Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Sera za Ufikiaji wa Masharti za Azure ni sheria zilizowekwa katika Microsoft Azure ili kutekeleza udhibiti wa ufikiaji kwa huduma na programu za Azure kulingana na masharti fulani. Sera hizi husaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa ufikiaji chini ya hali sahihi. Sera za ufikiaji wa masharti kimsingi zinaeleza Nani anaweza kufikia Nini kutoka Wapi na Jinsi.
Hapa kuna mifano kadhaa:
Sera ya Hatari ya Kuingia: Sera hii inaweza kuwekwa ili kuhitaji uthibitisho wa hatua nyingi (MFA) wakati hatari ya kuingia inagundulika. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni ya kawaida ikilinganishwa na muundo wao wa kawaida, kama kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitisho wa ziada.
Sera ya Uzingatiaji wa Kifaa: Sera hii inaweza kuzuia ufikiaji wa huduma za Azure tu kwa vifaa ambavyo vinakidhi viwango vya usalama vya shirika. Kwa mfano, ufikiaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina programu ya antivirus iliyo na sasisho au vinatumia toleo fulani la mfumo wa uendeshaji.
Inawezekana kwamba sera ya ufikiaji wa masharti inaangalia taarifa fulani ambazo zinaweza kubadilishwa kwa urahisi kuruhusu kupita sera hiyo. Na ikiwa kwa mfano sera hiyo ilikuwa inakamilisha MFA, mshambuliaji ataweza kuipita.
Inawezekana kuweka hali kulingana na jukwaa la kifaa (Android, iOS, Windows, macOS), hata hivyo, hii inategemea user-agent hivyo ni rahisi sana kupita. Hata kufanya chaguo zote zitekeleze MFA, ikiwa unatumia user-agent ambayo haijatambuliwa utaweza kupita mFA.
Bila shaka ikiwa hii imewekwa katika sera ya masharti, mshambuliaji anaweza tu kutumia VPN katika nchi iliyoruhusiwa au kujaribu kupata njia ya kufikia kutoka anwani ya IP iliyoruhusiwa ili kupita hali hizi.
Unaweza kuashiria kwamba ikiwa wateja wanapata programu za Office 365 kutoka kwa kivinjari wanahitaji MFA:
Ili kupita hii, inawezekana kudanganya kwamba unajiandikisha katika programu kutoka kwa programu ya desktop (kama Microsoft Teams katika mfano ufuatao) ambayo itapita ulinzi:
Kama programu ya Microsoft Teams ina ruhusa nyingi, utaweza kutumia ufikiaji huo.
Unaweza kupata ID ya programu zaidi za umma zenye ruhusa zilizowekwa awali za Office365 katika hifadhidata ya roadtools:
Huu shambulio ni la kuvutia hasa kwa sababu kwa kawaida programu za umma za Office365 zitakuwa na ruhusa za kufikia baadhi ya data.
Kwa kawaida, programu nyingine zilizoundwa na watumiaji hazitakuwa na ruhusa na zinaweza kuwa za faragha. Hata hivyo, watumiaji pia wanaweza kuunda programu za umma wakizipa baadhi ya ruhusa.
Kesi inayoweza kutokea ambapo sera imewekwa kuhitaji MFA ili kufikia programu wakati mtumiaji anatumia browza (labda kwa sababu ni programu ya wavuti na hivyo itakuwa njia pekee), ikiwa kuna programu ya proxy -programu inayoruhusiwa kuingiliana na programu nyingine kwa niaba ya watumiaji-, mtumiaji anaweza kuingia kwenye programu ya proxy na kisha kupitia programu hii ya proxy kuingia kwenye programu iliyolindwa na MFA awali.
Angalia Invoke-MFASweep na donkeytoken mbinu.
Moja ya chaguo la Azure MFA ni kupokea simu kwenye nambari ya simu iliyowekwa ambapo mtumiaji ataulizwa kutuma herufi #.
Kama herufi ni tu sauti, mshambuliaji anaweza kuathiri ujumbe wa voicemail wa nambari ya simu, kuweka kama ujumbe sauti ya # na kisha, wakati wa kuomba MFA hakikisha kwamba simu ya waathiriwa inatumika (ikiitafuta) ili simu ya Azure irejeleze kwenye voicemail.
Sera mara nyingi huomba kifaa kinachokubalika au MFA, hivyo mshambuliaji anaweza kujiandikisha kifaa kinachokubalika, kupata tokeni ya PRT na kupita kwa njia hii MFA.
Anza kwa kujiandikisha kifaa kinachokubalika katika Intune, kisha pata PRT na:
Pata maelezo zaidi kuhusu aina hii ya shambulio katika ukurasa ufuatao:
Az - Pass the PRTPata sera zote
MFASweep ni script ya PowerShell inayojaribu kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti iliyotolewa ya akidi na itajaribu kubaini kama MFA imewezeshwa. Kulingana na jinsi sera za ufikiaji wa masharti na mipangilio mingine ya uthibitishaji wa hatua nyingi zilivyowekwa, baadhi ya itifaki zinaweza kuishia kuwa na hatua moja tu. Pia ina ukaguzi wa ziada kwa mipangilio ya ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya ndani ikiwa itagundulika.
Donkey token ni seti ya kazi ambazo zina lengo la kusaidia washauri wa usalama wanaohitaji kuthibitisha Sera za Ufikiaji wa Masharti, majaribio ya portali za Microsoft zilizo na 2FA, n.k.
Jaribu kila portal ikiwa inawezekana kuingia bila MFA:
Kwa sababu Azure portal haijakandamizwa, inawezekana kukusanya token kutoka kwa kiunganishi cha portal ili kufikia huduma yoyote iliyogunduliwa na utekelezaji wa awali. Katika kesi hii, Sharepoint ilitambuliwa, na token ya kuifikia inahitajika:
Ikiwa token ina ruhusa Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kutoka mtandao kwa sababu ya MFA, inawezekana kutumia token hiyo kufikia faili kwa kutumia token iliyozalishwa:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
