Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md

@@ -2,37 +2,39 @@
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-## 基本信息
+## Basic Information
 
-本节涵盖用于 pivoting 的技巧，以便从被攻陷的 Entra ID 租户进入本地 Active Directory (AD)，或从被攻陷的 AD 转到 Entra ID 租户。
+本节涵盖用于从已被攻破的 Entra ID 租户 转向本地 Active Directory (AD)，或从被攻破的 AD 转向 Entra ID 租户的 pivoting techniques。
 
 ## Pivoting Techniques
 
-- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): 如果攻击者能够控制或创建一个 AD 计算机账号并访问 Azure Arc GPO 部署共享，他们可以解密存储的 Service Principal secret 并将其用作关联的 service principal 来认证到 Azure，从而完全攻陷关联的 Azure 环境。
+- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): 如果攻击者能控制或创建 AD computer account 并访问 Azure Arc GPO deployment share，他们可以解密存储的 Service Principal secret，并以关联的 service principal 身份 authenticate to Azure，从而完全攻陷关联的 Azure environment。
 
-- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): 当配置了 Cloud Kerberos Trust 时，如何从 Entra ID pivot 到 AD。Entra ID (Azure AD) 的 Global Admin 可以滥用 Cloud Kerberos Trust 和 sync API 来冒充高权限的 AD 帐户，获取它们的 Kerberos ticket 或 NTLM hash，完全攻陷本地 Active Directory —— 即使这些帐户从未被云同步 —— 有效地实现云到 AD 的权限提升桥接。
+- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): 当配置了 Cloud Kerberos Trust 时，如何从 Entra ID pivot 到 AD。Entra ID (Azure AD) 中的 Global Admin 可以滥用 Cloud Kerberos Trust 和 sync API 去冒充高权限的 AD 帐户，获取它们的 Kerberos tickets 或 NTLM hashes，并完全攻陷 on-prem Active Directory——即使那些帐户从未被 cloud-synced——有效实现从云到 AD 的权限升级桥接。
 
-- [**Cloud Sync**](az-cloud-sync.md): 如何滥用 Cloud Sync 在云与本地 AD 之间双向移动。
+- [**Cloud Sync**](az-cloud-sync.md): 如何滥用 Cloud Sync 在云与 on-premises AD 之间移动。
 
-- [**Connect Sync**](az-connect-sync.md): 如何滥用 Connect Sync 在云与本地 AD 之间双向移动。
+- [**Connect Sync**](az-connect-sync.md): 如何滥用 Connect Sync 在云与 on-premises AD 之间移动。
 
-- [**Domain Services**](az-domain-services.md): 什么是 Azure Domain Services 服务，以及如何从 Entra ID pivot 到它所生成的 AD。
+- [**Domain Services**](az-domain-services.md): 什么是 Azure Domain Services Service，以及如何从 Entra ID pivot 到它生成的 AD。
 
-- [**Federation**](az-federation.md): 如何滥用 Federation 在云与本地 AD 之间双向移动。
+- [**Federation**](az-federation.md): 如何滥用 Federation 在云与 on-premises AD 之间移动。
 
-- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): 可用于在云与本地 AD 之间 pivot 的杂项攻击。
+- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): 可用于在云与 on-premises AD 之间 pivot 的各种杂项攻击。
 
-- [**Local Cloud Credentials**](az-local-cloud-credentials.md): 在 PC 被攻陷时，在哪里可以找到访问云的凭证。
+- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Exchange Hybrid actor-token 的内部机制、已修补与仍然相关的滥用路径，以及在 service-principal split migrations 之后如何评估残余风险。
 
-- [**Pass the Certificate**](az-pass-the-certificate.md): 基于 PRT 生成证书以实现从一台机器登录到另一台机器。
+- [**Local Cloud Credentials**](az-local-cloud-credentials.md): 当 PC 被攻陷时，在哪里可以找到访问 cloud 的凭证。
 
-- [**Pass the Cookie**](az-pass-the-cookie.md): 从浏览器窃取 Azure cookie 并用其登录。
+- [**Pass the Certificate**](az-pass-the-certificate.md): 基于 PRT 生成 cert，以便从一台机器登录到另一台机器。
 
-- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): 什么是 PRT，如何窃取它以及如何使用它冒充用户访问 Azure 资源。
+- [**Pass the Cookie**](az-pass-the-cookie.md): 从浏览器窃取 Azure cookies 并用它们登录。
 
-- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): 如何滥用 Pass-through Authentication 在云与本地 AD 之间双向移动。
+- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): 什么是 PRT，如何窃取它并用它冒充用户访问 Azure 资源。
 
-- [**Seamless SSO**](az-seamless-sso.md): 如何滥用 Seamless SSO 从本地移动到云。
+- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): 如何滥用 Pass-through Authentication 在云与 on-premises AD 之间移动。
+
+- [**Seamless SSO**](az-seamless-sso.md): 如何滥用 Seamless SSO 将权限从 on-prem 转移到 cloud。
 
 - **Another way to pivot from cloud to On-Prem is** [**abusing Intune**](../az-services/intune.md)
 

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-exchange-hybrid-impersonation.md

@@ -0,0 +1,47 @@
+# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## Basic Information
+
+在传统的 Exchange Hybrid 设计中，本地部署的 Exchange 可以以与 Exchange Online 相同的 Entra 应用标识进行身份验证。如果攻击者妥协了 Exchange 服务器、提取了 hybrid 证书私钥并执行 OAuth client-credentials 流程，他们就能获取带有 Exchange Online 权限上下文的 first-party tokens。
+
+实际风险不仅限于邮箱访问。由于 Exchange Online 与后端存在广泛的信任关系，该身份可以与其他 Microsoft 365 服务交互，并且在较早的行为中，可能被利用以实现更深层的租户妥协。
+
+## Attack Paths and Technical Flow
+
+### Modify Federation Configuration via Exchange
+
+历史上，Exchange tokens 拥有写入域/联邦设置的权限。对攻击者来说，这允许直接修改联邦域信任数据，包括 token-signing certificate 列表和控制是否接受来自 on-prem 联邦基础设施的 MFA 要求的配置标志。
+
+这意味着被妥协的 Exchange Hybrid 服务器可以被用来从云端调整或加强类似 ADFS 的冒充，通过更改 federation config 来进行攻击，即使攻击者最初只是从本地 Exchange 入手。
+
+### ACS Actor Tokens and Service-to-Service Impersonation
+
+Exchange 的 hybrid auth 路径使用 Access Control Service (ACS) actor tokens 并设置 `trustedfordelegation=true`。这些 actor tokens 随后被嵌入到第二个未签名的 service token 中，攻击者可在该未签名部分携带目标用户身份。因为外层令牌未签名且 actor token 授权范围广泛，调用者可以在不重新认证的情况下切换目标用户。
+
+实际上，一旦获得 actor token，攻击者就拥有一个长时间存在的冒充原语（通常约 24 小时），在其生命周期中难以撤销。这使得在 Exchange Online 和 SharePoint/OneDrive API 之间进行用户冒充成为可能，包括高价值数据的外泄。
+
+历史上，同样的模式也可通过构建包含受害者 `netId` 值的冒充令牌针对 `graph.windows.net` 生效。那使得攻击者能够以任意用户身份执行直接的 Entra 管理操作，并促成完整租户接管的工作流（例如，创建新的 Global Administrator 账户）。
+
+## What No Longer Works
+
+通过 Exchange Hybrid actor tokens 对 `graph.windows.net` 的冒充路径已被修复。针对该特定令牌途径的旧有 “Exchange 到 任意 Entra admin over Graph” 链路应被视为已移除。
+
+在记录该攻击时，这一点是最重要的修正：应将 Exchange/SharePoint 的冒充风险与已修补的 Graph 冒充提权区分开来。
+
+## What Can Still Matter in Practice
+
+如果组织仍运行存在共享信任且证书材料已暴露的旧或不完整 hybrid 配置，Exchange/SharePoint 冒充的影响可能仍然严重。根据租户设置和迁移状态，federation-configuration 的滥用角度也可能仍然相关。
+
+Microsoft 的长期缓解措施是拆分 on-prem 和 Exchange Online 的身份，从而消除共享 service-principal 的信任路径。完成该迁移的环境会显著减少此攻击面。
+
+## Detection Notes
+
+当滥用该技术时，审计事件可能显示身份不匹配：user principal name 对应于被冒充的用户，而显示/来源上下文指向 Exchange Online 活动。这种混合身份模式是一个高价值的狩猎信号，但防御方应对合法的 Exchange-admin 工作流建立基线以减少误报。
+
+## References
+
+- https://www.youtube.com/watch?v=rzfAutv6sB8
+
+{{#include ../../../banners/hacktricks-training.md}}