Az - Lateral Movement (Cloud - On-Prem)
Az - Lateral Movement (Cloud - On-Prem)
On-Prem machines connected to cloud
एक मशीन को क्लाउड से कनेक्ट करने के विभिन्न तरीके हैं:
Azure AD joined
Workplace joined
Hybrid joined
Workplace joined on AADJ or Hybrid
Tokens and limitations
Azure AD में, विशिष्ट सीमाओं वाले विभिन्न प्रकार के टोकन होते हैं:
Access tokens: Microsoft Graph जैसे API और संसाधनों तक पहुंचने के लिए उपयोग किए जाते हैं। वे एक विशिष्ट क्लाइंट और संसाधन से जुड़े होते हैं।
Refresh tokens: नए एक्सेस टोकन प्राप्त करने के लिए एप्लिकेशनों को जारी किए जाते हैं। इन्हें केवल उस एप्लिकेशन द्वारा या कुछ एप्लिकेशनों द्वारा उपयोग किया जा सकता है।
Primary Refresh Tokens (PRT): Azure AD जुड़े, पंजीकृत या हाइब्रिड जुड़े डिवाइस पर सिंगल साइन-ऑन के लिए उपयोग किए जाते हैं। इन्हें ब्राउज़र साइन-इन फ्लो और डिवाइस पर मोबाइल और डेस्कटॉप एप्लिकेशन में साइन-इन करने के लिए उपयोग किया जा सकता है।
सबसे दिलचस्प प्रकार का टोकन प्राइमरी रिफ्रेश टोकन (PRT) है।
pageAz - Primary Refresh Token (PRT)Pivoting Techniques
कंप्रोमाइज़्ड मशीन से क्लाउड तक:
कुकी पास करें: ब्राउज़र से Azure कुकी चुराएं और उन्हें लॉगिन करने के लिए उपयोग करें
फिशिंग प्राइमरी रिफ्रेश टोकन: PRT को धोखाधड़ी से उपयोग करने के लिए फिशिंग करें
PRT पास करें: डिवाइस PRT चुराएं और उसे इम्पर्सनेट करते हुए Azure तक पहुंचें।
सर्टिफिकेट पास करें: PRT पर आधारित सर्टिफिकेट उत्पन्न करें और एक मशीन से दूसरे मशीन में लॉगिन करें
AD को कंप्रोमाइज़्ड करने से क्लाउड और क्लाउड को AD कंप्रोमाइज़्ड करने के लिए:
एक और तरीका क्लाउड से On-Prem तक पिवोट करने के लिए Intune का दुरुपयोग करना
यह उपकरण कई कार्रवाई करने की अनुमति देता है जैसे कि एक मशीन को Azure AD में पंजीकृत करना और PRT प्राप्त करना, और PRTs (वैध या चोरी किए गए) का उपयोग करके विभिन्न तरीकों से संसाधनों तक पहुंचने के लिए। ये सीधे हमले नहीं हैं, लेकिन यह PRTs का उपयोग करने को विभिन्न तरीकों से संसाधनों तक पहुंचने को सुविधाजनक बनाता है। अधिक जानकारी के लिए https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/ में देखें
References
Last updated