Az - Cloud Kerberos Trust
Machapisho haya ni muhtasari wa https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/ ambayo yanaweza kuchunguzwa kwa habari zaidi kuhusu shambulio hilo. Mbinu hii pia imeelezewa katika https://www.youtube.com/watch?v=AFay_58QubY.
Taarifa Msingi
Uaminifu
Wakati uaminifu unapowekwa na Azure AD, Mkondo wa Kudhibiti wa Domain wa Kusoma tu (RODC) unajengwa katika AD. Akaunti ya kompyuta ya RODC, inayoitwa AzureADKerberos$
. Pia, akaunti ya krbtgt
ya pili inayoitwa krbtgt_AzureAD
. Akaunti hii ina funguo za Kerberos zinazotumiwa kwa tiketi ambazo Azure AD inaunda.
Kwa hivyo, ikiwa akaunti hii itashambuliwa inaweza kuwa inawezekana kujifanya kuwa mtumiaji yeyote... ingawa hii sio kweli kwa sababu akaunti hii imezuiliwa kutoa tiketi kwa kikundi chochote cha AD cha kawaida kilichopewa haki kama Wasimamizi wa Domain, Wasimamizi wa Kampuni, Wasimamizi...
Walakini, katika hali halisi kutakuwa na watumiaji wenye haki ambao hawamo katika vikundi hivyo. Kwa hivyo akaunti mpya ya krbtgt, ikishambuliwa, inaweza kutumika kujifanya kuwa wao.
TGT ya Kerberos
Zaidi ya hayo, wakati mtumiaji anathibitisha kwenye Windows kwa kutumia kitambulisho cha mchanganyiko wa kitambulisho Azure AD itatoa tiketi ya Kerberos ya sehemu pamoja na PRT. TGT ni sehemu kwa sababu AzureAD ina habari iliyopunguzwa ya mtumiaji katika AD ya ndani (kama kitambulisho cha usalama (SID) na jina).
Windows basi inaweza kubadilishana hii TGT ya sehemu kuwa TGT kamili kwa kuomba tiketi ya huduma kwa huduma ya krbtgt
.
NTLM
Kwa kuwa kunaweza kuwa na huduma ambazo hazisaidii uwakala wa kerberos lakini NTLM, inawezekana kuomba TGT ya sehemu iliyosainiwa kwa kutumia krbtgt
ya pili funguo ikiwa ni pamoja na shamba la KERB-KEY-LIST-REQ
katika sehemu ya PADATA ya ombi na kisha kupata TGT kamili iliyosainiwa na funguo kuu la krbtgt
ikiwa ni pamoja na hash ya NT katika majibu.
Kutumia Uaminifu wa Kerberos wa Cloud kupata Wasimamizi wa Domain
Wakati AzureAD inazalisha TGT ya sehemu itatumia maelezo inayoyajua kuhusu mtumiaji. Kwa hivyo, ikiwa Msimamizi wa Jumla anaweza kuhariri data kama kitambulisho cha usalama na jina la mtumiaji katika AzureAD, wakati wa kuomba TGT kwa mtumiaji huyo kitambulisho cha usalama kitakuwa tofauti.
Haiwezekani kufanya hivyo kupitia Microsoft Graph au Azure AD Graph, lakini inawezekana kutumia API ya Active Directory Connect inayotumiwa kuunda na kusasisha watumiaji wanaosawazishwa, ambayo inaweza kutumiwa na Mawakala wa Jumla kuhariri jina la SAM na SID ya mtumiaji wa mchanganyiko, na kisha ikiwa tunathibitisha, tunapata TGT ya sehemu inayoitwa SID iliyobadilishwa.
Tambua kwamba tunaweza kufanya hivi na AADInternals na kusasisha watumiaji wanaosawazishwa kupitia Set-AADIntAzureADObject cmdlet.
Masharti ya Shambulio
Mafanikio ya shambulio na kupata haki za Wasimamizi wa Domain yanategemea kukutana na masharti fulani:
Uwezo wa kubadilisha akaunti kupitia API ya Usawazishaji ni muhimu. Hii inaweza kufikiwa kwa kuwa na jukumu la Msimamizi wa Jumla au kuwa na akaunti ya usawazishaji wa AD Connect. Vinginevyo, jukumu la Msimamizi wa Kitambulisho cha Mchanganyiko litatosha, kwani inaruhusu uwezo wa kusimamia AD Connect na kuanzisha akaunti mpya za usawazishaji.
Kuwepo kwa akaunti ya mchanganyiko ni muhimu. Akaunti hii lazima iweze kuhaririwa na maelezo ya akaunti ya mwathiriwa na pia iweze kupatikana kwa ajili ya uthibitishaji.
Kutambua akaunti ya mwathiriwa wa lengo ndani ya Active Directory ni lazima. Ingawa shambulio linaweza kutekelezwa kwenye akaunti yoyote iliyosawazishwa tayari, mpangaji wa Azure AD haitakiwi kuwa na vitambulisho vya usalama vilivyohamishiwa, ikilazimisha kuhariri akaunti isiyosawazishwa ili kupata tiketi.
Aidha, akaunti hii inapaswa kuwa na haki sawa na Wasimamizi wa Domain lakini isitambulike kama mwanachama wa vikundi vya kawaida vya wasimamizi wa AD ili kuepuka kuzalisha TGT zisizofaa na RODC ya AzureAD.
Lengo linalofaa ni akaunti ya Active Directory inayotumiwa na huduma ya Usawazishaji wa AD Connect. Akaunti hii haionekani na Azure AD, ikiiacha SID yake kama lengo linaloweza kushambuliwa, na kwa asili inashikilia haki sawa na Wasimamizi wa Domain kutokana na jukumu lake katika kusawazisha hashi za nywila (ikiwa Usawazishaji wa Hashi ya Nywila uko hai). Kwa uainishaji wa haraka, akaunti hii inaanzishwa na MSOL_. Kwa hali zingine, akaunti inaweza kutambuliwa kwa kuhesabu akaunti zote zilizopewa haki za Usawazishaji wa Direktori kwenye kitu cha uwanja.
Shambulio Kamili
Angalia katika chapisho la asili: https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/
Last updated