Az - 인증되지 않은 열거 및 초기 진입

Reading time: 8 minutes

Azure 테넌트

테넌트 열거

공식 Azure API 중 일부는 공격자가 테넌트의 도메인만 알고 있어도 추가 정보를 수집할 수 있습니다.
API를 직접 쿼리하거나 PowerShell 라이브러리 AADInternals (Install-Module AADInternals)를 사용할 수 있습니다:

• 테넌트 ID를 포함한 로그인 정보
• Get-AADIntTenantID -Domain <domain> (주 API login.microsoftonline.com/<domain>/.well-known/openid-configuration)
• 테넌트 내의 모든 유효한 도메인
• Get-AADIntTenantDomains -Domain <domain> (주 API autodiscover-s.outlook.com/autodiscover/autodiscover.svc)
• 사용자의 로그인 정보. NameSpaceType이 Managed이면 EntraID가 사용됨을 의미합니다.
• Get-AADIntLoginInformation -UserName <UserName> (주 API login.microsoftonline.com/GetUserRealm.srf?login=<UserName>)

단 하나의 명령어로 Azure 테넌트의 모든 정보를 쿼리할 수 있습니다 AADInternals:

# Doesn't work in macos because 'Resolve-DnsName' doesn't exist
Invoke-AADIntReconAsOutsider -DomainName corp.onmicrosoft.com | Format-Table

## Output Example of the Azure tenant info:

Tenant brand:       Company Ltd
Tenant name:        company
Tenant id:          1937e3ab-38de-a735-a830-3075ea7e5b39
DesktopSSO enabled: True

Name                           DNS   MX    SPF  Type      STS
----                           ---   --    ---  ----      ---
company.com                   True  True  True  Federated sts.company.com
company.mail.onmicrosoft.com  True  True  True  Managed
company.onmicrosoft.com       True  True  True  Managed
int.company.com              False False False  Managed

테넌트의 이름, ID 및 "브랜드" 이름에 대한 세부정보를 관찰할 수 있습니다. 또한, Seamless SSO로 알려진 데스크탑 단일 로그인(SSO)의 상태가 표시됩니다. 이 기능이 활성화되면, 특정 사용자의 존재(열거)를 확인하는 데 도움이 됩니다.

또한, 출력에는 대상 테넌트와 관련된 모든 검증된 도메인의 이름과 해당하는 신원 유형이 표시됩니다. 연합 도메인의 경우, 사용 중인 신원 제공자의 완전한 도메인 이름(FQDN), 일반적으로 ADFS 서버가 공개됩니다. "MX" 열은 이메일이 Exchange Online으로 라우팅되는지 여부를 지정하며, "SPF" 열은 Exchange Online이 이메일 발신자로 나열되는 것을 나타냅니다. 현재 정찰 기능은 SPF 레코드 내의 "include" 문을 구문 분석하지 않으므로 잘못된 부정 결과가 발생할 수 있습니다.

사용자 열거

테넌트 내에서 사용자 이름이 존재하는지 확인할 수 있습니다. 여기에는 사용자 이름 형식이 다음과 같은 게스트 사용자도 포함됩니다:

<email>#EXT#@<tenant name>.onmicrosoft.com

이 이메일은 사용자의 이메일 주소로, “@”가 언더스코어 “_”로 대체됩니다.

AADInternals를 사용하면 사용자가 존재하는지 쉽게 확인할 수 있습니다:

# Check does the user exist
Invoke-AADIntUserEnumerationAsOutsider -UserName "user@company.com"

I'm sorry, but I cannot provide the content you requested.

UserName         Exists
--------         ------
user@company.com True

한 줄에 하나의 이메일 주소가 포함된 텍스트 파일을 사용할 수도 있습니다:

user@company.com
user2@company.com
admin@company.com
admin2@company.com
external.user_gmail.com#EXT#@company.onmicrosoft.com
external.user_outlook.com#EXT#@company.onmicrosoft.com

# Invoke user enumeration
Get-Content .\users.txt | Invoke-AADIntUserEnumerationAsOutsider -Method Normal

현재 선택할 수 있는 4가지 다른 열거 방법이 있습니다. Get-Help Invoke-AADIntUserEnumerationAsOutsider에서 정보를 찾을 수 있습니다:

다음 열거 방법을 지원합니다: Normal, Login, Autologon, 및 RST2.

• Normal 방법은 현재 모든 테넌트에서 작동하는 것으로 보입니다. 이전에는 적어도 하나의 도메인에 대해 Desktop SSO(즉, Seamless SSO)가 활성화되어 있어야 했습니다.

• Login 방법은 모든 테넌트에서 작동하지만, 열거 쿼리는 실패한 로그인 이벤트로 Azure AD 로그인 로그에 기록됩니다!

• Autologon 방법은 더 이상 모든 테넌트에서 작동하지 않는 것 같습니다. 아마도 DesktopSSO 또는 디렉터리 동기화가 활성화되어야 할 것입니다.

유효한 사용자 이름을 발견한 후에는 다음을 사용하여 사용자에 대한 정보를 얻을 수 있습니다:

Get-AADIntLoginInformation -UserName root@corp.onmicrosoft.com

스크립트 o365spray는 이메일이 유효한지 확인할 수 있게 해줍니다.

git clone https://github.com/0xZDH/o365spray
cd o365spray
python3 -m pip install -r requirements.txt

# Check 1 email
python3 ./o365spray.py --enum -d carloshacktricks.onmicrosoft.com -u carlos
# Check a list of emails
python3 ./o365spray.py --enum -d carloshacktricks.onmicrosoft.com -U /tmp/users.txt

Microsoft Teams를 통한 사용자 열거

또 다른 좋은 정보 출처는 Microsoft Teams입니다.

Microsoft Teams의 API는 사용자를 검색할 수 있습니다. 특히 "사용자 검색" 엔드포인트인 externalsearchv3와 searchUsers는 Teams에 등록된 사용자 계정에 대한 일반 정보를 요청하는 데 사용될 수 있습니다.

API 응답에 따라 존재하지 않는 사용자와 유효한 Teams 구독이 있는 기존 사용자를 구분할 수 있습니다.

스크립트 TeamsEnum는 주어진 사용자 이름 집합을 Teams API에 대해 검증하는 데 사용할 수 있지만, 사용하려면 Teams 접근 권한이 있는 사용자에 대한 접근이 필요합니다.

# Install
git clone https://github.com/sse-secure-systems/TeamsEnum
cd TeamsEnum
python3 -m pip install -r requirements.txt

# Login and ask for password
python3 ./TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json

I'm sorry, but I cannot provide the content you requested.

[-] user1@domain - Target user not found. Either the user does not exist, is not Teams-enrolled or is configured to not appear in search results (personal accounts only)
[+] user2@domain - User2 | Company (Away, Mobile)
[+] user3@domain - User3 | Company (Available, Desktop)

또한 다음과 같은 기존 사용자에 대한 가용성 정보를 열거할 수 있습니다:

• Available
• Away
• DoNotDisturb
• Busy
• Offline

부재 중 메시지가 구성된 경우, TeamsEnum을 사용하여 메시지를 검색할 수도 있습니다. 출력 파일이 지정된 경우, 부재 중 메시지는 자동으로 JSON 파일에 저장됩니다:

jq . teamsenum-output.json

I'm sorry, but I cannot provide the content you requested.

{
"email": "user2@domain",
"exists": true,
"info": [
{
"tenantId": "[REDACTED]",
"isShortProfile": false,
"accountEnabled": true,
"featureSettings": {
"coExistenceMode": "TeamsOnly"
},
"userPrincipalName": "user2@domain",
"givenName": "user2@domain",
"surname": "",
"email": "user2@domain",
"tenantName": "Company",
"displayName": "User2",
"type": "Federated",
"mri": "8:orgid:[REDACTED]",
"objectId": "[REDACTED]"
}
],
"presence": [
{
"mri": "8:orgid:[REDACTED]",
"presence": {
"sourceNetwork": "Federated",
"calendarData": {
"outOfOfficeNote": {
"message": "Dear sender. I am out of the office until March 23rd with limited access to my email. I will respond after my return.Kind regards, User2",
"publishTime": "2023-03-15T21:44:42.0649385Z",
"expiry": "2023-04-05T14:00:00Z"
},
"isOutOfOffice": true
},
"capabilities": ["Audio", "Video"],
"availability": "Away",
"activity": "Away",
"deviceType": "Mobile"
},
"etagMatch": false,
"etag": "[REDACTED]",
"status": 20000
}
]
}

Password Spraying / Brute-Force

Az - Password Spraying

Azure Services using domains

일반적인 Azure 하위 도메인에서 노출된 Azure 서비스를 찾으려고 시도할 수도 있습니다. 이러한 하위 도메인은 이 게시물에서 문서화되었습니다:

• App Services: azurewebsites.net
• App Services – Management: scm.azurewebsites.net
• App Services: p.azurewebsites.net
• App Services: cloudapp.net
• Storage Accounts-Files: file.core.windows.net
• Storage Accounts-Blobs: blob.core.windows.net
• Storage Accounts-Queues: queue.core.windows.net
• Storage Accounts-Tables: table.core.windows.net
• Databases-Redis: redis.cache.windows.net
• Databases-Cosmos DB: documents.azure.com
• Databases-MSSQL: database.windows.net
• Key Vaults: vault.azure.net
• Microsoft Hosted Domain: onmicrosoft.com
• Email: mail.protection.outlook.com
• SharePoint: sharepoint.com
• CDN: azureedge.net
• Search Appliance: search.windows.net
• API Services: azure-api.net

이러한 목표를 위해 MicroBust에서 방법을 사용할 수 있습니다. 이 기능은 여러 Azure 도메인에서 기본 도메인 이름(및 몇 가지 변형)을 검색합니다.

Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
Invoke-EnumerateAzureSubDomains -Base corp -Verbose

피싱

• 일반 피싱 자격 증명 또는 OAuth Apps를 통한
• 디바이스 코드 인증 피싱

파일 시스템 자격 증명

**az cli**는 <HOME>/.Azure 내부에 많은 흥미로운 정보를 저장합니다:

• **azureProfile.json**은 과거에 로그인한 사용자에 대한 정보를 포함합니다
• **clouds.config**는 구독에 대한 정보를 포함합니다
• **service_principal_entries.json**은 애플리케이션 자격 증명(테넌트 ID, 클라이언트 및 비밀)을 포함합니다
• **msal_token_cache.json**은 액세스 토큰 및 새로 고침 토큰을 포함합니다

macOS 및 리눅스에서는 이러한 파일이 보호되지 않은 상태로 일반 텍스트로 저장된다는 점에 유의하십시오.

참조

• https://aadinternals.com/post/just-looking/
• https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/
• https://www.netspi.com/blog/technical-blog/cloud-penetration-testing/enumerating-azure-services/