HackTricks CloudAz - Movimento Lateral (Nuvem - On-Prem)
Reading time: 4 minutes
Az - Movimento Lateral (Nuvem - On-Prem)
tip
Aprenda e pratique Hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.
Máquinas On-Prem conectadas à nuvem
Existem diferentes maneiras de uma máquina estar conectada à nuvem:
Azure AD joined
.png)
Workplace joined
.png)
https://pbs.twimg.com/media/EQZv7UHXsAArdhn?format=jpg&name=large
Hybrid joined
.png)
https://pbs.twimg.com/media/EQZv77jXkAAC4LK?format=jpg&name=large
Workplace joined em AADJ ou Hybrid
.png)
https://pbs.twimg.com/media/EQZv8qBX0AAMWuR?format=jpg&name=large
Tokens e limitações
No Azure AD, existem diferentes tipos de tokens com limitações específicas:
- Access tokens: Usados para acessar APIs e recursos como o Microsoft Graph. Eles estão vinculados a um cliente e recurso específicos.
- Refresh tokens: Emitidos para aplicativos para obter novos access tokens. Eles só podem ser usados pelo aplicativo ao qual foram emitidos ou por um grupo de aplicativos.
- Primary Refresh Tokens (PRT): Usados para Single Sign-On em dispositivos Azure AD joined, registrados ou hybrid joined. Eles podem ser usados em fluxos de login no navegador e para fazer login em aplicativos móveis e de desktop no dispositivo.
- Windows Hello for Business keys (WHFB): Usados para autenticação sem senha. Eles são usados para obter Primary Refresh Tokens.
O tipo de token mais interessante é o Primary Refresh Token (PRT).
Az - Primary Refresh Token (PRT)
Técnicas de Pivoting
Do máquina comprometida para a nuvem:
- Pass the Cookie: Roubar cookies do Azure do navegador e usá-los para fazer login
- Dump processes access tokens: Despejar a memória de processos locais sincronizados com a nuvem (como excel, Teams...) e encontrar access tokens em texto claro.
- Phishing Primary Refresh Token: Phish o PRT para abusar dele
- Pass the PRT: Roubar o PRT do dispositivo para acessar o Azure se passando por ele.
- Pass the Certificate: Gerar um certificado baseado no PRT para fazer login de uma máquina para outra
De comprometer AD para comprometer a Nuvem e de comprometer a Nuvem para comprometer AD:
- Azure AD Connect
- Outra maneira de pivotar da nuvem para On-Prem é abusar do Intune
Roadtx
Esta ferramenta permite realizar várias ações, como registrar uma máquina no Azure AD para obter um PRT e usar PRTs (legítimos ou roubados) para acessar recursos de várias maneiras diferentes. Esses não são ataques diretos, mas facilitam o uso de PRTs para acessar recursos de diferentes maneiras. Encontre mais informações em https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/
Referências
tip
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Confira os planos de assinatura!
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
- Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.