authentication flow

Da bi se prijavio, korisnik se preusmerava na Azure AD, gde šalje korisničko ime i lozinku
Akreditivi se šifruju i postavljaju u red u Azure AD
Lokalni autentifikacioni agent prikuplja akreditive iz reda i dešifruje ih. Ovaj agent se naziva "Pass-through authentication agent" ili PTA agent.
Agent validira akreditive protiv lokalnog AD-a i šalje odgovor nazad Azure AD-u koji, ako je odgovor pozitivan, kompletira prijavu korisnika.

If an attacker compromises the PTA he can see the all credentials from the queue (in clear-text). He can also validate any credentials to the AzureAD (similar attack to Skeleton key).

On-Prem -> cloud

If you have admin access to the Azure AD Connect server with the PTA agent running, you can use the AADInternals module to insert a backdoor that will validate ALL the passwords introduced (so all passwords will be valid for authentication):

Install-AADIntPTASpy

Ako instalacija ne uspe, to je verovatno zbog nedostatka Microsoft Visual C++ 2015 Redistributables.

Takođe je moguće videti lozinke u čistom tekstu poslate PTA agentu koristeći sledeći cmdlet na mašini gde je prethodni backdoor instaliran:

Get-AADIntPTASpyLog -DecodePasswords

Ova zadnja vrata će:

Kreirati skrivenu fasciklu C:\PTASpy
Kopirati PTASpy.dll u C:\PTASpy
Injektovati PTASpy.dll u proces AzureADConnectAuthenticationAgentService

Kada se AzureADConnectAuthenticationAgent servis ponovo pokrene, PTASpy se “uklanja” i mora se ponovo instalirati.

Cloud -> On-Prem

Nakon dobijanja GA privilegija na cloudu, moguće je registrovati novi PTA agent postavljanjem na mašini pod kontrolom napadača. Kada je agent postavljen, možemo ponoviti prethodne korake da se autentifikujemo koristeći bilo koju lozinku i takođe, dobiti lozinke u čistom tekstu.

Seamless SSO

Moguće je koristiti Seamless SSO sa PTA, koji je podložan drugim zloupotrebama. Proverite to u:

Az - Seamless SSO

Reference

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAz - PHS - Password Hash Sync NextAz - Seamless SSO

Last updated 3 days ago