Az- Synchronising New Users

Для синхронізації нового користувача з AzureAD на місцевий сервер AD потрібно виконати наступні вимоги:

Користувач AzureAD повинен мати проксі-адресу (поштову скриньку)
Ліцензія не потрібна
Необхідно, щоб не було вже синхронізовано

Get-MsolUser -SerachString admintest | select displayname, lastdirsynctime, proxyaddresses, lastpasswordchangetimestamp | fl

Коли користувач, подібний до цього, знаходиться в AzureAD, для доступу до нього з on-prem AD вам просто потрібно створити новий обліковий запис з proxyAddress - електронною поштою SMTP.

Автоматично цей користувач буде синхронізований з AzureAD на користувача on-prem AD.

Зверніть увагу, що для виконання цього атаки вам не потрібен Domain Admin, вам просто потрібні дозволи на створення нових користувачів.

Крім того, це не обійде MFA.

Більше того, було повідомлено, що синхронізація облікового запису більше не можлива для облікових записів адміністраторів.

References

https://www.youtube.com/watch?v=JEIR5oGCwdg

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити свою компанію рекламовану в HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousAz AD Connect - Hybrid Identity NextAz - Default Applications

Last updated 1 month ago