Az - Persistence
不正な同意付与
デフォルトでは、任意のユーザーがAzure ADでアプリケーションを登録できます。したがって、管理者権限で高い影響を持つアプリケーション(ユーザーの代わりにメールを送信する、ロール管理など)を登録できます(管理者であれば承認することができます)。これにより、フィッシング攻撃を実行でき、成功した場合には非常に有益になります。
さらに、そのアプリケーションを自分のユーザーとして受け入れることで、アクセスを維持する方法もあります。
アプリケーションとサービス プリンシパル
Application Administrator、GA、またはmicrosoft.directory/applications/credentials/update権限を持つカスタムロールで、既存のアプリケーションに資格情報(シークレットまたは証明書)を追加できます。
高い権限を持つアプリケーションをターゲットにするか、高い権限を持つ新しいアプリケーションを追加することが可能です。
アプリケーションに追加する興味深いロールは特権認証管理者ロールであり、これによりグローバル管理者のパスワードをリセットできます。
このテクニックはまた、MFAをバイパスすることも可能です。
証明書ベースの認証
```powershell Connect-AzAccount -ServicePrincipal -Tenant -CertificateThumbprint -ApplicationId ``` ### フェデレーション - トークン署名証明書
オンプレミスAD で DA権限 を持っている場合、非常に長い有効期間を持つ 新しいトークン署名 および トークン復号証明書 を作成およびインポートすることが可能です。これにより、私たちは ImuutableID を知っている任意のユーザーとして ログイン することができます。
以下のコマンドを ADFSサーバー上のDA として実行して、新しい証明書を作成し(デフォルトパスワードは 'AADInternals')、それらをADFSに追加し、自動ロールオーバーを無効にしてサービスを再起動します:
次に、Azure ADで証明書情報を更新します:
フェデレーション - 信頼されたドメイン
テナントでGA権限を持っている場合、新しいドメインを追加することが可能です(検証する必要があります)。認証タイプをフェデレーテッドに構成し、ドメインを特定の証明書(以下のコマンドのany.sts)と発行者に信頼させることができます。
参考
最終更新