Ukranian - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

Az - Lateral Movement (Cloud - On-Prem)

Az - Lateral Movement (Cloud - On-Prem)

Support HackTricks

On-Prem machines connected to cloud

There are different ways a machine can be connected to the cloud:

Azure AD joined

Workplace joined

Hybrid joined

Workplace joined on AADJ or Hybrid

Tokens and limitations

In Azure AD, there are different types of tokens with specific limitations:

  • Access tokens: Використовуються для доступу до API та ресурсів, таких як Microsoft Graph. Вони прив'язані до конкретного клієнта та ресурсу.

  • Refresh tokens: Видаються додаткам для отримання нових access tokens. Вони можуть використовуватися лише додатком, якому вони були видані, або групою додатків.

  • Primary Refresh Tokens (PRT): Використовуються для єдиного входу на пристроях, приєднаних до Azure AD, зареєстрованих або гібридних. Вони можуть використовуватися в процесах входу через браузер та для входу в мобільні та настільні додатки на пристрої.

  • Windows Hello for Business keys (WHFB): Використовуються для безпарольної аутентифікації. Використовуються для отримання Primary Refresh Tokens.

Найцікавіший тип токена - це Primary Refresh Token (PRT).

Az - Primary Refresh Token (PRT)

Pivoting Techniques

From the compromised machine to the cloud:

  • Pass the Cookie: Вкрасти Azure cookies з браузера та використовувати їх для входу

  • Dump processes access tokens: Вивантажити пам'ять локальних процесів, синхронізованих з хмарою (як excel, Teams...) та знайти access tokens у відкритому тексті.

  • Phishing Primary Refresh Token: Фішинг PRT для його зловживання

  • Pass the PRT: Вкрасти PRT пристрою для доступу до Azure, видаючи себе за нього.

  • Pass the Certificate: Згенерувати сертифікат на основі PRT для входу з одного пристрою на інший

From compromising AD to compromising the Cloud and from compromising the Cloud to compromising AD:

Roadtx

This tool allows to perform several actions like register a machine in Azure AD to obtain a PRT, and use PRTs (legit or stolen) to access resources in several different ways. These are not direct attacks, but it facilitates the use of PRTs to access resources in different ways. Find more info in https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

References

Support HackTricks
PreviousAz - Permissions for a PentestNextAz AD Connect - Hybrid Identity

Last updated