Az - PTA - Pass-through Authentication

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

Основна інформація

З документації: Прохідна аутентифікація Azure Active Directory (Azure AD) дозволяє вашим користувачам увійти в обидві локальні та хмарні застосунки, використовуючи однакові паролі. Ця функція надає вашим користувачам кращий досвід - на один пароль менше для запам'ятовування, і зменшує витрати на ІТ-службу підтримки, оскільки ваші користувачі менше ймовірно забудуть, як увійти. Коли користувачі увійшли за допомогою Azure AD, ця функція перевіряє паролі користувачів безпосередньо в вашому локальному Active Directory.

У PTA ідентифікатори синхронізовані, але паролі ні, як у PHS.

Аутентифікація перевіряється в локальному AD, а спілкування з хмарою здійснюється за допомогою аутентифікаційного агента, який працює на сервері локальної мережі (він не обов'язково повинен бути на локальному DC).

Потік аутентифікації

Для входу користувач перенаправляється в Azure AD, де він відправляє ім'я користувача та пароль
Облікові дані шифруються та встановлюються в чергу в Azure AD
Аутентифікаційний агент локальної мережі збирає облікові дані з черги та розшифровує їх. Цей агент називається "Агент проходження аутентифікації" або агент PTA.
Агент перевіряє облікові дані проти локального AD та надсилає відповідь назад в Azure AD, яка, якщо відповідь позитивна, завершує вхід користувача.

Якщо зловмисник зламує PTA, він може побачити всі облікові дані з черги (у чистому тексті). Він також може перевірити будь-які облікові дані в AzureAD (схожий атакі на Skeleton key).

Локальна мережа -> хмара

Якщо у вас є адміністративний доступ до сервера Azure AD Connect з агентом PTA, ви можете використовувати модуль AADInternals для вставлення завороту, який буде перевіряти ВСІ паролі, введені (таким чином, всі паролі будуть дійсними для аутентифікації):

Install-AADIntPTASpy

Якщо встановлення не вдалося, це, ймовірно, через відсутність Microsoft Visual C++ 2015 Redistributables.

Також можна побачити паролі у відкритому тексті, відправлені агенту PTA, використовуючи наступну команду на машині, де було встановлено попередній задній шлюз:

Get-AADIntPTASpyLog -DecodePasswords

Цей таємний доступ створить:

Сховану папку C:\PTASpy
Скопіює PTASpy.dll до C:\PTASpy
Впроваджує PTASpy.dll до процесу AzureADConnectAuthenticationAgentService

Коли служба AzureADConnectAuthenticationAgent перезапускається, PTASpy "вивантажується" і його потрібно повторно встановити.

Хмара -> На місці

Після отримання привілеїв GA в хмарі, можливо зареєструвати новий агент PTA, встановивши його на керованій атакуючим машині. Як тільки агент налаштований, ми можемо повторити попередні кроки для аутентифікації за допомогою будь-якого пароля і також отримати паролі у відкритому вигляді.

Плавний SSO

Можливо використовувати Плавний SSO з PTA, що є вразливим для інших зловживань. Перевірте це в:

pageAz - Seamless SSO

Посилання

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану в HackTricks або завантажити HackTricks у PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud github репозиторіїв.

PreviousAz - PHS - Password Hash Sync NextAz - Seamless SSO

Last updated 1 month ago