Az - Persistence

Illicit Consent Grant

За замовчуванням будь-який користувач може зареєструвати додаток в Azure AD. Тому ви можете зареєструвати додаток (тільки для цільового орендаря), який потребує дозволів з високим впливом з адміністративним погодженням (схвалити його, якщо ви адміністратор) - наприклад, надсилання електронної пошти від імені користувача, управління ролями тощо. Це дозволить нам виконувати фішингові атаки, які будуть дуже прибутковими у разі успіху.

Більше того, ви також можете прийняти цей додаток зі своїм користувачем як спосіб підтримувати доступ до нього.

Applications and Service Principals

З привілеями адміністратора додатків, GA або користувацькою роллю з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатку.

Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.

Цікавою роллю, яку можна додати до додатку, була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.

Ця техніка також дозволяє обійти MFA.

• Для аутентифікації на основі сертифікатів

Федерація - Сертифікат підпису токена

З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токена та сертифікати розшифровки токена, які мають дуже тривалий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID ми знаємо.

Виконайте нижче наведений команду як DA на сервері(ах) ADFS, щоб створити нові сертифікати (пароль за замовчуванням 'AADInternals'), додати їх до ADFS, вимкнути автоматичне оновлення та перезапустити службу:

Тоді оновіть інформацію про сертифікат в Azure AD:

Federation - Trusted Domain

З привілеями GA в орендаря можливо додати новий домен (повинен бути перевірений), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до конкретного сертифіката (any.sts у наведеній нижче команді) та видавця:

Посилання