Az - Persistence

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

OAuth Application

За замовчуванням будь-який користувач може зареєструвати додаток в Entra ID. Тому ви можете зареєструвати додаток (тільки для цільового орендаря), який потребує дозволів з високим впливом з адміністративним погодженням (схвалити його, якщо ви адміністратор) - наприклад, надсилання електронної пошти від імені користувача, управління ролями тощо. Це дозволить нам виконувати фішингові атаки, які будуть дуже прибутковими у разі успіху.

Більше того, ви також можете прийняти цей додаток зі своїм користувачем як спосіб підтримувати доступ до нього.

Applications and Service Principals

З привілеями адміністратора додатків, GA або користувацькою роллю з дозволами microsoft.directory/applications/credentials/update, ми можемо додати облікові дані (секрет або сертифікат) до існуючого додатку.

Можливо націлити додаток з високими дозволами або додати новий додаток з високими дозволами.

Цікавою роллю, яку можна додати до додатку, була б роль адміністратора привілейованої аутентифікації, оскільки вона дозволяє скидати пароль глобальних адміністраторів.

Ця техніка також дозволяє обійти MFA.

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a
  • Для аутентифікації на основі сертифікатів
Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federation - Token Signing Certificate

З привілеями DA на локальному AD можливо створити та імпортувати нові сертифікати підпису токенів та сертифікати розшифровки токенів, які мають дуже тривалий термін дії. Це дозволить нам увійти як будь-який користувач, чий ImuutableID ми знаємо.

Виконайте нижче наведений команду як DA на сервері(ах) ADFS, щоб створити нові сертифікати (за замовчуванням пароль ‘AADInternals’), додати їх до ADFS, вимкнути автоматичне оновлення та перезапустити службу:

New-AADIntADFSSelfSignedCertificates

Тоді оновіть інформацію про сертифікат з Azure AD:

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Федерація - Довірений домен

З привілеями GA на орендарі можливо додати новий домен (повинен бути перевірений), налаштувати його тип аутентифікації на Федеративний та налаштувати домен для довіри до конкретного сертифіката (any.sts у наведеній нижче команді) та видавця:

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks