Az - Seamless SSO
Basic Information
From the docs: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) 自动在用户使用连接到公司网络的公司设备时自动登录。启用后,用户无需输入密码即可登录 Azure AD,通常甚至不需要输入用户名。此功能为用户提供了轻松访问基于云的应用程序的方式,而无需任何额外的本地组件。
基本上,Azure AD Seamless SSO 在用户 在本地域加入的 PC 上 自动登录。
它支持 PHS (密码哈希同步) 和 PTA (透传身份验证)。
桌面 SSO 使用 Kerberos 进行身份验证。配置后,Azure AD Connect 在本地 AD 中创建一个名为 AZUREADSSOACC$
的 计算机帐户。AZUREADSSOACC$
帐户的密码在配置期间以明文形式发送到 Azure AD。
Kerberos 票证使用密码的 NTHash (MD4) 进行 加密,Azure AD 使用发送的密码解密票证。
Azure AD 暴露一个 端点 (https://autologon.microsoftazuread-sso.com),接受 Kerberos 票证。域加入机器的浏览器将票证转发到此端点以进行 SSO。
On-prem -> cloud
用户 AZUREADSSOACC$
的密码 永远不会更改。因此,域管理员可以破解该 帐户的哈希,然后使用它来 创建银票 以连接到 Azure,使用 任何已同步的本地用户:
使用该哈希值,您现在可以生成银票:
To utilize the silver ticket, the following steps should be executed:
启动浏览器: 应启动 Mozilla Firefox。
配置浏览器:
导航到
about:config
。将 network.negotiate-auth.trusted-uris 的首选项设置为指定的 值:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
访问Web应用程序:
访问与组织的 AAD 域集成的 Web 应用程序。一个常见的例子是 Office 365。
身份验证过程:
在登录屏幕上,应输入用户名,密码字段留空。
要继续,请按 TAB 或 ENTER。
这不会绕过启用的 MFA
选项 2 无需 dcsync - SeamlessPass
也可以 在没有 dcsync 攻击 的情况下执行此攻击,以更隐蔽,如 在这篇博客文章中解释。为此,您只需要以下之一:
黄金票证:如果您拥有 KRBTGT 密钥,您可以为被攻击用户创建所需的 TGT。
被攻陷用户的 NTLM 哈希或 AES 密钥: SeamlessPass 将使用此信息与域控制器通信以生成 TGT。
AZUREADSSOACC$ 账户 NTLM 哈希或 AES 密钥: 使用此信息和用户的安全标识符 (SID) 进行攻击,可以创建服务票证并与云进行身份验证(如前面的方法所示)。
最后,使用 TGT 可以使用工具 SeamlessPass 进行:
有关将 Firefox 设置为与无缝 SSO 一起使用的更多信息,可以在 此博客文章中找到。
为仅云用户创建 Kerberos 票证
如果 Active Directory 管理员可以访问 Azure AD Connect,他们可以 为任何云用户设置 SID。这样,Kerberos 票证也可以 为仅云用户创建。唯一的要求是 SID 是一个合适的 SID。
仅云管理员用户的 SID 现在 被 Microsoft 阻止。 有关信息,请查看 https://aadinternals.com/post/on-prem_admin/
本地 -> 云通过基于资源的受限委派
任何可以管理计算机帐户 (AZUREADSSOACC$
) 的人,在该帐户所在的容器或 OU 中,都可以 配置基于资源的受限委派并访问它。
参考文献
Last updated