Az - Lateral Movement (Cloud - On-Prem)

Az - Movimiento Lateral (Nube - Local)

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

Máquinas locales conectadas a la nube

Hay diferentes formas en que una máquina puede estar conectada a la nube:

Unida a Azure AD

Unida al lugar de trabajo

Unida de forma híbrida

Unida al lugar de trabajo en AADJ o híbrido

Tokens y limitaciones

En Azure AD, hay diferentes tipos de tokens con limitaciones específicas:

Tokens de acceso: Usados para acceder a APIs y recursos como Microsoft Graph. Están vinculados a un cliente y recurso específicos.
Tokens de actualización: Emitidos a aplicaciones para obtener nuevos tokens de acceso. Solo pueden ser utilizados por la aplicación a la que fueron emitidos o un grupo de aplicaciones.
Tokens de actualización primarios (PRT): Usados para inicio de sesión único en dispositivos unidos a Azure AD, registrados o unidos de forma híbrida. Pueden ser utilizados en flujos de inicio de sesión en navegadores y para iniciar sesión en aplicaciones móviles y de escritorio en el dispositivo.
Claves de Windows Hello for Business (WHFB): Usadas para autenticación sin contraseña. Se utilizan para obtener Tokens de Actualización Primarios.

El tipo de token más interesante es el Token de Actualización Primario (PRT).

Az - Primary Refresh Token (PRT)

Técnicas de Pivoting

Desde la máquina comprometida a la nube:

Pass the Cookie: Robar cookies de Azure del navegador y usarlas para iniciar sesión
Dump processes access tokens: Volcar la memoria de procesos locales sincronizados con la nube (como excel, Teams...) y encontrar tokens de acceso en texto claro.
Phishing Primary Refresh Token: Phishing del PRT para abusar de él
Pass the PRT: Robar el PRT del dispositivo para acceder a Azure impersonándolo.
Pass the Certificate: Generar un certificado basado en el PRT para iniciar sesión de una máquina a otra

Desde comprometer AD a comprometer la Nube y desde comprometer la Nube a comprometer AD:

Azure AD Connect
Otra forma de pivotar de la nube a local es abusar de Intune

Roadtx

Esta herramienta permite realizar varias acciones como registrar una máquina en Azure AD para obtener un PRT, y usar PRTs (legítimos o robados) para acceder a recursos de varias maneras diferentes. Estos no son ataques directos, pero facilitan el uso de PRTs para acceder a recursos de diferentes maneras. Encuentra más información en https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Referencias

https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

PreviousAz - Permissions for a Pentest NextAz AD Connect - Hybrid Identity

Last updated 1 month ago