Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wakati kifaa kinajiunga na AzureAD, kitu kipya kinaundwa katika AzureAD.
Wakati wa kujiandikisha kifaa, mtumiaji anaombwa kuingia na akaunti yake (akiulizwa kwa MFA ikiwa inahitajika), kisha inahitaji tokeni za huduma ya kujiandikisha kifaa na kisha inauliza uthibitisho wa mwisho.
Kisha, jozi mbili za funguo za RSA zinaundwa katika kifaa: funguo ya kifaa (funguo ya umma) ambayo inatumwa kwa AzureAD na funguo ya usafirishaji (funguo ya faragha) ambayo inahifadhiwa katika TPM ikiwa inawezekana.
Kisha, kitu kinaundwa katika AzureAD (sio katika Intune) na AzureAD inarudisha kwa kifaa cheti kilichosainiwa na hiyo. Unaweza kuthibitisha kuwa kifaa kimejiunga na AzureAD na taarifa kuhusu cheti (kama kimeprotected na TPM).
Baada ya usajili wa kifaa, Primary Refresh Token inahitajika na moduli ya LSASS CloudAP na inatolewa kwa kifaa. PRT pia inaletwa pamoja na funguo ya kikao iliyosimbwa ili kifaa pekee kiweze kuifungua (kwa kutumia funguo ya umma ya funguo ya usafirishaji) na inahitajika ili kutumia PRT.
Kwa maelezo zaidi kuhusu nini PRT ni angalia:
Az - Primary Refresh Token (PRT)TPM inalinda dhidi ya uchimbaji wa funguo kutoka kwa kifaa kilichozimwa (ikiwa kinalindwa na PIN) na kutoka kwa uchimbaji wa vifaa vya faragha kutoka kwenye safu ya OS. Lakini halilindi dhidi ya kuangalia muunganisho wa kimwili kati ya TPM na CPU au kutumia vifaa vya kifahari katika TPM wakati mfumo unafanya kazi kutoka kwa mchakato wenye haki za SYSTEM.
Ikiwa utaangalia ukurasa ufuatao utaona kwamba kuiba PRT kunaweza kutumika kupata kama mtumiaji, ambayo ni nzuri kwa sababu PRT iko kwenye vifaa, hivyo inaweza kuibiwa kutoka kwao (au ikiwa haijaibiwa kutumiwa vibaya kuunda funguo mpya za kusaini):
Az - Pass the PRTItakuwa inawezekana kwa mshambuliaji kuomba tokeni kwa huduma ya usajili wa kifaa ya Microsoft kutoka kwa kifaa kilichovunjwa na kukisajili:
Which will give you a cheti ambacho unaweza kutumia kuomba PRTs katika siku zijazo. Hivyo kudumisha kudumu na kuzidi MFA kwa sababu token ya PRT ya awali iliyotumika kujiandikisha kifaa kipya ilikuwa tayari na ruhusa za MFA zilizotolewa.
Kumbuka kwamba ili kufanya shambulio hili utahitaji ruhusa za kujiandikisha vifaa vipya. Pia, kujiandikisha kifaa hakumaanishi kifaa kitakuwa kimekubaliwa kujiunga na Intune.
Shambulio hili lilirekebishwa mnamo Septemba 2021 kwani huwezi tena kujiandikisha vifaa vipya kwa kutumia token za SSO. Hata hivyo, bado inawezekana kujiandikisha vifaa kwa njia halali (ikiwa na jina la mtumiaji, nenosiri na MFA ikiwa inahitajika). Angalia: roadtx.
Ilikuwa inawezekana kuomba tiketi ya kifaa, kuandika upya ile ya sasa ya kifaa, na wakati wa mchakato kuiiba PRT (hivyo hakuna haja ya kuiba kutoka kwa TPM. Kwa maelezo zaidi angalia mazungumzo haya.
Hata hivyo, hili lilirekebishwa.
Muhtasari wa shambulio:
Inawezekana kuandika upya funguo za WHFB zilizoregistriwa kutoka kwa kifaa kupitia SSO
In shinda ulinzi wa TPM kwani funguo inachukuliwa wakati wa uzalishaji wa funguo mpya
Hii pia inatoa kudumu
Watumiaji wanaweza kubadilisha mali yao ya searchableDeviceKey kupitia Azure AD Graph, hata hivyo, mshambuliaji anahitaji kuwa na kifaa katika tenant (kilichoregistriwa kwa haraka au akiwa na cheti + funguo iliyopatikana kutoka kifaa halali) na token ya ufikiaji halali kwa AAD Graph.
Kisha, inawezekana kuzalisha funguo mpya kwa:
na kisha PATCH taarifa za searchableDeviceKey:
Inawezekana kupata token ya ufikiaji kutoka kwa mtumiaji kupitia device code phishing na kutumia hatua za awali ili kuiba ufikiaji wake. Kwa maelezo zaidi angalia:
Az - Phishing Primary Refresh Token (Microsoft Entra)Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
