Az - PTA - Pass-through Authentication

AWS hackleme becerilerini sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Temel Bilgiler

Dokümantasyondan alınan bilgilere göre: Azure Active Directory (Azure AD) Pass-through Authentication, kullanıcılarınızın aynı şifreleri kullanarak hem yerel hem de bulut tabanlı uygulamalara giriş yapmasına olanak tanır. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sunar - hatırlanması gereken bir şifre daha az olduğu için ve kullanıcılarınızın giriş yapmayı unutma olasılığı daha düşük olduğu için IT yardım masası maliyetlerini azaltır. Kullanıcılar Azure AD kullanarak giriş yaptığında, bu özellik kullanıcıların şifrelerini doğrudan yerel Active Directory'nizde doğrular.

PTA'da kimlikler senkronize edilirken şifreler senkronize edilmez, PHS'deki gibi.

Kimlik doğrulama, yerel AD'de doğrulanır ve bulutla iletişim, bir kimlik doğrulama ajanı tarafından gerçekleştirilir ve bu ajan bir yerel sunucuda çalışır (yerel DC'de olması gerekmez).

Kimlik doğrulama akışı

  1. Kullanıcı giriş yapmak için Azure AD'ye yönlendirilir, burada kullanıcı adı ve şifre gönderir.

  2. Kimlik bilgileri, Azure AD'deki bir kuyruğa şifrelenmiş olarak yerleştirilir.

  3. Yerel kimlik doğrulama ajanı, kuyruktan kimlik bilgilerini toplar ve şifreleri şifre çözer. Bu ajan "Pass-through authentication agent" veya PTA ajanı olarak adlandırılır.

  4. Ajan, kimlik bilgilerini yerel AD'ye karşı doğrular ve yanıtı Azure AD'ye gönderir. Eğer yanıt olumlu ise, Azure AD kullanıcının girişini tamamlar.

Bir saldırgan, PTA'yı ele geçirirse, kuyruktaki tüm kimlik bilgilerini (açık metin olarak) görebilir. Ayrıca, AzureAD'ye herhangi bir kimlik bilgisini doğrulayabilir (Skeleton key saldırısına benzer bir saldırı).

Yerel -> bulut

Eğer PTA ajanı çalışan Azure AD Connect sunucusuna yönetici erişiminiz varsa, AADInternals modülünü kullanarak geri kapı ekleyebilirsiniz. Bu geri kapı, girilen TÜM şifreleri doğrulayacak şekilde çalışır:

Install-AADIntPTASpy

Eğer kurulum başarısız olursa, bunun muhtemelen Microsoft Visual C++ 2015 Redistributables eksikliğinden kaynaklandığını belirtmek gerekir.

Ayrıca, önceki arka kapının kurulduğu makinede aşağıdaki cmdlet kullanılarak PTA ajanına gönderilen açık metin parolaları görüntülemek mümkündür:

Get-AADIntPTASpyLog -DecodePasswords

Bu arka kapı şunları yapacak:

  • Gizli bir C:\PTASpy klasörü oluşturacak

  • PTASpy.dll dosyasını C:\PTASpy klasörüne kopyalayacak

  • PTASpy.dll'yi AzureADConnectAuthenticationAgentService işlemine enjekte edecek

AzureADConnectAuthenticationAgent hizmeti yeniden başlatıldığında, PTASpy "boşaltılır" ve yeniden yüklenmesi gerekir.

Bulut -> On-Prem

Bulutta GA yetkilerine sahip olduktan sonra, bir saldırgan kontrolündeki makineye bir PTA ajanı kaydederek yeni bir PTA ajanı oluşturmak mümkündür. Ajan kurulduktan sonra, önceki adımları tekrarlayarak herhangi bir şifre ile kimlik doğrulaması yapabilir ve ayrıca şifreleri açık metin olarak alabiliriz.

Sorunsuz SSO

PTA ile Sorunsuz SSO kullanmak mümkündür ve bu da diğer kötüye kullanımlara açıktır. Aşağıdaki bağlantıda kontrol edebilirsiniz:

Az - Seamless SSO

Referanslar

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Last updated