Az - Pass the Certificate

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.

Pass the Certificate (Azure)

Dans les machines jointes à Azure, il est possible de s’authentifier d’une machine à une autre en utilisant des certificats qui doivent être émis par Entra ID CA pour l’utilisateur requis (en tant que sujet) lorsque les deux machines prennent en charge le mécanisme d’authentification NegoEx.

En termes super simplifiés :

• La machine (client) initiant la connexion a besoin d’un certificat d’Entra ID pour un utilisateur.
• Le client crée un en-tête JSON Web Token (JWT) contenant PRT et d’autres détails, le signe en utilisant la clé dérivée (en utilisant la clé de session et le contexte de sécurité) et l’envoie à Entra ID.
• Entra ID vérifie la signature JWT en utilisant la clé de session du client et le contexte de sécurité, vérifie la validité du PRT et répond avec le certificat.

Dans ce scénario et après avoir récupéré toutes les informations nécessaires pour une attaque Pass the PRT :

• Nom d’utilisateur
• ID de locataire
• PRT
• Contexte de sécurité
• Clé dérivée

Il est possible de demander un certificat P2P pour l’utilisateur avec l’outil PrtToCert:

RequestCert.py [-h] --tenantId TENANTID --prt PRT --userName USERNAME --hexCtx HEXCTX --hexDerivedKey HEXDERIVEDKEY [--passPhrase PASSPHRASE]

Les certificats dureront aussi longtemps que le PRT. Pour utiliser le certificat, vous pouvez utiliser l’outil python AzureADJoinedMachinePTC qui s’authentifiera sur la machine distante, exécutera PSEXEC et ouvrira un CMD sur la machine victime. Cela nous permettra d’utiliser à nouveau Mimikatz pour obtenir le PRT d’un autre utilisateur.

Main.py [-h] --usercert USERCERT --certpass CERTPASS --remoteip REMOTEIP

Références

• Pour plus de détails sur le fonctionnement de Pass the Certificate, consultez le post original https://medium.com/@mor2464/azure-ad-pass-the-certificate-d0c5de624597

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

• Vérifiez les plans d’abonnement !
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.