Az - Device Registration
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wakati kifaa kinajiunga na AzureAD, kitu kipya kinaundwa katika AzureAD.
Wakati wa kujiandikisha kifaa, mtumiaji anaombwa kuingia na akaunti yake (akiulizwa kwa MFA ikiwa inahitajika), kisha inahitaji tokens kwa huduma ya usajili wa kifaa na kisha inaomba uthibitisho wa mwisho.
Kisha, jozi mbili za funguo za RSA zinaundwa katika kifaa: funguo ya kifaa (funguo ya umma) ambayo inatumwa kwa AzureAD na funguo ya usafirishaji (funguo ya faragha) ambayo inahifadhiwa katika TPM ikiwa inawezekana.
Kisha, kitu kinaundwa katika AzureAD (sio katika Intune) na AzureAD inarudisha kwa kifaa cheti kilichosainiwa na hiyo. Unaweza kuthibitisha kwamba kifaa kimejiunga na AzureAD na taarifa kuhusu cheti (kama kimeprotected na TPM).
Baada ya usajili wa kifaa, Primary Refresh Token inahitajika na moduli ya LSASS CloudAP na inatolewa kwa kifaa. PRT inakuja na funguo ya kikao iliyosimbwa ili kifaa pekee kiweze kuifungua (kwa kutumia funguo ya umma ya funguo ya usafirishaji) na inahitajika ili kutumia PRT.
Kwa maelezo zaidi kuhusu nini PRT ni angalia:
Az - Primary Refresh Token (PRT)TPM inalinda dhidi ya uchimbaji wa funguo kutoka kwa kifaa kilichozimwa (ikiwa kinalindwa na PIN) na kutoka kwa kuchimba nyenzo za faragha kutoka kwa safu ya OS. Lakini halilindi dhidi ya kuangalia muunganisho wa kimwili kati ya TPM na CPU au kutumia nyenzo za kifahari katika TPM wakati mfumo unafanya kazi kutoka kwa mchakato wenye haki za SYSTEM.
Ikiwa utaangalia ukurasa ufuatao utaona kwamba kuiba PRT kunaweza kutumika kupata kama mtumiaji, ambayo ni nzuri kwa sababu PRT iko kwenye vifaa, hivyo inaweza kuibiwa kutoka kwao (au ikiwa haijaibiwa kutumiwa vibaya kuunda funguo mpya za kusaini):
Az - Pass the PRTItakuwa inawezekana kwa mshambuliaji kuomba tokeni kwa huduma ya usajili wa kifaa ya Microsoft kutoka kwa kifaa kilichovunjwa na kukisajili:
Ambayo itakupa cheti ambacho unaweza kutumia kuomba PRTs katika siku zijazo. Hivyo kudumisha kudumu na kuzidi MFA kwa sababu token ya PRT ya awali iliyotumika kujiandikisha kifaa kipya ilikuwa tayari na ruhusa za MFA zilizotolewa.
Kumbuka kwamba ili kufanya shambulio hili utahitaji ruhusa za kujiandikisha vifaa vipya. Pia, kujiandikisha kifaa hakumaanishi kifaa kitakuwa na ruhusa ya kujiunga na Intune.
Shambulio hili lilirekebishwa mnamo Septemba 2021 kwani huwezi tena kujiandikisha vifaa vipya kwa kutumia token za SSO. Hata hivyo, bado inawezekana kujiandikisha vifaa kwa njia halali (ikiwa na jina la mtumiaji, nenosiri na MFA ikiwa inahitajika). Angalia: roadtx.
Ilikuwa inawezekana kuomba tiketi ya kifaa, kuandika upya ile ya sasa ya kifaa, na wakati wa mchakato kuiiba PRT (hivyo hakuna haja ya kuiba kutoka kwa TPM. Kwa maelezo zaidi angalia mazungumzo haya.
Hata hivyo, hili lilirekebishwa.
Muhtasari wa shambulio:
Inawezekana kuandika upya funguo za WHFB zilizoorodheshwa kutoka kwa kifaa kupitia SSO
In shinda ulinzi wa TPM kwani funguo inachukuliwa wakati wa uzalishaji wa funguo mpya
Hii pia inatoa kudumu
Watumiaji wanaweza kubadilisha mali yao ya searchableDeviceKey kupitia Azure AD Graph, hata hivyo, mshambuliaji anahitaji kuwa na kifaa katika tenant (kilichosajiliwa kwa haraka au akiwa na cheti + funguo iliyopatikana kutoka kwa kifaa halali) na token ya ufikiaji halali kwa AAD Graph.
Kisha, inawezekana kuzalisha funguo mpya na:
na kisha PATCH taarifa za searchableDeviceKey:
Inawezekana kupata token ya ufikiaji kutoka kwa mtumiaji kupitia device code phishing na kutumia hatua zilizopita ili kuiba ufikiaji wake. Kwa maelezo zaidi angalia:
Az - Phishing Primary Refresh Token (Microsoft Entra)Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
