gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-03-12 21:22:57 -07:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

Browse Source
This commit is contained in:
Translator
2026-03-02 23:54:29 +00:00
parent c8b74d4cef
commit 49712717f6
2 changed files with 62 additions and 13 deletions
Download Patch File Download Diff File Expand all files Collapse all files

28
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md
View File

@@ -4,35 +4,37 @@
## Osnovne informacije
Ovaj odeljak pokriva pivot tehnike za prelazak iz kompromitovanog Entra ID tenant-a u on-premises Active Directory (AD) ili iz kompromitovanog AD u Entra ID tenant.
Ovaj odeljak obuhvata tehnike pivotiranja za prelazak iz kompromitovanog Entra ID tenanta u on-premises Active Directory (AD) ili iz kompromitovanog AD-a u Entra ID tenant.
## Tehnike pivotiranja
## Pivoting Techniques
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): Ako napadač može da kontroliše ili kreira AD computer account i pristupi Azure Arc GPO deployment share-u, može da dešifruje sačuvani Service Principal secret i iskoristi ga da se autentifikuje u Azure kao povezani service principal, potpuno kompromitujući povezano Azure okruženje.
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): Ako napadač može da kontroliše ili kreira AD computer account i pristupi Azure Arc GPO deployment share-u, može dekriptovati sačuvani Service Principal secret i koristiti ga za autentikaciju u Azure kao povezani service principal, čime potpuno kompromituje povezano Azure okruženje.
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Kako da pivotirate iz Entra ID u AD kada je Cloud Kerberos Trust konfigurisan. Global Admin u Entra ID (Azure AD) može zloupotrebiti Cloud Kerberos Trust i sync API da se pretvara da je visokoprivilegovan AD nalog, dobije njihove Kerberos tikete ili NTLM heve, i potpuno kompromituje on-prem Active Directory — čak i ako ti nalozi nikada nisu cloud-synced — efikasno premošćujući cloud-to-AD eskalaciju privilegija.
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Kako pivotirati iz Entra ID u AD kada je Cloud Kerberos Trust konfigurisan. Global Admin u Entra ID (Azure AD) može zloupotrebiti Cloud Kerberos Trust i sync API da se predstavlja kao AD nalozi sa visokim privilegijama, dobije njihove Kerberos tikete ili NTLM hasheve, i potpuno kompromituje on-prem Active Directory — čak i ako ti nalozi nikada nisu cloud-synced — čime efektivno omogućava cloud-to-AD privilege escalation.
- [**Cloud Sync**](az-cloud-sync.md): Kako zloupotrebiti Cloud Sync da se pređe iz clouda u on-premises AD i obrnuto.
- [**Cloud Sync**](az-cloud-sync.md): Kako zloupotrebiti Cloud Sync za prelazak iz clouda u on-premises AD i obrnuto.
- [**Connect Sync**](az-connect-sync.md): Kako zloupotrebiti Connect Sync da se pređe iz clouda u on-premises AD i obrnuto.
- [**Connect Sync**](az-connect-sync.md): Kako zloupotrebiti Connect Sync za prelazak iz clouda u on-premises AD i obrnuto.
- [**Domain Services**](az-domain-services.md): Šta je Azure Domain Services i kako pivotirati iz Entra ID u AD koji on generiše.
- [**Domain Services**](az-domain-services.md): Šta je Azure Domain Services servis i kako pivotirati iz Entra ID u AD koji on generiše.
- [**Federation**](az-federation.md): Kako zloupotrebiti Federation da se pređe iz clouda u on-premises AD i obrnuto.
- [**Federation**](az-federation.md): Kako zloupotrebiti Federation za prelazak iz clouda u on-premises AD i obrnuto.
- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): Različiti napadi koji se mogu koristiti za pivotiranje iz clouda u on-premises AD i obrnuto.
- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Interna struktura Exchange Hybrid actor-token-a, putanje zloupotrebe koje su zakrpljene naspram onih koje su i dalje relevantne, i kako proceniti preostali rizik nakon service-principal split migracija.
- [**Local Cloud Credentials**](az-local-cloud-credentials.md): Gde pronaći kredencijale za cloud kada je PC kompromitovan.
- [**Pass the Certificate**](az-pass-the-certificate.md): Generiši cert baziran na PRT da bi se prijavio sa jedne mašine na drugu.
- [**Pass the Certificate**](az-pass-the-certificate.md): Generisati cert baziran na PRT da bi se ulogovali sa jedne mašine na drugu.
- [**Pass the Cookie**](az-pass-the-cookie.md): Ukradi Azure cookies iz browser-a i iskoristi ih za prijavu.
- [**Pass the Cookie**](az-pass-the-cookie.md): Ukrasti Azure cookie-je iz browsera i koristiti ih za login.
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): Šta je PRT, kako ga ukrasti i koristiti za pristup Azure resursima predstavljajući se kao korisnik.
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): Šta je PRT, kako ga ukrasti i koristiti za pristup Azure resursima predstavljajući korisnika.
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Kako zloupotrebiti Pass-through Authentication da se pređe iz clouda u on-premises AD i obrnuto.
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Kako zloupotrebiti Pass-through Authentication za prelazak iz clouda u on-premises AD i obrnuto.
- [**Seamless SSO**](az-seamless-sso.md): Kako zloupotrebiti Seamless SSO da se pređe iz on-prem u cloud.
- [**Seamless SSO**](az-seamless-sso.md): Kako zloupotrebiti Seamless SSO za prelazak iz on-prem u cloud.
- **Another way to pivot from cloud to On-Prem is** [**abusing Intune**](../az-services/intune.md)

47
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-exchange-hybrid-impersonation.md Normal file
View File

@@ -0,0 +1,47 @@
# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
{{#include ../../../banners/hacktricks-training.md}}
## Osnovne informacije
U zastarelim Exchange Hybrid dizajnima, on-prem Exchange deployment mogao je da se autentifikuje kao isti Entra application identity koji koristi Exchange Online. Ako bi napadač kompromitovao Exchange server, izvukao privatni ključ hybrid sertifikata i izvršio OAuth client-credentials flow, mogao bi da dobije first-party tokene sa kontekstom privilegija Exchange Online.
Praktični rizik nije bio ograničen samo na pristup poštanskim sandučićima. Pošto je Exchange Online imao široke back-end trust relationships, ovaj identitet je mogao da interaguje sa dodatnim Microsoft 365 servisima i, u starijem ponašanju, mogao je biti iskorišćen za dublju kompromitaciju tenanta.
## Putanje napada i tehnički tok
### Izmena konfiguracije federacije preko Exchange-a
Exchange tokeni istorijski su imali dozvole za upisivanje podešavanja domena/federacije. Iz perspektive napadača, to je omogućavalo direktnu manipulaciju podacima o poverenju federisanih domena, uključujući liste sertifikata za potpisivanje tokena i konfiguracione zastavice koje su kontrolisale prihvatanje MFA-claim-ova sa on-prem federation infrastrukture.
To znači da bi kompromitovani Exchange Hybrid server mogao biti iskorišćen za pripremu ili jačanje ADFS-style impersonation promenom federation config sa cloud strane, čak i kada je napadač počeo samo od kompromitovanja on-prem Exchange-a.
### ACS Actor Tokens i service-to-service impersonation
Exchange-ov hybrid auth put koristio je Access Control Service (ACS) actor tokene sa `trustedfordelegation=true`. Ti actor tokeni su potom bili ugrađeni u drugi, nepotpisani service token koji je nosio identitet ciljnog korisnika u delu koji je kontrolisao napadač. Pošto je spoljašnji token bio nepotpisan, a actor token je imao široke delegacije, pozivaoc je mogao da menja ciljne korisnike bez ponovne autentikacije.
U praksi, kad bi actor token bio dobijen, napadač je imao dugotrajan impersonation primitiv (tipično oko 24 sata) koji je bilo teško opozvati tokom njegovog trajanja. To je omogućavalo impersonaciju korisnika preko Exchange Online i SharePoint/OneDrive API-ja, uključujući exfiltraciju visokovrednih podataka.
Istorijski, isti obrazac je takođe radio protiv `graph.windows.net` tako što se gradio impersonation token sa žrtvinom `netId` vrednošću. To je omogućavalo direktne Entra administrativne akcije kao proizvoljni korisnici i omogućavalo workflow-e za potpuno preuzimanje tenanta (na primer, kreiranje novog Global Administrator naloga).
## Šta više ne funkcioniše
Putanja impersonation-a preko `graph.windows.net` putem Exchange Hybrid actor tokena je ispravljena. Stari lanac "Exchange to arbitrary Entra admin over Graph" treba smatrati uklonjenim za ovu specifičnu putanju tokena.
Ovo je najvažnija ispravka pri dokumentovanju napada: držite rizik od Exchange/SharePoint impersonation-a odvojenim od sada ispravljenog Graph impersonation eskaliranja.
## Šta još može biti važno u praksi
Ako organizacija i dalje koristi staru ili nepotpunu hybrid konfiguraciju sa deljenim poverenjem i izloženim sertifikatskim materijalom, uticaj Exchange/SharePoint impersonation-a može ostati ozbiljan. Ugao zloupotrebe federation-configuration takođe može ostati relevantan u zavisnosti od podešavanja tenanta i stanja migracije.
Microsoft-ova dugoročna mitigacija je razdvajanje on-prem i Exchange Online identiteta tako da putanja poverenja shared-service-principal više ne postoji. Okruženja koja su završila tu migraciju značajno smanjuju ovu površinu napada.
## Beleške za detekciju
Kada se ova tehnika zloupotrebljava, audit događaji mogu pokazati neusaglašenost identiteta gde user principal name odgovara impersoniranom korisniku dok display/source kontekst ukazuje na aktivnost Exchange Online-a. Taj mešoviti obrazac identiteta je visokovredan hunting signal, mada branitelji treba da utvrde baseline legitimnih Exchange-admin workflow-a kako bi smanjili lažno pozitivne rezultate.
## Reference
- https://www.youtube.com/watch?v=rzfAutv6sB8
{{#include ../../../banners/hacktricks-training.md}}