Az - Conditional Access Policies & MFA Bypass
Last updated
Last updated
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Sera za Ufikiaji wa Masharti za Azure ni sheria zilizowekwa katika Microsoft Azure ili kutekeleza udhibiti wa ufikiaji kwa huduma na programu za Azure kulingana na masharti fulani. Sera hizi husaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa ufikiaji chini ya hali sahihi. Sera za ufikiaji wa masharti kimsingi zinaelezea Nani anaweza kufikia Nini kutoka Wapi na Jinsi.
Hapa kuna mifano kadhaa:
Sera ya Hatari ya Kuingia: Sera hii inaweza kuwekwa ili kuhitaji uthibitisho wa hatua nyingi (MFA) wakati hatari ya kuingia inagundulika. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni ya kawaida ikilinganishwa na muundo wao wa kawaida, kama kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitisho wa ziada.
Sera ya Uzingatiaji wa Kifaa: Sera hii inaweza kuzuia ufikiaji wa huduma za Azure tu kwa vifaa ambavyo vinakidhi viwango vya usalama vya shirika. Kwa mfano, ufikiaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina programu ya antivirus iliyo na sasisho au vinatumia toleo fulani la mfumo wa uendeshaji.
Inawezekana kwamba sera ya ufikiaji wa masharti inaangalia taarifa fulani ambazo zinaweza kubadilishwa kwa urahisi kuruhusu kupita sera hiyo. Na ikiwa kwa mfano sera hiyo ilikuwa inakamilisha MFA, mshambuliaji ataweza kuipita.
Wakati wa kuunda sera ya ufikiaji wa masharti, inahitajika kuonyesha watumiaji walioathiriwa na rasilimali za lengo (kama programu zote za wingu).
Inahitajika pia kuweka masharti ambayo yatakuwa yanasababisha sera hiyo:
Mtandao: Ip, anuwai za IP na maeneo ya kijiografia
Inaweza kupitishwa kwa kutumia VPN au Proxy kuungana na nchi au kufanikiwa kuingia kutoka anwani ya IP iliyoidhinishwa
Hatari za Microsoft: Hatari ya mtumiaji, Hatari ya kuingia, Hatari ya ndani
Majukwaa ya vifaa: Kifaa chochote au chagua Android, iOS, Windows phone, Windows, macOS, Linux
Ikiwa "Kifaa chochote" hakijachaguliwa lakini chaguo zingine zote zimechaguliwa, inawezekana kupita kwa kutumia user-agent isiyo ya kawaida isiyohusiana na majukwaa hayo
Programu za mteja: Chaguo ni "Kivinjari", "Programu za simu na wateja wa desktop", "Wateja wa Exchange ActiveSync" na "Wateja wengine"
Ili kupita kuingia na chaguo kisichochaguliwa
Chuja kwa vifaa: Inawezekana kuunda sheria inayohusiana na kifaa kilichotumika
Mchakato wa uthibitishaji: Chaguo ni "Mchakato wa nambari ya kifaa" na "Uhamisho wa uthibitishaji"
Hii haitamathirisha mshambuliaji isipokuwa anajaribu kutumia mojawapo ya protokali hizo katika jaribio la phishing kuingia kwenye akaunti ya mwathirika
Matokeo yanayoweza kutokea ni: Zuia au Ruhusu ufikiaji na masharti yanayoweza kama kuhitaji MFA, kifaa kuwa na uzingatiaji...
Inawezekana kuweka hali kulingana na jukwaa la kifaa (Android, iOS, Windows, macOS...), hata hivyo, hii inategemea user-agent hivyo ni rahisi kupita. Hata kufanya chaguzi zote zitekeleze MFA, ikiwa unatumia user-agent ambayo haitambuliwi, utaweza kupita MFA au kuzuia:
Kufanya kivinjari kitume user-agent isiyojulikana (kama Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile
) inatosha kutosababisha hali hii.
Unaweza kubadilisha user agent kwa mikono katika zana za maendeleo:
Au tumia nyongeza ya kivinjari kama hii.
Ikiwa hii imewekwa katika sera ya masharti, mshambuliaji anaweza tu kutumia VPN katika nchi iliyoidhinishwa au kujaribu kupata njia ya kufikia kutoka anwani ya IP iliyoidhinishwa ili kupita masharti haya.
Inawezekana kuunda sera za ufikiaji wa masharti kuzuia au kulazimisha kwa mfano MFA wakati mtumiaji anajaribu kufikia programu maalum:
Ili kujaribu kupita ulinzi huu unapaswa kuona ikiwa unaweza kuingia tu katika programu yoyote. Zana AzureAppsSweep ina IDs za programu kumi zilizowekwa na itajaribu kuingia ndani yao na kukujulisha na hata kukupa token ikiwa ni mafanikio.
Ili kujaribu IDs za programu maalum katika rasilimali maalum unaweza pia kutumia zana kama:
Zaidi ya hayo, inawezekana pia kulinda njia ya kuingia (mfano, ikiwa unajaribu kuingia kutoka kwa kivinjari au kutoka kwa programu ya desktop). Chombo Invoke-MFASweep hufanya baadhi ya ukaguzi ili kujaribu kupita ulinzi huu pia.
Chombo donkeytoken kinaweza pia kutumika kwa madhumuni sawa ingawa kinaonekana hakijatunzwa.
Chombo ROPCI kinaweza pia kutumika kujaribu ulinzi huu na kuona ikiwa inawezekana kupita MFAs au vizuizi, lakini chombo hiki kinatumika kutoka kwa mtazamo wa whitebox. Kwanza unahitaji kupakua orodha ya Programu zilizoruhusiwa katika mpangilio na kisha itajaribu kuingia ndani yao.
Chaguo moja la Azure MFA ni kupokea simu kwenye nambari ya simu iliyowekwa ambapo itamwuliza mtumiaji kutuma herufi #
.
Kwa kuwa herufi ni tu sauti, mshambuliaji anaweza kudhoofisha ujumbe wa voicemail wa nambari ya simu, kuweka kama ujumbe sauti ya #
na kisha, wakati wa kuomba MFA hakikisha kwamba simu ya waathiriwa inashughulika (ikiitafuta) ili simu ya Azure irejeleze kwenye voicemail.
Sera mara nyingi zinahitaji kifaa kinachokubalika au MFA, hivyo mshambuliaji anaweza kujiandikisha kifaa kinachokubalika, kupata tokeni ya PRT na kupita hivi hivyo MFA.
Anza kwa kujiandikisha kifaa kinachokubalika katika Intune, kisha pata PRT na:
Find more information about this kind of attack in the following page:
Az - Pass the PRTHii script inapata baadhi ya akidi za mtumiaji na kuangalia kama inaweza kuingia katika baadhi ya programu.
Hii ni muhimu kuona kama huhitajiki MFA kuingia katika baadhi ya programu ambazo unaweza baadaye kutumia vibaya ili kuinua haki.
Pata sera zote
MFASweep ni script ya PowerShell inayojaribu kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya akauti zilizotolewa na itajaribu kubaini kama MFA imewezeshwa. Kulingana na jinsi sera za ufikiaji wa masharti na mipangilio mingine ya uthibitishaji wa hatua nyingi zilivyowekwa, baadhi ya itifaki zinaweza kuishia kuwa na hatua moja tu. Pia ina ukaguzi wa ziada kwa mipangilio ya ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya ndani ikiwa itagundulika.
Zana hii imesaidia kubaini njia za kupita MFA na kisha kutumia APIs katika wapangaji wengi wa uzalishaji wa AAD, ambapo wateja wa AAD walidhani walikuwa na MFA iliyotekelezwa, lakini uthibitisho wa msingi wa ROPC ulifanikiwa.
Unahitaji kuwa na ruhusa za kuorodhesha programu zote ili uweze kuunda orodha ya programu za kushambulia kwa nguvu.
Donkey token ni seti ya kazi ambazo zina lengo la kusaidia washauri wa usalama wanaohitaji kuthibitisha Sera za Ufikiaji wa Masharti, majaribio ya portali za Microsoft zilizo na 2FA, n.k.
Jaribu kila portali ikiwa inawezekana kuingia bila MFA:
Kwa sababu ya Azure portal haijakandamizwa, inawezekana kukusanya token kutoka kwa kiunganishi cha portal ili kufikia huduma yoyote iliyogunduliwa na utekelezaji wa awali. Katika kesi hii, Sharepoint ilitambuliwa, na token ya kuifikia inahitajika:
Ikiwa token ina ruhusa Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kutoka mtandao kwa sababu ya MFA, inawezekana kutumia token hiyo kufikia faili kwa kutumia token iliyozalishwa:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)