Az - Conditional Access Policies / MFA Bypass

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप चाहते हैं कि आपकी कंपनी HackTricks में विज्ञापित हो या HackTricks को PDF में डाउनलोड करें तो सब्सक्रिप्शन प्लान देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह और हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।

मूल जानकारी

Azure Conditional Access policies माइक्रोसॉफ्ट एज़्यूर में सेट किए गए नियम हैं जो कुछ शर्तों के आधार पर एज़्यूर सेवाओं और एप्लिकेशन्स तक पहुंच नियंत्रित करने के लिए हैं। ये नीतियाँ संगठनों की संसाधनों को सुरक्षित बनाने में मदद करती हैं जो सही परिस्थितियों के तहत सही पहुंच नियंत्रण लागू करके। शर्तमुक्त पहुंच नीत

roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokrns-stdout

<token>

चूंकि Microsoft Teams ऐप में कई अनुमतियाँ हैं, आप उस एक्सेस का उपयोग कर सकेंगे।

आप रोडटूल्स के डेटाबेस में पूर्वनिर्धारित Office365 अनुमतियों के साथ अधिक सार्वजनिक एप्लिकेशन्स का आईडी खोज सकते हैं:

SELECT appId, displayName FROM ApplicationRefs WHERE publicCLient = 1 ORDER BY displayName ASC

यह हमला विशेष रूप से दिलचस्प है क्योंकि डिफ़ॉल्ट रूप से सार्वजनिक Office365 एप्लिकेशन कुछ डेटा तक पहुंचने की अनुमति रखेंगे।

अन्य एप्लिकेशन

डिफ़ॉल्ट रूप से, उपयोगकर्ताओं द्वारा बनाई गई अन्य एप्लिकेशनों को अनुमतियाँ नहीं होंगी और वे निजी हो सकती हैं। हालांकि, उपयोगकर्ता भी सार्वजनिक एप्लिकेशन बना सकते हैं जिन्हें कुछ अनुमतियाँ दी जा सकती हैं।

एक संभावित स्थिति जहाँ एक नीति सेट की गई है कि एक एप्लिकेशन तक पहुंचने के लिए MFA की आवश्यकता है जब उपयोगकर्ता एक ब्राउज़र का उपयोग कर रहा है (शायद क्योंकि यह एक वेब एप्लिकेशन है और इसलिए यह एकमात्र तरीका होगा), अगर एक प्रॉक्सी एप्लिकेशन है - जो उपयोगकर्ताओं की ओर से अन्य एप्लिकेशनों के साथ संवाद करने की अनुमति देता है-, तो उपयोगकर्ता प्रॉक्सी एप्लिकेशन में लॉगिन कर सकता है और फिर इस प्रॉक्सी एप्लिकेशन के माध्यम से पहले से ही MFA सुरक्षित एप्लिकेशन में लॉगिन कर सकता है।

Invoke-MFASweep और donkeytoken तकनीकों की जांच करें।

अन्य Az MFA बायपास

रिंग टोन

एक Azure MFA विकल्प है कि कॉन्फ़िगर किए गए फ़ोन नंबर में एक कॉल प्राप्त करें जहाँ उपयोगकर्ता से चार # भेजने के लिए कहा जाएगा।

चार्स केवल टोन्स होते हैं, एक हमलावर फ़ोन नंबर के वॉयसमेल संदेश को कंप्रोमाइज़ कर सकता है, संदेश के रूप में # का टोन कॉन्फ़िगर कर सकता है और फिर, MFA का अनुरोध करते समय सुनिश्चित कर सकता है कि पीड़ित का फ़ोन व्यस्त है (उसे कॉल कर रहा है) ताकि Azure कॉल को वॉयसमेल पर पुनर्निर्देशित किया जाए।

अनुरूप उपकरण

नीतियाँ अक्सर एक अनुरूप उपकरण या MFA की मांग करती हैं, इसलिए एक हमलावर एक अनुरूप उपकरण रजिस्टर कर सकता है, एक PRT टोकन प्राप्त कर सकता है और इस तरह से MFA को बायपास कर सकता है।

Intune में एक अनुरूप उपकरण रजिस्टर करने से शुरू करें, फिर PRT प्राप्त करें:

$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials

$prtToken = New-AADIntUserPRTToken -Settings $prtKeys -GertNonce

Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken

<token returned>

उपकरण

roadrecon

सभी नीतियों को प्राप्त करें

roadrecon plugin policies

Invoke-MFASweep

MFASweep एक PowerShell स्क्रिप्ट है जो एक दिया गया सेट क्रेडेंशियल का उपयोग करके विभिन्न माइक्रोसॉफ्ट सेवाओं में लॉगिन करने का प्रयास करेगा और यह सामग्री को पहचानने का प्रयास करेगा कि क्या MFA सक्षम है। यहाँ तक कि यदि शर्ताधारित पहुंच नीतियाँ और अन्य बहु-कारक प्रमाणीकरण सेटिंग्स कैसे कॉन्फ़िगर की गई हैं, तो कुछ प्रोटोकॉल एकल कारक रह सकते हैं। इसमें ADFS कॉन्फ़िगरेशन के लिए एक अतिरिक्त जांच भी है और यदि पहचाना जाता है तो ऑन-प्रेम ADFS सर्वर में लॉगिन करने का प्रयास कर सकता है।

Invoke-MFASweep -Username <username> -Password <pass>

donkeytoken

डॉनकी टोकन एक सेट कार्यों है जिनका उद्देश्य सुरक्षा सलाहकारों की मदद करना है जो शर्ताधारित पहुंच नीतियों की मान्यता प्रमाणित करने की आवश्यकता है, 2FA सक्षम Microsoft पोर्टल के लिए परीक्षण करता है, आदि।

Import-Module 'C:\Users\Administrador\Desktop\Azure\Modulos ps1\donkeytoken' -Force

प्रत्येक पोर्टल की जांच करें यदि MFA के बिना लॉगिन संभव है:

Test-MFA -credential $cred -Verbose -Debug -InformationAction Continue

क्योंकि Azure पोर्टल सीमित नहीं है, इसलिए **पोर्टल एंडपॉइंट से टोकन एकत्र करना संभव है ताकि पिछले निष्पादन द्वारा पहचानी गई किसी भी सेवा तक पहुंचा जा सके। इस मामले में Sharepoint पहचाना गया था, और इसे एक्सेस करने के लिए एक टोकन का अनुरोध किया गया था:

$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token

मान लीजिए कि टोकन के पास अनुमति Sites.Read.All (शेयरपॉइंट से) है, तो यदि MFA के कारण आप वेब से शेयरपॉइंट तक पहुंच नहीं सकते हैं, तो जनरेट किए गए टोकन के साथ फ़ाइलों तक पहुंचना संभव है:

$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl

संदर्भ

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, PRs जमा करके HackTricks और HackTricks Cloud github repos में।

PreviousAz - AzureAD (AAD)NextAz - Dynamic Groups Privesc

Last updated 3 months ago