Nielegalne przyznanie zgody

Domyślnie każdy użytkownik może zarejestrować aplikację w Azure AD. Możesz więc zarejestrować aplikację (tylko dla docelowego najemcy), która wymaga uprawnień o wysokim wpływie z zgodą administratora (zatwierdzić ją, jeśli jesteś administratorem) - takie jak wysyłanie wiadomości w imieniu użytkownika, zarządzanie rolami itp. To pozwoli nam na wykonanie ataków phishingowych, które mogą być bardzo owocne w przypadku powodzenia.

Ponadto, możesz również zaakceptować tę aplikację za pomocą swojego użytkownika jako sposób na utrzymanie dostępu do niej.

Aplikacje i podmioty usług

Z uprawnieniami Administratora aplikacji, GA lub niestandardową rolą z uprawnieniami microsoft.directory/applications/credentials/update, możemy dodać poświadczenia (sekret lub certyfikat) do istniejącej aplikacji.

Możliwe jest celowanie w aplikację o wysokich uprawnieniach lub dodanie nowej aplikacji o wysokich uprawnieniach.

Interesującą rolą do dodania do aplikacji byłaby rola Administratora uwierzytelniania uprzywilejowanego, ponieważ umożliwia ona resetowanie hasła dla Globalnych Administratorów.

Ta technika pozwala również na ominięcie MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Dla uwierzytelniania opartego na certyfikatach

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federacja - Certyfikat podpisywania tokenów

Posiadając uprawnienia DA w lokalnym AD, możliwe jest utworzenie i importowanie nowych certyfikatów podpisywania tokenów oraz certyfikatów deszyfrowania tokenów o bardzo długiej ważności. Pozwoli nam to zalogować się jako dowolny użytkownik, którego znamy ImuutableID.

Uruchom poniższą komendę jako DA na serwerze ADFS, aby utworzyć nowe certyfikaty (domyślne hasło to 'AADInternals'), dodać je do ADFS, wyłączyć automatyczne odświeżanie i zrestartować usługę:

New-AADIntADFSSelfSignedCertificates

Następnie zaktualizuj informacje o certyfikacie w Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federacja - Zaufana domena

Posiadając uprawnienia GA na dzierżawie, można dodać nową domenę (musi zostać zweryfikowana), skonfigurować jej typ uwierzytelniania na Federated i skonfigurować domenę, aby zaufać określonemu certyfikatowi (any.sts w poniższej komendzie) oraz wydawcy:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Odnośniki

• https://aadinternalsbackdoor.azurewebsites.net/