Az - Pass the Certificate

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Pass the Certificate (Azure)

En máquinas unidas a Azure, es posible autenticar de una máquina a otra utilizando certificados que deben ser emitidos por Entra ID CA para el usuario requerido (como sujeto) cuando ambas máquinas soportan el mecanismo de autenticación NegoEx.

En términos super simplificados:

• La máquina (cliente) que inicia la conexión necesita un certificado de Entra ID para un usuario.
• El cliente crea un encabezado de JSON Web Token (JWT) que contiene PRT y otros detalles, lo firma utilizando la clave derivada (usando la clave de sesión y el contexto de seguridad) y lo envía a Entra ID.
• Entra ID verifica la firma del JWT utilizando la clave de sesión del cliente y el contexto de seguridad, verifica la validez del PRT y responde con el certificado.

En este escenario y después de obtener toda la información necesaria para un ataque de Pass the PRT:

• Nombre de usuario
• ID de inquilino
• PRT
• Contexto de seguridad
• Clave derivada

Es posible solicitar un certificado P2P para el usuario con la herramienta PrtToCert:

RequestCert.py [-h] --tenantId TENANTID --prt PRT --userName USERNAME --hexCtx HEXCTX --hexDerivedKey HEXDERIVEDKEY [--passPhrase PASSPHRASE]

Los certificados durarán lo mismo que el PRT. Para usar el certificado, puedes utilizar la herramienta de python AzureADJoinedMachinePTC que autenticará en la máquina remota, ejecutará PSEXEC y abrirá un CMD en la máquina víctima. Esto nos permitirá usar Mimikatz nuevamente para obtener el PRT de otro usuario.

Main.py [-h] --usercert USERCERT --certpass CERTPASS --remoteip REMOTEIP

Referencias

• Para más detalles sobre cómo funciona Pass the Certificate, consulta la publicación original https://medium.com/@mor2464/azure-ad-pass-the-certificate-d0c5de624597

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.