Az - Lateral Movement (Cloud - On-Prem)

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

连接到云的本地机器

机器可以通过不同方式连接到云：

Azure AD 加入

Workplace 加入

混合加入

在 AADJ 或混合上加入 Workplace

令牌和限制

在 Azure AD 中，有不同类型的令牌，具有特定的限制：

访问令牌：用于访问 API 和资源，如 Microsoft Graph。它们与特定客户端和资源绑定。
刷新令牌：发放给应用程序以获取新的访问令牌。它们只能由发放给它们的应用程序或一组应用程序使用。
主刷新令牌 (PRT)：用于 Azure AD 加入、注册或混合加入设备的单点登录。它们可以在浏览器登录流程中使用，也可以用于在设备上登录移动和桌面应用程序。
Windows Hello for Business 密钥 (WHFB)：用于无密码身份验证。用于获取主刷新令牌。

最有趣的令牌类型是主刷新令牌 (PRT)。

Az - Primary Refresh Token (PRT)

侧向移动技术

从 被攻陷的机器到云：

Pass the Cookie：从浏览器窃取 Azure cookie 并使用它们登录
Dump processes access tokens：转储与云同步的本地进程的内存（如 Excel、Teams...）并找到明文访问令牌。
Phishing Primary Refresh Token: 钓鱼 PRT 以滥用它
Pass the PRT：窃取设备 PRT 以访问 Azure 进行冒充。
Pass the Certificate: 基于 PRT 生成证书以从一台机器登录到另一台机器

从攻陷 AD 到攻陷云，以及从攻陷云到攻陷 AD：

Azure AD Connect
从云到本地的另一种侧向移动方式是 滥用 Intune

Roadtx

该工具允许执行多种操作，如在 Azure AD 中注册机器以获取 PRT，并使用 PRT（合法或被盗）以多种方式访问资源。这些不是直接攻击，但它促进了使用 PRT 以不同方式访问资源。更多信息请访问 https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

参考

https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousAz - Permissions for a Pentest NextAz AD Connect - Hybrid Identity

Last updated 1 month ago