Az - Cloud Kerberos Trust

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Machapisho haya ni muhtasari wa https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/ ambayo yanaweza kuchunguzwa kwa habari zaidi kuhusu shambulio hilo. Mbinu hii pia imeelezewa katika https://www.youtube.com/watch?v=AFay_58QubY.

Taarifa Msingi

Uaminifu

Wakati uaminifu unapowekwa na Azure AD, Mkondo wa Kudhibiti wa Domain wa Kusoma tu (RODC) unajengwa katika AD. Akaunti ya kompyuta ya RODC, inayoitwa AzureADKerberos$. Pia, akaunti ya krbtgt ya pili inayoitwa krbtgt_AzureAD. Akaunti hii ina funguo za Kerberos zinazotumiwa kwa tiketi ambazo Azure AD inaunda.

Kwa hivyo, ikiwa akaunti hii itashambuliwa inaweza kuwa inawezekana kujifanya kuwa mtumiaji yeyote... ingawa hii sio kweli kwa sababu akaunti hii imezuiliwa kutoa tiketi kwa kikundi chochote cha AD cha kawaida kilichopewa haki kama Wasimamizi wa Domain, Wasimamizi wa Kampuni, Wasimamizi...

Walakini, katika hali halisi kutakuwa na watumiaji wenye haki ambao hawamo katika vikundi hivyo. Kwa hivyo akaunti mpya ya krbtgt, ikishambuliwa, inaweza kutumika kujifanya kuwa wao.

TGT ya Kerberos

Zaidi ya hayo, wakati mtumiaji anathibitisha kwenye Windows kwa kutumia kitambulisho cha mchanganyiko wa kitambulisho Azure AD itatoa tiketi ya Kerberos ya sehemu pamoja na PRT. TGT ni sehemu kwa sababu AzureAD ina habari iliyopunguzwa ya mtumiaji katika AD ya ndani (kama kitambulisho cha usalama (SID) na jina). Windows basi inaweza kubadilishana hii TGT ya sehemu kuwa TGT kamili kwa kuomba tiketi ya huduma kwa huduma ya krbtgt.

NTLM

Kwa kuwa kunaweza kuwa na huduma ambazo hazisaidii uwakala wa kerberos lakini NTLM, inawezekana kuomba TGT ya sehemu iliyosainiwa kwa kutumia krbtgt ya pili funguo ikiwa ni pamoja na shamba la KERB-KEY-LIST-REQ katika sehemu ya PADATA ya ombi na kisha kupata TGT kamili iliyosainiwa na funguo kuu la krbtgt ikiwa ni pamoja na hash ya NT katika majibu.

Kutumia Uaminifu wa Kerberos wa Cloud kupata Wasimamizi wa Domain

Wakati AzureAD inazalisha TGT ya sehemu itatumia maelezo inayoyajua kuhusu mtumiaji. Kwa hivyo, ikiwa Msimamizi wa Jumla anaweza kuhariri data kama kitambulisho cha usalama na jina la mtumiaji katika AzureAD, wakati wa kuomba TGT kwa mtumiaji huyo kitambulisho cha usalama kitakuwa tofauti.

Haiwezekani kufanya hivyo kupitia Microsoft Graph au Azure AD Graph, lakini inawezekana kutumia API ya Active Directory Connect inayotumiwa kuunda na kusasisha watumiaji wanaosawazishwa, ambayo inaweza kutumiwa na Mawakala wa Jumla kuhariri jina la SAM na SID ya mtumiaji wa mchanganyiko, na kisha ikiwa tunathibitisha, tunapata TGT ya sehemu inayoitwa SID iliyobadilishwa.

Tambua kwamba tunaweza kufanya hivi na AADInternals na kusasisha watumiaji wanaosawazishwa kupitia Set-AADIntAzureADObject cmdlet.

Masharti ya Shambulio

Mafanikio ya shambulio na kupata haki za Wasimamizi wa Domain yanategemea kukutana na masharti fulani:

Uwezo wa kubadilisha akaunti kupitia API ya Usawazishaji ni muhimu. Hii inaweza kufikiwa kwa kuwa na jukumu la Msimamizi wa Jumla au kuwa na akaunti ya usawazishaji wa AD Connect. Vinginevyo, jukumu la Msimamizi wa Kitambulisho cha Mchanganyiko litatosha, kwani inaruhusu uwezo wa kusimamia AD Connect na kuanzisha akaunti mpya za usawazishaji.
Kuwepo kwa akaunti ya mchanganyiko ni muhimu. Akaunti hii lazima iweze kuhaririwa na maelezo ya akaunti ya mwathiriwa na pia iweze kupatikana kwa ajili ya uthibitishaji.
Kutambua akaunti ya mwathiriwa wa lengo ndani ya Active Directory ni lazima. Ingawa shambulio linaweza kutekelezwa kwenye akaunti yoyote iliyosawazishwa tayari, mpangaji wa Azure AD haitakiwi kuwa na vitambulisho vya usalama vilivyohamishiwa, ikilazimisha kuhariri akaunti isiyosawazishwa ili kupata tiketi.
Aidha, akaunti hii inapaswa kuwa na haki sawa na Wasimamizi wa Domain lakini isitambulike kama mwanachama wa vikundi vya kawaida vya wasimamizi wa AD ili kuepuka kuzalisha TGT zisizofaa na RODC ya AzureAD.
Lengo linalofaa ni akaunti ya Active Directory inayotumiwa na huduma ya Usawazishaji wa AD Connect. Akaunti hii haionekani na Azure AD, ikiiacha SID yake kama lengo linaloweza kushambuliwa, na kwa asili inashikilia haki sawa na Wasimamizi wa Domain kutokana na jukumu lake katika kusawazisha hashi za nywila (ikiwa Usawazishaji wa Hashi ya Nywila uko hai). Kwa uainishaji wa haraka, akaunti hii inaanzishwa na MSOL_. Kwa hali zingine, akaunti inaweza kutambuliwa kwa kuhesabu akaunti zote zilizopewa haki za Usawazishaji wa Direktori kwenye kitu cha uwanja.

Shambulio Kamili

Angalia katika chapisho la asili: https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Default Applications NextAz - Federation

Last updated 2 months ago