Az - Lateral Movement (Cloud - On-Prem)

AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Buluta bağlı On-Prem makineleri

Bir makinenin buluta bağlanmasının farklı yolları vardır:

Azure AD katıldı

Workplace katıldı

Hibrit katıldı

AADJ veya Hibrit üzerinde Workplace katıldı

Tokenler ve sınırlamalar

Azure AD'de, belirli sınırlamaları olan farklı türde tokenler vardır:

Erişim tokenleri: Microsoft Graph gibi API'lere ve kaynaklara erişmek için kullanılır. Belirli bir istemci ve kaynakla ilişkilidir.
Yenileme tokenleri: Yeni erişim tokenleri almak için uygulamalara verilir. Sadece verildiği uygulama veya uygulama grubuyla kullanılabilir.
Birincil Yenileme Tokenleri (PRT): Azure AD katılı, kayıtlı veya hibrit katılı cihazlarda Tek Oturum Açma için kullanılır. Tarayıcı oturum açma akışlarında ve cihazdaki mobil ve masaüstü uygulamalara giriş yapmak için kullanılabilir.
Windows Hello for Business anahtarları (WHFB): Parolasız kimlik doğrulama için kullanılır. Birincil Yenileme Tokenlerini almak için kullanılır.

En ilginç token türü Birincil Yenileme Tokeni (PRT)dir.

Pivoting Teknikleri

tehdit altındaki makineden buluta:

Pass the Cookie: Tarayıcıdan Azure çerezlerini çalın ve giriş yapmak için kullanın
Dump processes access tokens: Bulutla senkronize edilmiş yerel süreçlerin belleğini dökün (örneğin excel, Teams...) ve açık metin olarak erişim tokenlerini bulun.
Phishing Primary Refresh Token: PRT'yi ele geçirerek kötüye kullanın
Pass the PRT: Azure'a erişmek için cihaz PRT'sini çalın.
Pass the Certificate: Bir makineden diğerine giriş yapmak için PRT'ye dayalı bir sertifika oluşturun

AD'yi tehlikeye atmaktan bulutu tehlikeye atmaktan ve bulutu tehlikeye atmaktan AD'yi tehlikeye atmaktan:

Azure AD Connect
Buluttan On-Prem'e geçmenin bir diğer yolu Intune'u kötüye kullanmaktır

Roadtx

Bu araç, Azure AD'de bir makine kaydetmek için PRT almak ve PRT'leri (geçerli veya çalıntı) kullanarak kaynaklara erişmek gibi çeşitli eylemleri gerçekleştirmeyi sağlar. Bunlar doğrudan saldırılar değildir, ancak PRT'leri farklı yollarla kaynaklara erişmek için kullanmayı kolaylaştırır. Daha fazla bilgi için https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Referanslar

https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAz - Permissions for a Pentest NextAz AD Connect - Hybrid Identity

Last updated 3 days ago