Az - Cloud Kerberos Trust

Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)

unga mkono HackTricks

Angalia mpango wa michango!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Chapisho hili ni muhtasari wa https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/ ambayo inaweza kuchunguzwa kwa habari zaidi kuhusu shambulio. Mbinu hii pia imeelezwa katika https://www.youtube.com/watch?v=AFay_58QubY.

Taarifa Msingi

Uaminifu

Wakati uaminifu unakubalika na Azure AD, Mkono wa Kudhibiti wa Domain wa Kusoma Pekee (RODC) huanzishwa katika AD. Akaunti ya kompyuta ya RODC, inayoitwa AzureADKerberos$. Pia, akaunti ya krbtgt ya pili inayoitwa krbtgt_AzureAD. Akaunti hii ina funguo za Kerberos zinazotumiwa kwa tiketi ambazo Azure AD inaunda.

Kwa hivyo, ikiwa akaunti hii itashambuliwa inaweza kuwa inawezekana kujifanya kuwa mtumiaji yeyote... ingawa hii sio kweli kwa sababu akaunti hii imezuiliwa kutoa tiketi kwa kikundi chochote cha AD cha kawaida kilichopewa haki kama Wasimamizi wa Domain, Wasimamizi wa Kampuni, Wasimamizi...

Walakini, katika hali halisi kutakuwa na watumiaji wenye haki ambao hawamo katika vikundi hivyo. Kwa hivyo akaunti mpya ya krbtgt, ikishambuliwa, inaweza kutumika kujifanya kuwa wao.

TGT ya Kerberos

Zaidi ya hayo, wakati mtumiaji anajithibitisha kwenye Windows kwa kutumia kitambulisho cha mchanganyiko wa Azure AD, Azure AD itatoa tiketi ya Kerberos ya sehemu pamoja na PRT. TGT ni sehemu kwa sababu AzureAD ina habari iliyopunguzwa ya mtumiaji katika AD ya ndani (kama kitambulisho cha usalama (SID) na jina). Windows basi inaweza kubadilishana hii TGT ya sehemu kwa TGT kamili kwa kutoa tiketi ya huduma kwa huduma ya krbtgt.

NTLM

Kwa kuwa kunaweza kuwa na huduma ambazo hazisaidii uthibitishaji wa kerberos lakini NTLM, inawezekana kuomba TGT ya sehemu iliyosainiwa kwa kutumia krbtgt ya pili funguo ikiwa ni pamoja na uwanja wa KERB-KEY-LIST-REQ katika sehemu ya PADATA ya ombi na kisha kupata TGT kamili iliyosainiwa na funguo kuu la krbtgt ikiwa ni pamoja na hash ya NT katika majibu.

Kutumia Uaminifu wa Kerberos wa Cloud kupata Msimamizi wa Domain

Wakati AzureAD inazalisha TGT ya sehemu itatumia maelezo inayoyajua kuhusu mtumiaji. Kwa hivyo, ikiwa Msimamizi wa Jumla anaweza kuhariri data kama kitambulisho cha usalama na jina la mtumiaji katika AzureAD, wakati wa kuomba TGT kwa mtumiaji huyo kitambulisho cha usalama kitakuwa tofauti.

Haiwezekani kufanya hivyo kupitia Microsoft Graph au Azure AD Graph, lakini inawezekana kutumia API ya Active Directory Connect inayotumiwa na Global Admins kubadilisha na kusasisha watumiaji waliyosawazishwa, ambayo inaweza kutumiwa na Global Admins kurekebisha jina la SAM na SID ya mtumiaji wa mchanganyiko, na kisha ikiwa tunajithibitisha, tunapata TGT ya sehemu inayojumuisha SID iliyosahihishwa.

Tambua kwamba tunaweza kufanya hivi na AADInternals na kusasisha watumiaji waliyosawazishwa kupitia Set-AADIntAzureADObject cmdlet.

Masharti ya Shambulio

Mafanikio ya shambulio na kupata haki za Msimamizi wa Domain yanategemea kukutana na masharti fulani:

Uwezo wa kubadilisha akaunti kupitia API ya Synchronization ni muhimu. Hii inaweza kufikiwa kwa kuwa na jukumu la Global Admin au kuwa na akaunti ya usawazishaji wa AD Connect. Vinginevyo, jukumu la Msimamizi wa Kitambulisho cha Mchanganyiko litatosha, kwani inaruhusu kusimamia AD Connect na kuanzisha akaunti mpya za usawazishaji.
Kuwepo kwa akaunti ya mchanganyiko ni muhimu. Akaunti hii lazima iweze kurekebishwa na maelezo ya akaunti ya mwathiriwa na pia iweze kupatikana kwa ajili ya uthibitishaji.
Kutambua akaunti ya mwathiriwa wa lengo ndani ya Active Directory ni lazima. Ingawa shambulio linaweza kutekelezwa kwenye akaunti yoyote iliyosawazishwa tayari, mpangaji wa Azure AD haitakiwi kuwa na vitambulisho vya usalama vilivyosawazishwa, ikilazimisha marekebisho ya akaunti isiyosawazishwa ili kupata tiketi.
Aidha, akaunti hii inapaswa kuwa na haki sawa na Msimamizi wa Domain lakini isiyokuwa mwanachama wa vikundi vya kawaida vya wasimamizi wa AD ili kuepuka kuzalisha TGT zisizo halali na AzureAD RODC.
Lengo linalofaa zaidi ni akaunti ya Active Directory inayotumiwa na huduma ya Usawazishaji wa AD Connect. Akaunti hii haifanyi usawazishaji na Azure AD, ikiiacha SID yake kama lengo linaloweza kushambuliwa, na kwa asili inashikilia haki sawa na Msimamizi wa Domain kutokana na jukumu lake katika kusawazisha hashi za nywila (ikiwa Usawazishaji wa Hashi ya Nywila uko hai). Kwa uainishaji wa haraka, akaunti hii inaanzishwa na MSOL_. Kwa hali nyingine, akaunti inaweza kutambuliwa kwa kuhesabu akaunti zote zilizopewa haki za Usawazishaji wa Direktori kwenye kitu cha uwanja.

Shambulio kamili

Angalia katika chapisho la asili: https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/

Jifunze na zoezi la Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoezi la Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)

unga mkono HackTricks

Angalia mpango wa michango!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Default Applications NextAz - Federation

Last updated 1 month ago