Translated ['', 'src/pentesting-cloud/azure-security/az-lateral-movement

2025-12-26 20:54:14 -08:00 · 2025-08-25 21:26:23 +00:00
parent 77384cbd3b
commit 6d5b0dcd5c
1 changed files with 52 additions and 48 deletions
--- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-connect-sync.md
+++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-connect-sync.md
@@ -4,55 +4,59 @@

 ## Basiese Inligting

-[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis) Microsoft Entra Connect synchronisasiedienste (Microsoft Entra Connect Sync) is 'n hoofkomponent van Microsoft Entra Connect. Dit sorg vir al die operasies wat verband hou met die sinchronisering van identiteitsdata tussen jou plaaslike omgewing en Microsoft Entra ID.
+[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis) Microsoft Entra Connect synchronization services (Microsoft Entra Connect Sync) is 'n hoofkomponent van Microsoft Entra Connect. Dit hanteer al die operasies wat verband hou met die sinkronisering van identiteitsdata tussen jou on-premises omgewing en Microsoft Entra ID.
+
+Die sync‑diens bestaan uit twee komponente: die on‑premises **Microsoft Entra Connect Sync** komponent en die dienskant in Microsoft Entra ID wat **Microsoft Entra Connect Sync service** genoem word.
+
+Om dit te gebruik, moet die **`Microsoft Entra Connect Sync`** agent op 'n bediener binne jou AD‑omgewing geïnstalleer word. Hierdie agent sal die sinkronisering vanaf die AD‑kant hanteer.

-Om dit te gebruik, is dit nodig om die **`Microsoft Entra Connect Sync`** agent op 'n bediener binne jou AD-omgewing te installeer. Hierdie agent sal verantwoordelik wees vir die sinchronisering vanaf die AD-kant.

 <figure><img src="../../../../images/image (173).png" alt=""><figcaption></figcaption></figure>

-Die **Connect Sync** is basies die "ou" Azure manier om **gebruikers van AD na Entra ID te sinchroniseer.** Die nuwe aanbevole manier is om **Entra Cloud Sync** te gebruik:
+Die **Connect Sync** is basies die "ou" Azure‑wyse om **gebruikers van AD na Entra ID te sinkroniseer.** Die nuwe aanbevole manier is om **Entra Cloud Sync** te gebruik:

 {{#ref}}
 az-cloud-sync.md
 {{#endref}}

-### Principals Gegenereer
+### Geskepte Principals

- Die rekening **`MSOL_<installationID>`** word outomaties in die plaaslike AD geskep. Hierdie rekening ontvang 'n **Directory Synchronization Accounts** rol (sien [dokumentasie](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)) wat beteken dat dit **replicatie (DCSync) regte in die plaaslike AD** het.
- Dit beteken dat enigiemand wat hierdie rekening kompromitteer, die plaaslike domein kan kompromitteer.
- 'n Gemanagte diensrekening **`ADSyncMSA<id>`** word in die plaaslike AD geskep sonder enige spesiale standaardregte.
- In Entra ID word die Diens Prinsipaal **`ConnectSyncProvisioning_ConnectSync_<id>`** geskep met 'n sertifikaat.
+- Die rekening **`MSOL_<installationID>`** word outomaties in die on‑prem AD geskep. Hierdie rekening kry die rol **Directory Synchronization Accounts** (sien [documentation](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)) wat beteken dat dit **replication (DCSync) permissions in die on‑prem AD** het.
+- Dit beteken dat enigiemand wat hierdie rekening kompromitteer die on‑prem domein kan kompromitteer.
+- 'n Managed service account **`ADSyncMSA<id>`** word in die on‑prem AD geskep sonder enige besondere standaardvoorregte.
+- In Entra ID word die Service Principal **`ConnectSyncProvisioning_ConnectSync_<id>`** geskep met 'n sertifikaat.

-## Sinchroniseer Wagwoorde
+## Sinkroniseer wagwoorde

-### Wagwoord Hash Sinchronisasie
+### Password Hash Synchronization

-Hierdie komponent kan ook gebruik word om **wagwoorde van AD na Entra ID te sinchroniseer** sodat gebruikers hul AD-wagwoorde kan gebruik om aan te sluit by Entra ID. Hiervoor is dit nodig om wagwoord hash sinchronisasie in die Microsoft Entra Connect Sync agent wat op 'n AD-bediener geïnstalleer is, toe te laat.
+Hierdie komponent kan ook gebruik word om **wagwoorde van AD na Entra ID te sinkroniseer** sodat gebruikers hul AD‑wagwoorde kan gebruik om by Entra ID aan te meld. Hiervoor moet password hash synchronization in die Microsoft Entra Connect Sync agent wat op 'n AD‑bediener geïnstalleer is, toegelaat word.

-[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Wagwoord hash sinchronisasie** is een van die aanmeldmetodes wat gebruik word om 'n hibriede identiteit te bereik. **Azure AD Connect** sinchroniseer 'n hash, van die hash, van 'n gebruiker se wagwoord van 'n plaaslike Active Directory instansie na 'n wolk-gebaseerde Azure AD instansie.
+[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Password hash synchronization** is een van die aanmeldmetodes wat gebruik word om hybrid identity te bewerkstellig. **Azure AD Connect** sinkroniseer 'n hash, van die hash, van 'n gebruiker se wagwoord van 'n on‑premises Active Directory‑instansie na 'n cloud‑gebaseerde Azure AD‑instansie.

-Basies, alle **gebruikers** en 'n **hash van die wagwoord hashes** word van die plaaslike AD na Azure AD gesinchroniseer. egter, **duidelike teks wagwoorde** of die **oorspronklike** **hashes** word nie na Azure AD gestuur nie.
+Basies word alle **gebruikers** en 'n **hash van die wagwoord‑hashes** van on‑prem na Azure AD gesinkroniseer. Nietemin word **clear‑text passwords** of die **oorspronklike** **hashes** nie na Azure AD gestuur nie.

-Die **hashes sinchronisasie** vind elke **2 minute** plaas. egter, per standaard, **wagwoord vervaldatums** en **rekening** **vervaldatums** word **nie gesinchroniseer** in Azure AD nie. So, 'n gebruiker wie se **plaaslike wagwoord verval** (nie verander nie) kan voortgaan om **toegang tot Azure hulpbronne** te verkry met die ou wagwoord.
+Die **hashes‑sinkronisering** gebeur elke **2 minute**. Maar, standaard word **wagwoordverval** en **rekeningverval** **nie** na Azure AD gesinkroniseer nie. Dus kan 'n gebruiker wie se **on‑prem wagwoord verval** het (nie verander nie) steeds voortgaan om **Azure‑hulpbronne te bereik** met die ou wagwoord.

-Wanneer 'n plaaslike gebruiker toegang wil verkry tot 'n Azure hulpbron, vind die **verifikasie plaas op Azure AD**.
+Wanneer 'n on‑prem gebruiker 'n Azure‑hulpbron wil bereik, vind die **verifikasie plaas op Azure AD**.

 > [!NOTE]
-> Per standaard word gebruikers van bekende bevoorregte groepe soos Domein Administrators met die attribuut **`adminCount` na 1 nie gesinchroniseer** met Entra ID vir veiligheidsredes. egter, ander gebruikers wat deel uitmaak van bevoorregte groepe sonder hierdie attribuut of wat hoë regte direk toegeken is, **kan gesinchroniseer word**.
+> By verstek word gebruikers van bekende bevoorregte groepe soos Domain Admins met die attribuut **`adminCount` op 1 nie met Entra ID gesinkroniseer nie vir sekuriteitsredes. Ander gebruikers wat deel is van bevoorregte groepe sonder hierdie attribuut of wat direk hoë voorregte toegeken het **kan gesinkroniseer word**.

-### Wagwoord Skryfbak

-Hierdie konfigurasie laat toe om **wagwoorde van Entra ID na AD te sinchroniseer** wanneer 'n gebruiker sy wagwoord in Entra ID verander. Let daarop dat vir die wagwoord skryfbak om te werk, die `MSOL_<id>` gebruiker wat outomaties in die AD gegenereer is, meer [regte soos aangedui in die dokumentasie](https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr-writeback) toegeken moet word sodat dit in staat sal wees om **die wagwoorde van enige gebruiker in die AD te verander**.
+### Password Writeback

-Dit is veral interessant om die AD van 'n gecompromitteerde Entra ID te kompromitteer, aangesien jy in staat sal wees om die wagwoord van "byna" enige gebruiker te verander.
+Hierdie konfigurasie maak dit moontlik om **wagwoorde van Entra ID na AD te sinkroniseer** wanneer 'n gebruiker sy wagwoord in Entra ID verander. Let wel dat vir password writeback om te werk die `MSOL_<id>` gebruiker outomaties in die AD gegenereer moet word en meer voorregte toegeken moet kry soos in die [docs](https://learn.microsoft.com/en-us/entra/identity/authentication/tutorial-enable-sspr-writeback) aangedui, sodat dit die **wagwoorde van enige gebruiker in die AD kan wysig**.

-Domein administrateurs en ander gebruikers wat aan sommige bevoorregte groepe behoort, word nie gerepliceer as die groep die **`adminCount` attribuut na 1** het nie. Maar ander gebruikers wat hoë regte binne die AD toegeken is sonder om aan een van daardie groepe te behoort, kan hul wagwoord verander. Byvoorbeeld:
+Dit is veral interessant om die AD te kompromitteer vanaf 'n gekompromitteerde Entra ID aangesien jy die wagwoord van byna enige gebruiker sal kan verander.

- Gebruikers wat hoë regte direk toegeken is.
+Domain admins en ander gebruikers wat tot sekere bevoorregte groepe behoort, word nie gerepliseer as die groep die **`adminCount` attribute op 1** het nie. Maar ander gebruikers wat hoë voorregte binne die AD toegeken gekry het sonder om tot enige van daardie groepe te behoort, kan hul wagwoord verander word. Byvoorbeeld:
+
+- Gebruikers wat direk hoë voorregte toegekry is.
 - Gebruikers van die **`DNSAdmins`** groep.
- Gebruikers van die groep **`Group Policy Creator Owners`** wat GPO's geskep het en dit aan OUs toegeken het, sal in staat wees om die GPO's wat hulle geskep het, te verander.
- Gebruikers van die **`Cert Publishers Group`** wat sertifikate aan Active Directory kan publiseer.
- Gebruikers van enige ander groep met hoë regte sonder die **`adminCount` attribuut na 1**.
+- Gebruikers van die groep **`Group Policy Creator Owners`** wat GPO's geskep en aan OUs toegeken het, sal die GPO's wat hulle geskep het kan wysig.
+- Gebruikers van die **`Cert Publishers Group`** wat sertifikate na Active Directory kan publiseer.
+- Gebruikers van enige ander groep met hoë voorregte sonder die **`adminCount` attribute op 1**.

 ## Pivoting AD --> Entra ID

@@ -76,23 +80,23 @@ $searcher.FindAll()
 $searcher.Filter = "(samAccountName=Sync_*)"
 $searcher.FindAll()
 ```
-Kontroleer vir die **Connect Sync-konfigurasie** (indien enige):
+Kontroleer die **Connect Sync konfigurasie** (indien enige):
 ```bash
 az rest --url "https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization"
 # Check if password sychronization is enabled, if password and group writeback are enabled...
 ```
 ### Vind die wagwoorde

-Die wagwoorde van die **`MSOL_*`** gebruiker (en die **Sync\_\*** gebruiker indien geskep) is **gestoor in 'n SQL-bediener** op die bediener waar **Entra ID Connect geïnstalleer is.** Administrateurs kan die wagwoorde van daardie bevoorregte gebruikers in duidelike teks onttrek.\
+Die wagwoorde van die **`MSOL_*`** gebruiker (en die **Sync\_\*** gebruiker, indien geskep) word **gestoor in 'n SQL server** op die bediener waar **Entra ID Connect is geïnstalleer.** Admins kan die wagwoorde van daardie bevoorregte gebruikers in duidelike teks uittrek.\
 Die databasis is geleë in `C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf`.

-Dit is moontlik om die konfigurasie van een van die tabelle te onttrek, waarvan een versleuteld is:
+Dit is moontlik om die konfigurasie uit een van die tabelle te bekom, waarvan een geënkripteer is:

 `SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;`

-Die **versleutelde konfigurasie** is versleuteld met **DPAPI** en dit bevat die **wagwoorde van die `MSOL_*`** gebruiker in on-prem AD en die wagwoord van **Sync\_\*** in AzureAD. Daarom, deur hierdie te kompromitteer, is dit moontlik om privesc na die AD en AzureAD te verkry.
+Die **geënkripteerde konfigurasie** is geënkripteer met **DPAPI** en dit bevat die **wagwoorde van die `MSOL_*`** gebruiker in on-prem AD en die wagwoord van **Sync\_\*** in AzureAD. Dus, deur hierdie te kompromitteer is dit moontlik om privesc na die AD en AzureAD.

-Jy kan 'n [volledige oorsig van hoe hierdie geloofsbriewe gestoor en ontsleutel word in hierdie praatjie vind](https://www.youtube.com/watch?v=JEIR5oGCwdg).
+Jy kan 'n [volledige oorsig kry van hoe hierdie inlogbewyse gestoor en ontsleutel word in hierdie praatjie](https://www.youtube.com/watch?v=JEIR5oGCwdg).

 ### Misbruik van MSOL\_\*
 ```bash
@@ -112,34 +116,34 @@ runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
 Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'
 ```
 > [!WARNING]
-> Vorige aanvalle het die ander wagwoord gecompromitteer om dan met die Entra ID gebruiker genaamd `Sync_*` te verbind en dan Entra ID te kompromitteer. Hierdie gebruiker bestaan egter nie meer nie.
+> Vorige aanvalle het die ander wagwoord gekompromitteer om dan te skakel na Entra ID gebruiker genaamd `Sync_*` en daarna Entra ID te kompromitteer. Hierdie gebruiker bestaan egter nie meer nie.

-### Misbruik van ConnectSyncProvisioning_ConnectSync\_<id>

-Hierdie toepassing is geskep sonder dat enige Entra ID of Azure bestuur rolle toegeken is. Dit het egter die volgende API-toestemmings:
+### Abusing ConnectSyncProvisioning_ConnectSync\_<id>

- Microsoft Entra AD Sinchronisasie Diens
+Hierdie toepassing is geskep sonder Entra ID of Azure bestuurrolle toegewys. Dit het egter die volgende API-magtigings:
+
+- Microsoft Entra AD Synchronization Service
 - `ADSynchronization.ReadWrite.All`
- Microsoft wagwoord herstel diens
+- Microsoft password reset service
 - `PasswordWriteback.OffboardClient.All`
 - `PasswordWriteback.RefreshClient.All`
 - `PasswordWriteback.RegisterClientVersion.All`

-Daar word genoem dat die SP van hierdie toepassing steeds gebruik kan word om sommige bevoorregte aksies uit te voer met 'n nie-dokumenteerde API, maar geen PoC is nog gevind nie, sover ek weet.\
-In elk geval, om te dink dat dit moontlik mag wees, sal dit interessant wees om verder te verken hoe om die sertifikaat te vind om as hierdie dienshoof in te log en te probeer om dit te misbruik.
+Dit word genoem dat die SP van hierdie toepassing steeds gebruik kan word om sekere bevoorregte aksies uit te voer deur 'n ongedokumenteerde API, maar geen PoC is nog gevind nie, afaik. In elk geval, aangesien dit moontlik lyk, sal dit interessant wees om verder te ondersoek hoe om die sertifikaat te vind om as hierdie service principal aan te meld en dit te probeer misbruik.

-Hierdie [blog pos](https://posts.specterops.io/update-dumping-entra-connect-sync-credentials-4a9114734f71) is kort voor die verandering van die gebruik van die `Sync_*` gebruiker na hierdie dienshoof vrygestel, en het verduidelik dat die sertifikaat binne die bediener gestoor was en dit moontlik was om dit te vind, PoP (Bewys van Besit) daarvan te genereer en graf token, en hiermee 'n nuwe sertifikaat aan die dienshoof toe te voeg (want 'n **dienshoof** kan altyd vir homself nuwe sertifikate toeken) en dit dan gebruik om volharding as die SP te handhaaf.
+This [blog post](https://posts.specterops.io/update-dumping-entra-connect-sync-credentials-4a9114734f71) released soon after the change from using the `Sync_*` user to this service principal, explained that the certificate was stored inside the server and it was possible to find it, generate PoP (Proof of Possession) of it and graph token, and with this, be able to add a new certificate to the service principal (because a **service principal** can always assign itself new certificates) and then use it to maintain persistence as the SP.

-Om hierdie aksies uit te voer, is die volgende gereedskap gepubliseer: [SharpECUtils](https://github.com/hotnops/ECUtilities/tree/main/SharpECUtils).
+In order to perform these actions, the following tools are published: [SharpECUtils](https://github.com/hotnops/ECUtilities/tree/main/SharpECUtils).

-Volgens my ervaring, is die sertifikaat nie meer gestoor op die plek waar die vorige gereedskap daarna gesoek het nie, en daarom werk die gereedskap nie meer nie. Verdere navorsing mag nodig wees.
+According to [this question](https://github.com/hotnops/ECUtilities/issues/1#issuecomment-3220989919), in order to find the certificate, you must run the tool from a process that has **stolen the token of the `miiserver` process**.

 ### Misbruik van Sync\_\* [DEPRECATED]

 > [!WARNING]
-> Voorheen is 'n gebruiker genaamd `Sync_*` in Entra ID geskep met baie sensitiewe toestemmings toegeken, wat dit moontlik gemaak het om bevoorregte aksies uit te voer soos om die wagwoord van enige gebruiker of om 'n nuwe geloofsbrief aan 'n dienshoof toe te voeg. Vanaf Jan2025 word hierdie gebruiker egter nie meer standaard geskep nie, aangesien die Toepassing/SP **`ConnectSyncProvisioning_ConnectSync_<id>`** nou gebruik word. Dit mag egter steeds in sommige omgewings teenwoordig wees, so dit is die moeite werd om daarna te kyk.
+> Voorheen is 'n gebruiker genaamd `Sync_*` in Entra ID geskep met baie sensitiewe magtigings toegeken, wat dit toegelaat het om bevoorregte aksies uit te voer soos die wysiging van die wagwoord van enige gebruiker of die toevoeging van 'n nuwe credential aan 'n service principal. Vanaf Jan2025 word hierdie gebruiker egter nie meer standaard geskep nie aangesien nou die Application/SP **`ConnectSyncProvisioning_ConnectSync_<id>`** gebruik word. Dit kan egter steeds in sommige omgewings voorkom, dus dit is die moeite werd om daarvoor te soek.

-Deur die **`Sync_*`** rekening te kompromitteer, is dit moontlik om die **wagwoord** van enige gebruiker (insluitend Globale Administrators) te **herstel**.
+Deur die **`Sync_*`** rekening te kompromitteer is dit moontlik om die **wagwoord van enige gebruiker (insluitend Global Administrators) terug te stel**.
 ```bash
 Install-Module -Name AADInternals -RequiredVersion 0.9.0 # Uninstall-Module AADInternals  if you have a later version
 Import-Module AADInternals
@@ -163,7 +167,7 @@ Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustA

 # Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)
 ```
-Dit is ook moontlik om **slegs die wagwoorde van wolk** gebruikers te **wysig** (selfs al is dit onverwags).
+Dit is ook moontlik om **slegs die wagwoorde van cloudgebruikers te wysig** (selfs al is dit onverwag)
 ```bash
 # To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
 # The CloudAnchor is of the format USER_ObjectID.
@@ -172,14 +176,14 @@ Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,Obj
 # Reset password
 Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers
 ```
-Dit is ook moontlik om die wagwoord van hierdie gebruiker te dump.
+Dit is ook moontlik om die password van hierdie gebruiker te dump.

 > [!CAUTION]
-> 'n Ander opsie sou wees om **bevoorregte toestemmings aan 'n dienshoof** toe te ken, wat die **Sync** gebruiker **toestemmings** het om te doen, en dan **daardie dienshoof** te benader as 'n manier van privesc.
+> Nog 'n opsie sou wees om **bevoorregte permissions aan 'n service principal toe te ken**, wat die **Sync** gebruiker die **permissions** het om te doen, en dan daardie **service principal** te **access** as 'n manier van privesc.

 ### Seamless SSO

-Dit is moontlik om Seamless SSO met PHS te gebruik, wat kwesbaar is vir ander misbruik. Kontroleer dit in:
+Dit is moontlik om Seamless SSO met PHS te gebruik, wat vatbaar is vir ander misbruike. Kyk dit in:

 {{#ref}}
 az-seamless-sso.md
@@ -187,10 +191,10 @@ az-seamless-sso.md

 ## Pivoting Entra ID --> AD

- As wagwoord skryfbak aktief is, kan jy **die wagwoord van enige gebruiker in die AD** wat met Entra ID gesinkroniseer is, **wysig**.
- As groepe skryfbak aktief is, kan jy **gebruikers aan bevoorregte groepe** in Entra ID wat met die AD gesinkroniseer is, **toevoeg**.
+- As password writeback geaktiveer is, kan jy **die password van enige gebruiker in die AD wysig** wat met Entra ID gesinkroniseer is.
+- As groups writeback geaktiveer is, kan jy **gebruikers by bevoorregte groups voeg** in Entra ID wat met die AD gesinkroniseer is.

-## Verwysings
+## References

 - [https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs](https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs)
 - [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)