Az - Basic Information

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Ιεραρχία Οργάνωσης

Ομάδες Διαχείρισης

Εάν η οργάνωσή σας έχει πολλές συνδρομές Azure, μπορεί να χρειαστείτε έναν τρόπο για να διαχειρίζεστε αποτελεσματικά την πρόσβαση, τις πολιτικές και τη συμμόρφωση για αυτές τις συνδρομές. Οι ομάδες διαχείρισης παρέχουν ένα πεδίο διακυβέρνησης πάνω από τις συνδρομές.

Σημειώστε ότι μπορούν να υποστηριχθούν 10.000 ομάδες διαχείρισης σε έναν μόνο κατάλογο και ένα δέντρο ομάδων διαχείρισης μπορεί να υποστηρίξει έως έξι επίπεδα βάθους.

Από τα έγγραφα: Κάθε κατάλογος δίνεται μια μόνο ομάδα διαχείρισης επιπέδου κορυφής που ονομάζεται ρίζα. Η ομάδα διαχείρισης ρίζας είναι ενσωματωμένη στην ιεραρχία για να έχει όλες τις ομάδες διαχείρισης και τις συνδρομές να αναδιπλώνονται σε αυτήν. Αυτή η ομάδα διαχείρισης ρίζας επιτρέπει την εφαρμογή παγκόσμιων πολιτικών και αναθέσεων ρόλων Azure AD σε επίπεδο καταλόγου. Ο Παγκόσμιος Διαχειριστής Azure AD πρέπει να αναβαθμίσει τον εαυτό του στον ρόλο Διαχειριστής Πρόσβασης Χρήστη αυτής της ριζικής ομάδας αρχικά. Μετά την αναβάθμιση της πρόσβασης, ο διαχειριστής μπορεί να αναθέσει οποιονδήποτε ρόλο Azure σε άλλους χρήστες ή ομάδες του καταλόγου για τη διαχείριση της ιεραρχίας. Ως διαχειριστής, μπορείτε να αναθέσετε τον ίδιο σας λογαριασμό ως κάτοχο της ρίζας ομάδας διαχείρισης.

Η ρίζα ομάδα διαχείρισης δεν μπορεί να μετακινηθεί ή να διαγραφεί, αντίθετα με άλλες ομάδες διαχείρισης.

Οι ομάδες διαχείρισης σας παρέχουν διαχείριση επιχειρησιακού επιπέδου σε κλίμακα, ανεξάρτητα από τον τύπο των συνδρομών που μπορεί να έχετε. Ωστόσο, **όλες οι συν

Ρόλοι και Άδειες

Οι ρόλοι ανατίθενται σε υποκείμενα σε ένα πεδίο εφαρμογής: υποκείμενο -[Έχει ρόλο]->(πεδίο εφαρμογής)

Οι ρόλοι που ανατίθενται σε ομάδες κληρονομούνται από όλα τα μέλη της ομάδας.

Ανάλογα με το πεδίο εφαρμογής στο οποίο ανατέθηκε ο ρόλος, ο ρόλος μπορεί να κληρονομηθεί από άλλους πόρους μέσα στον δοχείο του πεδίου εφαρμογής. Για παράδειγμα, αν ένας χρήστης Α έχει έναν ρόλο στη συνδρομή, θα έχει αυτόν τον ρόλο σε όλες τις ομάδες πόρων μέσα στη συνδρομή και σε όλους τους πόρους μέσα στην ομάδα πόρων.

Κλασικοί Ρόλοι

Κάτοχος

Πλήρης πρόσβαση σε όλους τους πόρους
Μπορεί να διαχειριστεί την πρόσβαση για άλλους χρήστες

Όλοι οι τύποι πόρων

Συνεισφέρων

Πλήρης πρόσβαση σε όλους τους πόρους
Δεν μπορεί να διαχειριστεί την πρόσβαση

Όλοι οι τύποι πόρων

Αναγνώστης

• Προβολή όλων των πόρων

Όλοι οι τύποι πόρων

Διαχειριστής πρόσβασης χρηστών

Προβολή όλων των πόρων
Μπορεί να διαχειριστεί την πρόσβαση για άλλους χρήστες

Όλοι οι τύποι πόρων

Ενσωματωμένοι ρόλοι

Από τα έγγραφα: Ο ρόλος πρόσβασης βασισμένος σε ρόλους Azure (Azure RBAC) έχει αρκετούς ενσωματωμένους ρόλους Azure που μπορείτε να αναθέσετε σε χρήστες, ομάδες, υπηρεσίες πρωτεύοντες και διαχειριζόμενες ταυτότητες. Οι αναθέσεις ρόλων είναι ο τρόπος με τον οποίο ελέγχετε την πρόσβαση στους πόρους Azure. Εάν οι ενσωματωμένοι ρόλοι δεν καλύπτουν τις συγκεκριμένες ανάγκες του οργανισμού σας, μπορείτε να δημιουργήσετε τους δικούς σας προσαρμοσμένους ρόλους Azure.

Οι ενσωματωμένοι ρόλοι ισχύουν μόνο για τους πόρους για τους οποίους προορίζονται, για παράδειγμα ελέγξτε αυτά τα 2 παραδείγματα ενσωματωμένων ρόλων πάνω σε πόρους Compute:

Αναγνώστης Δημιουργίας Δίσκου

Παρέχει άδεια για εφεδρική αποθήκευση δίσκου.

3e5e47e6-65f7-47ef-90b5-e5dd4d455f24

Χρήστης Σύνδεσης Εικονικής Μηχανής

Προβολή εικονικών μηχανών στο portal και σύνδεση ως κανονικός χρήστης.

fb879df8-f326-4884-b1cf-06f3ad86be52

Αυτοί οι ρόλοι μπορούν να ανατεθούν επίσης σε λογικούς δοχείους (όπως οι ομάδες διαχείρισης, οι συνδρομές και οι ομάδες πόρων) και οι επηρεαζόμενοι υποκείμενοι θα τους έχουν στους πόρους μέσα σε αυτά τα δοχεία.

Βρείτε εδώ μια λίστα με όλους τους ενσωματωμένους ρόλους Azure.
Βρείτε εδώ μια λίστα με όλους τους ενσωματωμένους ρόλους Azure AD.

Προσαρμοσμένοι Ρόλοι

Η Azure επιτρέπει επίσης τη δημιου

Προεπιλεγμένα Δικαιώματα Χρήστη

Ένας βασικός χρήστης θα έχει ορισμένα προεπιλεγμένα δικαιώματα για να απαριθμήσει ορισμένα μέρη του AzureAD:

Ανάγνωση όλων των χρηστών, Ομάδων, Εφαρμογών, Συσκευών, Ρόλων, Συνδρομών και των δημόσιων ιδιοτήτων τους
Πρόσκληση Επισκεπτών (μπορεί να απενεργοποιηθεί)
Δημιουργία Ομάδων Ασφαλείας
Ανάγνωση μη κρυφών Μελών Ομάδας
Προσθήκη επισκεπτών σε Κατοχυρωμένες Ομάδες
Δημιουργία νέας εφαρμογής (μπορεί να απενεργοποιηθεί)
Προσθήκη έως 50 συσκευών στο Azure (μπορεί να απενεργοποιηθεί)

Μπορείτε να δείτε την πλήρη λίστα των προεπιλεγμένων δικαιωμάτων των χρηστών στα έγγραφα. Επιπλέον, σημειώστε ότι σε αυτήν τη λίστα μπορείτε επίσης να δείτε τη λίστα με τα προεπιλεγμένα δικαιώματα των επισκεπτών.

Να θυμάστε ότι για να απαριθμήσετε τους πόρους του Azure, ο χρήστης χρειάζεται μια σαφή χορήγηση της άδειας.

Διαχείριση Προνομιούχων Ταυτοτήτων (PIM)

Η Διαχείριση Προνομιούχων Ταυτοτήτων (PIM) στο Azure είναι ένα εργαλείο που διαχειρίζεται, ελέγχει και παρακολουθεί την προνομιούχα πρόσβαση στο Azure Active Directory και στο Azure. Βελτιώνει την ασφάλεια παρέχοντας πρόσβαση μόνο όταν είναι απαραίτητη και για συγκεκριμένη διάρκεια, επιβάλλοντας ροές έγκρισης και απαιτώντας επιπλέον πιστοποίηση. Αυτή η προσέγγιση ελαχιστοποιεί τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης, διασφαλίζοντας ότι οι αυξημένες άδειες παρέχονται μόνο όταν είναι απαραίτητες και για συγκεκριμένη διάρκεια.

Διαπιστευτήρια Πιστοποίησης

Υπάρχουν τρία είδη διαπιστευτηρίων που χρησιμοποιούνται στο OIDC:

Διαπιστευτήρια Πρόσβασης: Ο πελάτης παρουσιάζει αυτό το διαπιστευτήριο στον διακομιστή πόρων για να αποκτήσει πρόσβαση σε πόρους. Μπορεί να χρησιμοποιηθεί μόνο για μια συγκεκριμένη συνδυασμό χρήστη, πελάτη και πόρου και δεν μπορεί να ανακληθεί μέχρι τη λήξη - που είναι 1 ώρα από προεπιλογή. Η ανίχνευση είναι χαμηλή χρησιμοποιώντας αυτό.
Διαπιστευτήρια Ταυτότητας: Ο πελάτης λαμβάνει αυτό το διαπιστευτήριο από τον διακομιστή εξουσιοδότησης. Περιέχει βασικές πληροφορίες για τον χρήστη. Είναι συνδεδεμένο με έναν συγκεκριμένο συνδυασμό χρήστη και πελάτη.
Διαπιστευτήρια Ανανέωσης: Παρέχονται στον πελάτη με το διαπιστευτήριο πρόσβασης. Χρησιμοποιούνται για να λάβουν νέα διαπιστευτήρια πρόσβασης και ταυτότητας. Είναι συνδεδεμένα με έναν συγκεκριμένο συνδυασμό χρήστη και πελάτη και μπορούν να ανακληθούν. Η προεπιλεγμένη λήξη είναι 90 ημέρες για ανενεργά διαπιστευτήρια ανανέωσης και καμία λήξη για ενεργά διαπιστευτήρια.

Οι πληροφορίες για την πρόσβαση υπό συνθήκη αποθηκεύονται μέσα στο JWT. Έτσι, αν ζητήσετε το διαπιστευτήριο από μια επιτρεπόμενη διεύθυνση IP, αυτή η IP θα αποθηκευτεί στο διαπιστευτήριο και στη συνέχεια μπορείτε να χρησιμοποιήσετε αυτό το διαπιστευτήριο από μια μη επιτρεπόμενη διεύθυνση IP για πρόσβαση στους πόρους.

Ελέγξτε την ακόλουθη σελίδα για να μάθετε διάφορους τρόπους να ζητήσετε διαπιστευτήρια πρόσβασης και να συνδεθείτε με αυτά:

pageAz - AzureAD (AAD)

Οι πιο συνηθισμένες τελικές σημείωσης API είναι:

Διαχειριστής Πόρων Azure (ARM): management.azure.com
Microsoft Graph: graph.microsoft.com (το

PreviousAzure Pentesting NextAz - Unauthenticated Enum & Initial Entry

Last updated 3 months ago