Az - PTA - Pass-through Authentication

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Temel Bilgiler

Belgelerden: Azure Active Directory (Azure AD) Pass-through Authentication, kullanıcılarınızın hem yerel hem de bulut tabanlı uygulamalara aynı şifreleri kullanarak giriş yapmalarını sağlar. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sunar - hatırlanacak bir şifre daha az ve IT yardım masası maliyetlerini azaltır çünkü kullanıcılarınızın giriş yapmayı unutma olasılığı daha düşüktür. Kullanıcılar Azure AD kullanarak giriş yaptığında, bu özellik kullanıcıların şifrelerini doğrudan yerel Active Directory'nizle doğrular.

PTA'da kimlikler senkronize edilir ancak şifreler senkronize edilmez; bu PHS'de olduğu gibi.

Kimlik doğrulama, yerel AD'de doğrulanır ve bulut ile iletişim, yerel bir sunucuda çalışan bir kimlik doğrulama ajanı tarafından gerçekleştirilir (bu, yerel DC'de olmak zorunda değildir).

Kimlik Doğrulama Akışı

Kullanıcı giriş yapmak için Azure AD'ye yönlendirilir, burada kullanıcı adı ve şifre gönderir.
Kimlik bilgileri şifrelenir ve Azure AD'de bir kuvvet içine yerleştirilir.
Yerel kimlik doğrulama ajanı, kuyruktan kimlik bilgilerini toplar ve şifreler. Bu ajana "Pass-through authentication agent" veya PTA ajanı denir.
Ajan, kimlik bilgilerini yerel AD ile doğrular ve yanıtı geri Azure AD'ye gönderir; eğer yanıt olumluysa, kullanıcının girişini tamamlar.

Eğer bir saldırgan PTA'yı ele geçirirse, kuyruktaki tüm kimlik bilgilerini (şifrelenmemiş olarak) görebilir. Ayrıca AzureAD'ye herhangi bir kimlik bilgisini doğrulayabilir (Skeleton key'e benzer bir saldırı).

Yerel -> bulut

Eğer PTA ajanı çalışan Azure AD Connect sunucusuna yönetici erişiminiz varsa, Tüm şifreleri doğrulayacak bir arka kapı eklemek için AADInternals modülünü kullanabilirsiniz:

Install-AADIntPTASpy

Eğer kurulum başarısız olursa, bu muhtemelen eksik Microsoft Visual C++ 2015 Redistributables kaynaklıdır.

Ayrıca, önceki arka kapının kurulu olduğu makinede aşağıdaki cmdlet'i kullanarak PTA ajanına gönderilen düz metin şifrelerini görmek de mümkündür:

Get-AADIntPTASpyLog -DecodePasswords

This backdoor will:

Gizli bir klasör oluşturur C:\PTASpy
PTASpy.dll dosyasını C:\PTASpy'ye kopyalar
PTASpy.dll dosyasını AzureADConnectAuthenticationAgentService sürecine enjekte eder

AzureADConnectAuthenticationAgent servisi yeniden başlatıldığında, PTASpy “boşaltılır” ve yeniden yüklenmesi gerekir.

Cloud -> On-Prem

Bulutta GA ayrıcalıkları alındıktan sonra, saldırgan kontrolündeki bir makinede yeni bir PTA ajanı kaydetmek mümkündür. Ajan kurulduktan sonra, herhangi bir şifre kullanarak kimlik doğrulama yapmak ve ayrıca, şifreleri düz metin olarak almak için önceki adımları tekrarlayabiliriz.

Seamless SSO

PTA ile Seamless SSO kullanmak mümkündür, bu da diğer kötüye kullanımlara açıktır. Bunu kontrol edin:

Az - Seamless SSO

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - PHS - Password Hash Sync NextAz - Seamless SSO

Last updated 3 days ago