gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-27 05:03:31 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

Browse Source
This commit is contained in:
Translator
2025-02-10 23:32:39 +00:00
parent 0ac80256bb
commit 1b8a44edc3
2 changed files with 61 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

78
src/pentesting-cloud/azure-security/az-basic-information/README.md
View File

@@ -15,7 +15,7 @@
- Elke bestuursgroep en subskripsie kan **slegs een ouer** ondersteun.
- Alhoewel verskeie bestuursgroepe geskep kan word, is daar **slegs 1 wortel bestuursgroep**.
- Die wortel bestuursgroep **bevat** al die **ander bestuursgroepe en subskripsies** en **kan nie verskuif of verwyder** word nie.
- Alle subskripsies binne 'n enkele bestuursgroep moet die **dieselfde Entra ID-huurder** vertrou.
- Alle subskripsies binne 'n enkele bestuursgroep moet die **dieselfde Entra ID huur** vertrou.
<figure><img src="../../../images/image (147).png" alt=""><figcaption><p><a href="https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png">https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png</a></p></figcaption></figure>
@@ -30,7 +30,7 @@
[Van die dokumentasie:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) 'n Hulpbron groep is 'n **houer** wat **verwante hulpbronne** vir 'n Azure-oplossing bevat. Die hulpbron groep kan al die hulpbronne vir die oplossing insluit, of slegs daardie **hulpbronne wat jy as 'n groep wil bestuur**. Oor die algemeen, voeg **hulpbronne** wat die **selfde lewensiklus** deel by die selfde hulpbron groep sodat jy dit maklik kan ontplooi, opdateer, en verwyder as 'n groep.
Alle **hulpbronne** moet **binne 'n hulpbron groep** wees en kan slegs aan een groep behoort, en as 'n hulpbron groep verwyder word, word al die hulpbronne binne dit ook verwyder.
Alle **hulpbronne** moet **binne 'n hulpbron groep** wees en kan slegs aan een groep behoort, en as 'n hulpbron groep verwyder word, word al die hulpbronne daarin ook verwyder.
<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
@@ -50,27 +50,27 @@ Vir 'n virtuele masjien genaamd myVM in 'n hulpbron groep `myResourceGroup` onde
### Azure
Azure is Microsoft se omvattende **cloud computing platform, wat 'n wye reeks dienste** bied, insluitend virtuele masjiene, databasisse, kunsmatige intelligensie, en stoor. Dit dien as die grondslag vir die gasheer en bestuur van toepassings, die bou van skaalbare infrastruktuur, en die uitvoering van moderne werklas in die wolk. Azure bied gereedskap vir ontwikkelaars en IT-professionals om toepassings en dienste naatloos te skep, te ontplooi, en te bestuur, wat voorsien in 'n verskeidenheid behoeftes van startups tot groot ondernemings.
Azure is Microsoft se omvattende **cloud computing platform, wat 'n wye reeks dienste bied**, insluitend virtuele masjiene, databasisse, kunsmatige intelligensie, en stoor. Dit dien as die grondslag vir die gasheer en bestuur van toepassings, die bou van skaalbare infrastruktuur, en die uitvoering van moderne werklas in die wolk. Azure bied gereedskap vir ontwikkelaars en IT-professionals om toepassings en dienste naatloos te skep, te ontplooi, en te bestuur, wat voorsien in 'n verskeidenheid behoeftes van startups tot groot ondernemings.
### Entra ID (voorheen Azure Active Directory)
Entra ID is 'n wolk-gebaseerde **identiteit en toegang bestuur diens** wat ontwerp is om autentisering, autorisasie, en gebruikers toegang beheer te hanteer. Dit bied veilige toegang tot Microsoft dienste soos Office 365, Azure, en baie derdeparty SaaS toepassings. Met funksies soos enkel teken aan (SSO), multi-faktor autentisering (MFA), en voorwaardelike toegang beleid onder andere.
Entra ID is 'n wolk-gebaseerde **identiteit en toegang bestuur diens** wat ontwerp is om autentisering, autorisasie, en gebruikers toegang beheer te hanteer. Dit bied veilige toegang tot Microsoft dienste soos Office 365, Azure, en baie derdeparty SaaS toepassings. Met funksies soos enkel teken-in (SSO), multi-faktor autentisering (MFA), en voorwaardelike toegang beleid onder andere.
### Entra Domein Dienste (voorheen Azure AD DS)
Entra Domein Dienste brei die vermoëns van Entra ID uit deur **bestuurde domein dienste aan te bied wat versoenbaar is met tradisionele Windows Active Directory omgewings**. Dit ondersteun ou protokolle soos LDAP, Kerberos, en NTLM, wat organisasies in staat stel om ou toepassings in die wolk te migreer of te laat loop sonder om plaaslike domein kontrollers te ontplooi. Hierdie diens ondersteun ook Groep Beleid vir gesentraliseerde bestuur, wat dit geskik maak vir scenario's waar ou of AD-gebaseerde werklas saam met moderne wolkomgewings moet bestaan.
Entra Domein Dienste brei die vermoëns van Entra ID uit deur **bestuurde domein dienste aan te bied wat versoenbaar is met tradisionele Windows Active Directory omgewings**. Dit ondersteun erflike protokolle soos LDAP, Kerberos, en NTLM, wat organisasies in staat stel om ouer toepassings in die wolk te migreer of te laat loop sonder om plaaslike domein kontrollers te ontplooi. Hierdie diens ondersteun ook Groep Beleid vir gesentraliseerde bestuur, wat dit geskik maak vir scenario's waar erflike of AD-gebaseerde werklas saam met moderne wolkomgewings moet bestaan.
## Entra ID Principals
### Gebruikers
- **Nuwe gebruikers**
- Dui e-pos naam en domein van die geselekteerde huurder aan
- Dui e-pos naam en domein van die geselekteerde huur aan
- Dui Vertoonnaam aan
- Dui wagwoord aan
- Dui eienskappe aan (voornaam, posbeskrywing, kontak inligting…)
- Standaard gebruiker tipe is “**lid**”
- **Buitelandse gebruikers**
- **Buitelandige gebruikers**
- Dui e-pos aan om uit te nooi en vertoonnaam (kan 'n nie-Microsoft e-pos wees)
- Dui eienskappe aan
- Standaard gebruiker tipe is “**Gaste**”
@@ -79,7 +79,7 @@ Entra Domein Dienste brei die vermoëns van Entra ID uit deur **bestuurde domein
Jy kan dit nagaan in [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions](https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions) maar onder andere aksies sal 'n lid in staat wees om:
- Alle gebruikers, Groepe, Toepassings, Toestelle, Rolle, Subskripsies, en hul openbare eienskappe te lees
- Alle gebruikers, Groepe, Toepassings, Toestelle, Rolle, Subskripsies, en hul publieke eienskappe te lees
- Gaste uit te nooi (_kan afgeskakel word_)
- Sekuriteitsgroepe te skep
- Nie-verborgen Groep lidmaatskappe te lees
@@ -109,14 +109,14 @@ Jy kan dit nagaan in [https://learn.microsoft.com/en-us/entra/fundamentals/users
- **Gaste gebruiker toegang is beperk tot eienskappe en lidmaatskappe van hul eie gids objekte** is die mees beperkende een.
- **Gaste kan uitnooi** opsies:
- **Enige iemand in die organisasie kan gaste gebruikers uitnooi insluitend gaste en nie-admins (mees inklusief) - Standaard**
- **Lede gebruikers en gebruikers wat aan spesifieke admin rolle toegeken is, kan gaste gebruikers uitnooi insluitend gaste met lid toestemmings**
- **Slegs gebruikers wat aan spesifieke admin rolle toegeken is, kan gaste gebruikers uitnooi**
- **Niemand in die organisasie kan gaste gebruikers uitnooi insluitend admins (mees beperkende)**
- **Buitelandse gebruiker verlaat**: Standaard **Waar**
- Laat buitelandse gebruikers toe om die organisasie te verlaat
- **Lede gebruikers en gebruikers wat aan spesifieke admin rolle toegeken is kan gaste gebruikers uitnooi insluitend gaste met lid toestemmings**
- **Slegs gebruikers wat aan spesifieke admin rolle toegeken is kan gaste gebruikers uitnooi**
- **Niemand in die organisasie kan gaste gebruikers uitnooi insluitend admins (mees beperkend)**
- **Buitelandige gebruiker verlaat**: Standaard **Waar**
- Laat buitelandige gebruikers toe om die organisasie te verlaat
> [!TIP]
> Alhoewel dit standaard beperk is, kan gebruikers (lede en gaste) met toegekennde toestemmings die vorige aksies uitvoer.
> Alhoewel dit per standaard beperk is, kan gebruikers (lede en gaste) met toegekenne toestemmings die vorige aksies uitvoer.
### **Groepe**
@@ -124,20 +124,20 @@ Daar is **2 tipes groepe**:
- **Sekuriteit**: Hierdie tipe groep word gebruik om lede toegang te gee tot toepassings, hulpbronne en om lisensies toe te ken. Gebruikers, toestelle, diens prinsipale en ander groepe kan lede wees.
- **Microsoft 365**: Hierdie tipe groep word gebruik vir samewerking, wat lede toegang gee tot 'n gedeelde posbus, kalender, lêers, SharePoint webwerf, ensovoorts. Groep lede kan slegs gebruikers wees.
- Dit sal 'n **e-pos adres** hê met die domein van die EntraID huurder.
- Dit sal 'n **e-pos adres** hê met die domein van die EntraID huur.
Daar is **2 tipes lidmaatskappe**:
- **Toegewyse**: Laat toe om spesifieke lede handmatig aan 'n groep toe te voeg.
- **Dinamiese lidmaatskap**: Bestuur lidmaatskap outomaties met behulp van reëls, wat die groep insluiting opdateer wanneer lede eienskappe verander.
- **Dinamiese lidmaatskap**: Bestuur lidmaatskap outomaties met behulp van reëls, wat groep insluiting opdateer wanneer lede eienskappe verander.
### **Diens Prinsipale**
'n **Diens Prinsipaal** is 'n **identiteit** geskep vir **gebruik** met **toepassings**, gehoste dienste, en outomatiese gereedskap om toegang tot Azure hulpbronne te verkry. Hierdie toegang is **beperk deur die rolle wat aan die diens prinsipaal toegeken is**, wat jou beheer gee oor **watter hulpbronne toegang verkry kan word** en op watter vlak. Om veiligheidsredes, word dit altyd aanbeveel om **diens prinsipale met outomatiese gereedskap te gebruik** eerder as om hulle toe te laat om met 'n gebruikersidentiteit aan te meld.
'n **Diens Prinsipaal** is 'n **identiteit** geskep vir **gebruik** met **toepassings**, gehoste dienste, en geoutomatiseerde gereedskap om toegang tot Azure hulpbronne te verkry. Hierdie toegang is **beperk deur die rolle wat aan die diens prinsipaal toegeken is**, wat jou beheer gee oor **watter hulpbronne toegang kan verkry** en op watter vlak. Om veiligheidsredes, word dit altyd aanbeveel om **diens prinsipale met geoutomatiseerde gereedskap te gebruik** eerder as om hulle toe te laat om met 'n gebruikersidentiteit aan te meld.
Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur dit 'n **geheim** (wagwoord), 'n **sertifikaat**, of **federale** toegang aan derdeparty platforms (bv. Github Actions) oor dit te verleen.
- As jy **wagwoord** autentisering kies (standaard), **stoor die gegenereerde wagwoord** aangesien jy dit nie weer kan toegang nie.
- As jy **wagwoord** autentisering kies (per standaard), **stoor die gegenereerde wagwoord** aangesien jy dit nie weer sal kan toegang nie.
- As jy sertifikaat autentisering kies, maak seker dat die **toepassing toegang sal hê oor die private sleutel**.
### App Registrasies
@@ -149,10 +149,10 @@ Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur dit 'n **ge
1. **Toepassing ID (Kliënt ID):** 'n Unieke identifiseerder vir jou app in Azure AD.
2. **Herlei URIs:** URL's waar Azure AD autentisering antwoorde stuur.
3. **Sertifikate, Geheimen & Federale Krediete:** Dit is moontlik om 'n geheim of 'n sertifikaat te genereer om as die diens prinsipaal van die toepassing aan te meld, of om federale toegang aan dit te verleen (bv. Github Actions).
1. As 'n **sertifikaat** of **geheim** gegenereer word, is dit moontlik vir 'n persoon om **as die diens prinsipaal** met CLI gereedskap aan te meld deur die **toepassing ID**, die **geheim** of **sertifikaat** en die **huurder** (domein of ID) te ken.
4. **API Toestemmings:** Spesifiseer watter hulpbronne of API's die app toegang kan verkry.
1. As 'n **sertifikaat** of **geheim** gegenereer word, is dit moontlik vir 'n persoon om **as die diens prinsipaal** met CLI gereedskap aan te meld deur die **toepassing ID**, die **geheim** of **sertifikaat** en die **huur** (domein of ID) te ken.
4. **API Toestemmings:** Spesifiseer watter hulpbronne of API's die app kan toegang.
5. **Autentisering Instellings:** Definieer die app se ondersteunde autentisering vloei (bv., OAuth2, OpenID Connect).
6. **Diens Prinsipaal**: 'n diens prinsipaal word geskep wanneer 'n App geskep word (as dit vanaf die webkonsol gedoen word) of wanneer dit in 'n nuwe huurder geïnstalleer word.
6. **Diens Prinsipaal**: 'n diens prinsipaal word geskep wanneer 'n App geskep word (as dit vanaf die webkonsol gedoen word) of wanneer dit in 'n nuwe huur geïnstalleer word.
1. Die **diens prinsipaal** sal al die gevraagde toestemmings wat dit geconfigureer is, ontvang.
### Standaard Toestemming Toestemmings
@@ -161,8 +161,8 @@ Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur dit 'n **ge
- **Moet nie gebruiker toestemming toelaat nie**
- 'n Administrateur sal vir alle apps benodig word.
- **Laat gebruiker toestemming toe vir apps van geverifieerde uitgewers, vir geselekteerde toestemmings (Aanbeveel)**
- Alle gebruikers kan toestemming gee vir toestemmings wat as "lae impak" geklassifiseer is, vir apps van geverifieerde uitgewers of apps wat in hierdie organisasie geregistreer is.
- **Laat gebruiker toestemming toe vir apps van geverifieerde uitgewers, interne apps, en apps wat slegs geselekteerde toestemmings vra (Aanbeveel)**
- Alle gebruikers kan toestemming gee vir apps wat slegs toestemmings vra wat as "lae impak" geklassifiseer is, apps van geverifieerde uitgewers en apps geregistreer in die huur.
- **Standaard** lae impak toestemmings (alhoewel jy moet aanvaar om hulle as laag by te voeg):
- User.Read - teken in en lees gebruikersprofiel
- offline_access - hou toegang tot data wat gebruikers toegang gegee het
@@ -184,20 +184,20 @@ Bestuurde identiteite in Azure Active Directory bied 'n oplossing vir **outomati
Daar is twee tipes bestuurde identiteite:
- **Stelsel-toegewyse**. Sommige Azure dienste laat jou toe om 'n **bestuurde identiteit direk op 'n diens instansie** in te skakel. Wanneer jy 'n stelsel-toegewyse bestuurde identiteit inskakel, word 'n **diens prinsipaal** in die Entra ID huurder geskep wat deur die subskripsie vertrou word waar die hulpbron geleë is. Wanneer die **hulpbron** verwyder word, verwyder Azure outomaties die **identiteit** vir jou.
- **Gebruiker-toegewyse**. Dit is ook moontlik vir gebruikers om bestuurde identiteite te genereer. Hierdie word binne 'n hulpbron groep binne 'n subskripsie geskep en 'n diens prinsipaal sal in die EntraID geskep word wat deur die subskripsie vertrou word. Dan kan jy die bestuurde identiteit aan een of **meer instansies** van 'n Azure diens toewys (meerdere hulpbronne). Vir gebruiker-toegewyse bestuurde identiteite, word die **identiteit apart bestuur van die hulpbronne wat dit gebruik**.
- **Stelsel-toegewyse**. Sommige Azure dienste laat jou toe om 'n **bestuurde identiteit direk op 'n diens instansie** in te skakel. Wanneer jy 'n stelsel-toegewyse bestuurde identiteit inskakel, word 'n **diens prinsipaal** geskep in die Entra ID huur wat deur die subskripsie vertrou word waar die hulpbron geleë is. Wanneer die **hulpbron** verwyder word, verwyder Azure outomaties die **identiteit** vir jou.
- **Gebruiker-toegewyse**. Dit is ook moontlik vir gebruikers om bestuurde identiteite te genereer. Hierdie word binne 'n hulpbron groep binne 'n subskripsie geskep en 'n diens prinsipaal sal geskep word in die EntraID wat deur die subskripsie vertrou word. Dan kan jy die bestuurde identiteit aan een of **meer instansies** van 'n Azure diens toewys (meerdere hulpbronne). Vir gebruiker-toegewyse bestuurde identiteite, word die **identiteit apart van die hulpbronne wat dit gebruik** bestuur.
Bestuurde Identiteite **genereer nie ewige akrediteer nie** (soos wagwoorde of sertifikate) om toegang te verkry as die diens prinsipaal wat aan dit geheg is.
### Enterprise Toepassings
Dit is net 'n **tafel in Azure om diens prinsipale te filter** en die toepassings wat aan hulle toegeken is, te kontroleer.
Dit is net 'n **tabel in Azure om diens prinsipale te filter** en die toepassings wat aan hulle toegeken is te kontroleer.
**Dit is nie 'n ander tipe "toepassing" nie,** daar is nie enige objek in Azure wat 'n "Enterprise Toepassing" is nie, dit is net 'n abstraksie om die Diens prinsipale, App registrasies en bestuurde identiteite te kontroleer.
**Dit is nie 'n ander tipe "toepassing" nie,** daar is geen objek in Azure wat 'n "Enterprise Toepassing" is nie, dit is net 'n abstraksie om die Diens prinsipale, App registrasies en bestuurde identiteite te kontroleer.
### Administratiewe Eenhede
Administratiewe eenhede laat toe om **toestemmings van 'n rol oor 'n spesifieke gedeelte van 'n organisasie** te gee.
Administratiewe eenhede laat jou toe om **toestemmings van 'n rol oor 'n spesifieke gedeelte van 'n organisasie** te gee.
Voorbeeld:
@@ -235,11 +235,11 @@ Voorbeeld:
**Ingeboude** rolle geld slegs vir die **hulpbronne** waarvoor hulle **bedoel** is, byvoorbeeld kyk na hierdie 2 voorbeelde van **Ingeboude rolle oor Compute** hulpbronne:
| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Bied toestemming aan om rugsteun kluis te laat rugsteun. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Bied toestemming aan om rugsteun kluis te laat disk rugsteun uitvoer. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
| [Virtuele Masjien Gebruiker Aanmelding](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Sien Virtuele Masjiene in die portaal en teken in as 'n gewone gebruiker. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| [Virtuele Masjien Gebruiker Aanmelding](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Sien Virtuele Masjiene in die portaal en meld aan as 'n gewone gebruiker. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Hierdie rolle kan **ook toegeken word oor logiese houers** (soos bestuursgroepe, subskripsies en hulpbron groepe) en die prinsipale wat geraak word, sal dit **oor die hulpbronne binne daardie houers** hê.
Hierdie rolle kan **ook toegeken word oor logiese houers** (soos bestuursgroepe, subskripsies en hulpbron groepe) en die prinsipale wat geraak word, sal hulle **oor die hulpbronne binne daardie houers** hê.
- Vind hier 'n lys met [**alle Azure ingeboude rolle**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles).
- Vind hier 'n lys met [**alle Entra ID ingeboude rolle**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference).
@@ -256,7 +256,7 @@ Hierdie rolle kan **ook toegeken word oor logiese houers** (soos bestuursgroepe,
- `actions` verwys na toestemmings vir bestuursoperasies op hulpbronne, soos om hulpbron definisies en instellings te skep, op te dateer, of te verwyder.
- `dataActions` is toestemmings vir data operasies binne die hulpbron, wat jou toelaat om die werklike data wat in die hulpbron bevat is, te lees, te skryf, of te verwyder.
- `notActions` en `notDataActions` word gebruik om spesifieke toestemmings van die rol uit te sluit. Dit ontken egter **nie hulle nie**, as 'n ander rol hulle toeken, sal die prinsipaal hulle hê.
- `assignableScopes` is 'n reeks skale waar die rol toegeken kan word (soos bestuursgroepe, subskripsies, of hulpbron groepe).
- `assignableScopes` is 'n reeks van skale waar die rol toegeken kan word (soos bestuursgroepe, subskripsies, of hulpbron groepe).
Voorbeeld van toestemmings JSON vir 'n aangepaste rol:
```json
@@ -290,7 +290,7 @@ Voorbeeld van toestemmings JSON vir 'n aangepaste rol:
```
### Toestemmingsorde
- Ten einde vir 'n **hoofpersoon om toegang tot 'n hulpbron te hê**, moet 'n eksplisiete rol aan hom toegeken word (op enige manier) **wat hom daardie toestemming gee**.
- Ten einde vir 'n **hoofpersoon om toegang tot 'n hulpbron te hê** moet 'n eksplisiete rol aan hom toegeken word (op enige manier) **wat hom daardie toestemming gee**.
- 'n Eksplisiete **weieringstoewysing het voorrang** bo die rol wat die toestemming gee.
<figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
@@ -299,14 +299,14 @@ Voorbeeld van toestemmings JSON vir 'n aangepaste rol:
Globale Administrateur is 'n rol van Entra ID wat **volledige beheer oor die Entra ID-huurder** gee. Dit gee egter nie standaard enige toestemmings oor Azure-hulpbronne nie.
Gebruikers met die Globale Administrateur rol het die vermoë om te '**verhoog' na die Gebruikerstoegang Administrateur Azure rol in die Wortelbestuursgroep**. So kan Globale Administrateurs toegang bestuur in **alle Azure-subskripsies en bestuursgroepe.**\
Gebruikers met die Globale Administrateur rol het die vermoë om te '**verhoog' na die Gebruikerstoegang Administrateur Azure rol in die Wortelbestuursgroep**. So kan Globale Administrateurs toegang in **alle Azure-subskripsies en bestuursgroepe bestuur.**\
Hierdie verhoging kan aan die einde van die bladsy gedoen word: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
<figure><img src="../../../images/image (349).png" alt=""><figcaption></figcaption></figure>
### Toewysingsvoorwaardes & MFA
Volgens **[die dokumentasie](https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-role-assignments-portal)**: Tans kan voorwaardes by ingeboude of pasgemaakte roltoewysings gevoeg word wat **blob stoor data aksies of ry stoor data aksies** het.
Volgens **[die dokumentasie](https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-role-assignments-portal)**: Tans kan voorwaardes by ingeboude of pasgemaakte roltoewysings gevoeg word wat **blob stoor data aksies of wagwoord stoor data aksies** het.
### Weieringstoewysings
@@ -332,9 +332,9 @@ Azure Beleide is **proaktief**: hulle kan nie-nakomende hulpbronne verhoed om ge
1. **Verseker Nakoming met Spesifieke Azure Streke**: Hierdie beleid verseker dat alle hulpbronne in spesifieke Azure streke ontplooi word. Byvoorbeeld, 'n maatskappy mag wil verseker dat al sy data in Europa gestoor word vir GDPR-nakoming.
2. **Afgedwonge Naamstandaarde**: Beleide kan naamkonvensies vir Azure-hulpbronne afdwing. Dit help om hulpbronne te organiseer en maklik te identifiseer op grond van hul name, wat nuttig is in groot omgewings.
3. **Beperking van Sekere Hulpbron Tipes**: Hierdie beleid kan die skepping van sekere tipes hulpbronne beperk. Byvoorbeeld, 'n beleid kan ingestel word om die skepping van duur hulpbron tipes, soos sekere VM-groottes, te verhoed om koste te beheer.
4. **Afgedwonge Etikettering Beleide**: Etikette is sleutel-waarde pare wat met Azure-hulpbronne geassosieer word en wat vir hulpbronbestuur gebruik word. Beleide kan afdwing dat sekere etikette teenwoordig moet wees, of spesifieke waardes moet hê, vir alle hulpbronne. Dit is nuttig vir kostesporing, eienaarskap, of kategorisering van hulpbronne.
4. **Afgedwonge Etikettering Beleide**: Etikette is sleutel-waarde pare wat met Azure-hulpbronne geassosieer word en wat vir hulpbronbestuur gebruik word. Beleide kan afdwing dat sekere etikette teenwoordig moet wees, of spesifieke waardes moet hê, vir alle hulpbronne. Dit is nuttig vir koste-opsporing, eienaarskap, of kategorisering van hulpbronne.
5. **Beperking van Publieke Toegang tot Hulpbronne**: Beleide kan afdwing dat sekere hulpbronne, soos stoor rekeninge of databasisse, nie publieke eindpunte het nie, wat verseker dat hulle slegs binne die organisasie se netwerk toeganklik is.
6. **Outomatiese Toepassing van Sekuriteitsinstellings**: Beleide kan gebruik word om outomaties sekuriteitsinstellings op hulpbronne toe te pas, soos om 'n spesifieke netwerk sekuriteitsgroep op alle VM's toe te pas of te verseker dat alle stoor rekeninge versleuteling gebruik.
6. **Outomatiese Toepassing van Sekuriteitsinstellings**: Beleide kan gebruik word om outomaties sekuriteitsinstellings op hulpbronne toe te pas, soos om 'n spesifieke netwerk sekuriteitsgroep op alle VM's toe te pas of om te verseker dat alle stoor rekeninge versleuteling gebruik.
Let daarop dat Azure Beleide aan enige vlak van die Azure hiërargie geheg kan word, maar hulle word **gewoonlik in die wortelbestuursgroep** of in ander bestuursgroepe gebruik.
@@ -366,8 +366,8 @@ Hierdie hiërargiese struktuur stel in staat vir doeltreffende en skaalbare best
### Azure RBAC vs ABAC
**RBAC** (rolgebaseerde toegangbeheer) is wat ons reeds in die vorige afdelings gesien het: **'n rol aan 'n prinsiep toe te ken om hom toegang te gee** oor 'n hulpbron.\
E however, in sommige gevalle wil jy dalk **meer fyn-granulêre toegangsbewaking** bied of **die bestuur** van **honderde** rol **toekennings** vereenvoudig.
**RBAC** (rolgebaseerde toegangbeheer) is wat ons reeds in die vorige afdelings gesien het: **'n rol aan 'n prinsiep toe te ken om hom toegang** tot 'n hulpbron te gee.\
E however, in sommige gevalle wil jy dalk **meer fyn-granulêre toegangsbestuur** bied of **die bestuur** van **honderde** rol **toekennings** vereenvoudig.
Azure **ABAC** (attribuut-gebaseerde toegangbeheer) bou voort op Azure RBAC deur **roltoekenningsvoorwaardes gebaseer op attribuute** in die konteks van spesifieke aksies by te voeg. 'n _roltoekenningsvoorwaarde_ is 'n **addisionele kontrole wat jy opsioneel kan byvoeg tot jou roltoekenning** om meer fyn-granulêre toegangbeheer te bied. 'n Voorwaarde filter die toestemmings wat as deel van die roldefinisie en roltoekenning toegeken word. Byvoorbeeld, jy kan **'n voorwaarde byvoeg wat vereis dat 'n objek 'n spesifieke etiket moet hê om die objek te lees**.\
Jy **kan nie** eksplisiet **toegang** tot spesifieke hulpbronne **weier** **met behulp van voorwaardes** nie.

37
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md
View File

@@ -8,24 +8,24 @@
### App goedkeurings toestemmings
Standaard kan enige **gebruiker toestemming gee aan toepassings**, alhoewel dit geconfigureer kan word sodat gebruikers slegs toestemming kan gee aan **toepassings van geverifieerde uitgewers vir geselekteerde toestemmings** of om selfs **die toestemming te verwyder** vir gebruikers om toestemming aan toepassings te gee.
Standaard kan enige **gebruiker toestemming gee aan apps**, alhoewel dit geconfigureer kan word sodat gebruikers slegs toestemming kan gee aan **apps van geverifieerde uitgewers vir geselekteerde toestemmings** of selfs **die toestemming kan verwyder** vir gebruikers om toestemming te gee aan toepassings.
<figure><img src="../../../images/image.png" alt=""><figcaption></figcaption></figure>
As gebruikers nie toestemming kan gee nie, kan **administrateurs** soos `GA`, `Application Administrator` of `Cloud Application` `Administrator` **die toepassings goedkeur** wat gebruikers sal kan gebruik.
Boonop, as gebruikers slegs toestemming kan gee aan toepassings wat **lae risiko** toestemmings gebruik, is hierdie toestemmings standaard **openid**, **profile**, **email**, **User.Read** en **offline_access**, alhoewel dit moontlik is om **meer** aan hierdie lys toe te voeg.
Boonop, as gebruikers slegs toestemming kan gee aan apps wat **lae risiko** toestemmings gebruik, is hierdie toestemmings standaard **openid**, **profile**, **email**, **User.Read** en **offline_access**, alhoewel dit moontlik is om **meer** aan hierdie lys toe te voeg.
En as hulle toestemming kan gee aan alle toepassings, kan hulle toestemming gee aan alle toepassings.
En as hulle toestemming kan gee aan alle apps, kan hulle toestemming gee aan alle apps.
### 2 Tipes aanvalle
- **Ongemagtig**: Van 'n eksterne rekening 'n toepassing met die **lae risiko toestemmings** `User.Read` en `User.ReadBasic.All` skep, phish 'n gebruiker, en jy sal toegang tot gidsinligting kan verkry.
- Dit vereis dat die gephishde gebruiker **in staat is om OAuth-toepassings van 'n eksterne huurder te aanvaar**
- As die gephishde gebruiker 'n admin is wat **enige toepassing met enige toestemmings kan goedkeur**, kan die toepassing ook **privilegeerde toestemmings aan vra**
- Dit vereis dat die gephishde gebruiker **in staat is om OAuth-apps van eksterne huurders te aanvaar**
- As die gephishde gebruiker 'n admin is wat **enige app met enige toestemmings kan goedkeur**, kan die toepassing ook **privilegeerde toestemmings aanvra**
- **Gemagtig**: Nadat 'n prinsiep met genoeg voorregte gecompromitteer is, **skep 'n toepassing binne die rekening** en **phish** 'n paar **privilegeerde** gebruikers wat privilegeerde OAuth-toestemmings kan aanvaar.
- In hierdie geval kan jy reeds toegang tot die inligting van die gids verkry, so die toestemming `User.ReadBasic.All` is nie meer interessant nie.
- Jy is waarskynlik geïnteresseerd in **toestemmings wat 'n admin moet toeken**, omdat 'n gewone gebruiker nie enige toestemming aan OAuth-toepassings kan gee nie, daarom moet jy **slegs daardie gebruikers phish** (meer oor watter rolle/toestemmings hierdie voorregte toeken later).
- Jy is waarskynlik geïnteresseerd in **toestemmings wat 'n admin moet toeken**, omdat 'n gewone gebruiker nie enige toestemming aan OAuth-apps kan gee nie, daarom moet jy **slegs daardie gebruikers phish** (meer oor watter rolle/toestemmings hierdie voorregte toeken later).
### Gebruikers mag toestemming gee
@@ -35,7 +35,7 @@ az rest --method GET --url "https://graph.microsoft.com/v1.0/policies/authorizat
```
- Gebruikers kan toestemming gee vir alle toepassings: As jy binne **`permissionGrantPoliciesAssigned`** kan vind: `ManagePermissionGrantsForSelf.microsoft-user-default-legacy` dan kan gebruikers elke toepassing aanvaar.
- Gebruikers kan toestemming gee vir toepassings van geverifieerde uitgewers of jou organisasie, maar net vir die toestemmings wat jy kies: As jy binne **`permissionGrantPoliciesAssigned`** kan vind: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` dan kan gebruikers elke toepassing aanvaar.
- **Deaktiveer gebruikers toestemming**: As jy binne **`permissionGrantPoliciesAssigned`** net kan vind: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-chat` en `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` dan kan gebruikers nie enige toestemming gee nie.
- **Deaktiveer gebruikers toestemming**: As jy binne **`permissionGrantPoliciesAssigned`** kan net vind: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-chat` en `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` dan kan gebruikers nie enige toestemming gee nie.
Dit is moontlik om die betekenis van elke van die kommentaarbeleide te vind in:
```bash
@@ -62,14 +62,14 @@ az rest --method GET --url "https://graph.microsoft.com/v1.0/directoryRoles/0d60
Die aanval behels verskeie stappe wat 'n generiese maatskappy teiken. Hier is hoe dit mag ontvou:
1. **Domeinregistrasie en Toepassing Hosting**: Die aanvaller registreer 'n domein wat op 'n betroubare webwerf lyk, byvoorbeeld, "safedomainlogin.com". Onder hierdie domein word 'n subdomein geskep (bv. "companyname.safedomainlogin.com") om 'n toepassing te huisves wat ontwerp is om magtigingskode te vang en toegangstokens aan te vra.
2. **Toepassing Registrasie in Azure AD**: Die aanvaller registreer dan 'n Multi-Tenant Toepassing in hul Azure AD Tenant, en noem dit na die teikenmaatskappy om wettig te lyk. Hulle stel die toepassing se Oorgangs-URL in om na die subdomein te wys wat die kwaadwillige toepassing huisves.
2. **Toepassing Registrasie in Azure AD**: Die aanvaller registreer dan 'n Multi-Tenant Toepassing in hul Azure AD Tenant, en noem dit na die teikenmaatskappy om wettig te lyk. Hulle stel die toepassing se Redirect URL in om na die subdomein te wys wat die kwaadwillige toepassing huisves.
3. **Instelling van Toestemmings**: Die aanvaller stel die toepassing op met verskeie API-toestemmings (bv. `Mail.Read`, `Notes.Read.All`, `Files.ReadWrite.All`, `User.ReadBasic.All`, `User.Read`). Hierdie toestemmings, sodra dit deur die gebruiker toegestaan is, laat die aanvaller toe om sensitiewe inligting namens die gebruiker te onttrek.
4. **Verspreiding van Kwaadwillige Skakels**: Die aanvaller skep 'n skakel wat die kliënt-id van die kwaadwillige toepassing bevat en deel dit met teikengebruikers, wat hulle mislei om toestemming te gee.
4. **Verspreiding van Kwaadwillige Skakels**: Die aanvaller stel 'n skakel saam wat die kliënt id van die kwaadwillige toepassing bevat en deel dit met teikengebruikers, wat hulle mislei om toestemming te gee.
## Voorbeeld Aanval
1. Registreer 'n **nuwe toepassing**. Dit kan slegs vir die huidige gids wees as jy 'n gebruiker van die aangevalde gids gebruik of vir enige gids as dit 'n eksterne aanval is (soos in die volgende beeld).
1. Stel ook die **oorgangs-URI** in op die verwagte URL waar jy die kode wil ontvang om die tokens te kry (`http://localhost:8000/callback` per standaard).
1. Stel ook die **omleidings-URI** in op die verwagte URL waar jy die kode wil ontvang om die tokens te kry (`http://localhost:8000/callback` per standaard).
<figure><img src="../../../images/image (1).png" alt=""><figcaption></figcaption></figure>
@@ -92,7 +92,7 @@ python3 azure_oauth_phishing_example.py --client-secret <client-secret> --client
<figure><img src="../../../images/image (4).png" alt=""><figcaption></figcaption></figure>
7. Gebruik die **toegangsteken om die versoekte toestemmings te verkry**:
7. Gebruik die **toegangsteken om toegang te verkry tot die versoekte toestemmings**:
```bash
export ACCESS_TOKEN=<ACCESS_TOKEN>
@@ -116,18 +116,25 @@ https://graph.microsoft.com/v1.0/me/onenote/notebooks \
```
## Ander Gereedskap
- [**365-Stealer**](https://github.com/AlteredSecurity/365-Stealer)**:** Gaan na [https://www.alteredsecurity.com/post/introduction-to-365-stealer](https://www.alteredsecurity.com/post/introduction-to-365-stealer) om te leer hoe om dit te konfigureer.
- [**365-Stealer**](https://github.com/AlteredSecurity/365-Stealer)**:** Kyk [https://www.alteredsecurity.com/post/introduction-to-365-stealer](https://www.alteredsecurity.com/post/introduction-to-365-stealer) om te leer hoe om dit te konfigureer.
- [**O365-Attack-Toolkit**](https://github.com/mdsecactivebreach/o365-attack-toolkit)
## Post-Exploitasie
### Phishing Post-Exploitasie
Afhangende van die versoekte toestemmings mag jy in staat wees om **verskillende data van die huurder te bekom** (lys gebruikers, groepe... of selfs instellings te wysig) en **inligting van die gebruiker** (lêers, notas, e-posse...). Dan kan jy hierdie toestemmings gebruik om daardie aksies uit te voer.
Afhangende van die aangevraagde toestemmings mag jy in staat wees om **verskillende data van die huurder te bekom** (lys gebruikers, groepe... of selfs instellings te wysig) en **inligting van die gebruiker** (lêers, notas, e-posse...). Dan kan jy hierdie toestemmings gebruik om daardie aksies uit te voer.
### Aansoek Post Exploitasie
### Entra ID Toepassings Admin
Gaan die Aansoeke en Dienshoofstukke van die bladsy na:
As jy daarin geslaag het om op een of ander manier 'n Entra ID-prinsip te kompromitteer wat Toepassings in Entra ID kan bestuur, en daar is toepassings wat deur gebruikers van die huurder gebruik word. 'n Admin sal in staat wees om **die toestemmings wat die app versoek te wysig en 'n nuwe toegelate omleidingsadres by te voeg om die tokens te steel**.
- Let daarop dat dit moontlik is om **omleidings-URI's by te voeg** (geen behoefte om die werklike een te verwyder nie) en dan 'n HTTP-skakel te stuur met die aanvaller se omleidings-URI sodat wanneer die gebruiker die skakel volg, die outentisering outomaties plaasvind en die aanvaller die token ontvang.
- Dit is ook moontlik om die toestemmings wat die app vra te verander om meer toestemming van die gebruikers te verkry, maar in daardie geval sal die gebruiker **weer die prompt moet aanvaar** (selfs al was hy reeds ingelog).
- Om hierdie aanval uit te voer, **HEEFT** die aanvaller **NIE** beheer oor die toepassingskode nodig nie, aangesien hy eenvoudig die skakel kan stuur om in die app in te log met die nuwe URL in die **`redirect_uri`** parameter.
### Toepassing Post Exploitasie
Kyk na die Toepassings en Diens Prinsipaal afdelings van die bladsy:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/