Az - Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

За замовчуванням будь-який користувач може зареєструвати додаток в Azure AD. Тому ви можете зареєструвати додаток (тільки для цільового орендаря), який потребує дозволів з високим впливом з адміністративним погодженням (схвалити його, якщо ви адміністратор) - наприклад, надсилання електронної пошти від імені користувача, управління ролями тощо. Це дозволить нам виконувати фішингові атаки, які будуть дуже прибутковими у разі успіху.

Більше того, ви також можете прийняти цей додаток зі своїм користувачем як спосіб підтримувати доступ до нього.

Applications and Service Principals

З привілеями адміністратора додатків, GA або користувацькою роллю з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатку.

Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.

Цікавою роллю, яку можна додати до додатку, була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.

Ця техніка також дозволяє обійти MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

Для аутентифікації на основі сертифікатів

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Федерація - Сертифікат підпису токена

З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токена та сертифікати розшифровки токена, які мають дуже тривалий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID ми знаємо.

Виконайте нижче наведений команду як DA на сервері(ах) ADFS, щоб створити нові сертифікати (за замовчуванням пароль 'AADInternals'), додати їх до ADFS, вимкнути автоматичне оновлення та перезапустити службу:

New-AADIntADFSSelfSignedCertificates

Тоді оновіть інформацію про сертифікат в Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federation - Trusted Domain

З привілеями GA в орендаря можливо додати новий домен (повинен бути перевірений), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до конкретного сертифіката (any.sts у наведеній нижче команді) та видавця:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Посилання

https://aadinternalsbackdoor.azurewebsites.net/

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousAz - Primary Refresh Token (PRT)NextAz - Device Registration

Last updated 1 month ago

Illicit Consent Grant

Applications and Service Principals

Федерація - Сертифікат підпису токена

Federation - Trusted Domain

Посилання