HackTricks CloudAz - PTA - Prolazna autentifikacija
Reading time: 4 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Osnovne informacije
Iz dokumenata: Azure Active Directory (Azure AD) Prolazna autentifikacija omogućava vašim korisnicima da prijave se na lokalne i aplikacije u oblaku koristeći iste lozinke. Ova funkcija pruža vašim korisnicima bolje iskustvo - jedna lozinka manje za pamćenje, i smanjuje troškove IT podrške jer je manje verovatno da će vaši korisnici zaboraviti kako da se prijave. Kada se korisnici prijave koristeći Azure AD, ova funkcija validira lozinke korisnika direktno protiv vašeg lokalnog Active Directory-a.
U PTA identiteti su sinhronizovani ali lozinke nisu kao u PHS.
Autentifikacija se validira u lokalnom AD-u, a komunikacija sa oblakom se vrši putem autentifikacionog agenta koji radi na lokalnom serveru (ne mora biti na lokalnom DC-u).
Tok autentifikacije
.png)
- Da bi se prijavio, korisnik se preusmerava na Azure AD, gde šalje korisničko ime i lozinku
- Akreditivi se šifruju i postavljaju u red u Azure AD
- Lokalni autentifikacioni agent prikuplja akreditive iz reda i dešifruje ih. Ovaj agent se naziva "Agent prolazne autentifikacije" ili PTA agent.
- Agent validira akreditive protiv lokalnog AD-a i šalje odgovor nazad Azure AD-u koji, ako je odgovor pozitivan, kompletira prijavu korisnika.
warning
Ako napadač kompromituje PTA, može videti sve akreditive iz reda (u čistom tekstu).
Takođe može validirati bilo koje akreditive za AzureAD (sličan napad kao na Skeleton key).
Lokalno -> oblak
Ako imate admin pristup Azure AD Connect serveru na kojem radi PTA agent, možete koristiti AADInternals modul da ubacite backdoor koji će validirati SVE lozinke unesene (tako da će sve lozinke biti validne za autentifikaciju):
Install-AADIntPTASpy
note
Ako instalacija ne uspe, to je verovatno zbog nedostatka Microsoft Visual C++ 2015 Redistributables.
Takođe je moguće videti lozinke u čistom tekstu koje se šalju PTA agentu koristeći sledeći cmdlet na mašini gde je prethodni backdoor instaliran:
Get-AADIntPTASpyLog -DecodePasswords
Ova backdoor će:
- Kreirati skriveni folder
C:\PTASpy - Kopirati
PTASpy.dlluC:\PTASpy - Injektovati
PTASpy.dllu procesAzureADConnectAuthenticationAgentService
note
Kada se AzureADConnectAuthenticationAgent servis ponovo pokrene, PTASpy se “uklanja” i mora se ponovo instalirati.
Cloud -> On-Prem
caution
Nakon dobijanja GA privilegija na cloudu, moguće je registrovati novi PTA agent postavljanjem na mašini pod kontrolom napadača. Kada je agent postavljen, možemo ponoviti prethodne korake da autentifikujemo koristeći bilo koju lozinku i takođe, dobijemo lozinke u čistom tekstu.
Seamless SSO
Moguće je koristiti Seamless SSO sa PTA, koji je podložan drugim zloupotrebama. Proverite to u:
References
- https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta
- https://aadinternals.com/post/on-prem_admin/#pass-through-authentication
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.