Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md

@@ -2,37 +2,39 @@
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-## मूल जानकारी
+## बुनियादी जानकारी
 
-यह सेक्शन compromised Entra ID tenant से on-premises Active Directory (AD) में जाने या compromised AD से Entra ID tenant में जाने के लिए pivoting techniques को कवर करता है।
+यह अनुभाग उन pivoting techniques को कवर करता है जो compromised Entra ID tenant से on-premises Active Directory (AD) में जाने या compromised AD से Entra ID tenant में जाने के लिए उपयोग होती हैं।
 
 ## Pivoting Techniques
 
-- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): यदि कोई attacker AD computer account को control या create कर सकता है और Azure Arc GPO deployment share तक access कर लेता है, तो वे stored Service Principal secret को decrypt कर सकते हैं और संबंधित service principal के रूप में Azure में authenticate करने के लिए इसका उपयोग कर सकते हैं, जिससे linked Azure environment पूरी तरह compromised हो सकता है।
+- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): यदि एक attacker AD computer account को control या create कर सकता है और Azure Arc GPO deployment share तक पहुँच सकता है, तो वह stored Service Principal secret को decrypt कर सकता है और associated service principal के रूप में Azure में authenticate करके linked Azure environment को पूरी तरह से compromise कर सकता है।
 
-- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): यह बताता है कि Cloud Kerberos Trust configured होने पर Entra ID से AD में कैसे pivot किया जाए। Entra ID (Azure AD) में एक Global Admin Cloud Kerberos Trust और sync API का दुरुपयोग करके high-privilege AD accounts की impersonation कर सकता है, उनके Kerberos tickets या NTLM hashes प्राप्त कर सकता है, और on-prem Active Directory को पूरी तरह compromise कर सकता है—भले ही वे accounts कभी cloud-synced न हुए हों—प्रभावी रूप से cloud-to-AD privilege escalation को bridge करते हुए।
+- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): जब Cloud Kerberos Trust configured हो तो Entra ID से AD में pivot करने का तरीका। Entra ID (Azure AD) का एक Global Admin Cloud Kerberos Trust और sync API का दुरुपयोग करके high-privilege AD accounts की impersonation कर सकता है, उनके Kerberos tickets या NTLM hashes प्राप्त कर सकता है, और on-prem Active Directory को पूरी तरह compromise कर सकता है — भले ही वे accounts कभी cloud-synced न हुए हों — प्रभावी रूप से cloud-to-AD privilege escalation को bridge कर देता है।
 
-- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync का दुरुपयोग करके cloud से on-premises AD और इसके विपरीत कैसे मूव किया जाए।
+- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync का दुरुपयोग करके cloud से on-premises AD और वापस दोनों दिशाओं में जाने का तरीका।
 
-- [**Connect Sync**](az-connect-sync.md): Connect Sync का दुरुपयोग करके cloud से on-premises AD और इसके विपरीत कैसे मूव किया जाए।
+- [**Connect Sync**](az-connect-sync.md): Connect Sync का दुरुपयोग करके cloud से on-premises AD और वापस दोनों दिशाओं में जाने का तरीका।
 
 - [**Domain Services**](az-domain-services.md): Azure Domain Services Service क्या है और Entra ID से उस AD में कैसे pivot करें जो यह generate करता है।
 
-- [**Federation**](az-federation.md): Federation का दुरुपयोग करके cloud से on-premises AD और इसके विपरीत कैसे मूव किया जाए।
+- [**Federation**](az-federation.md): Federation का दुरुपयोग करके cloud से on-premises AD और वापस दोनों दिशाओं में जाने का तरीका।
 
-- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): ऐसे विविध attacks जो cloud से on-premises AD और इसके विपरीत pivot करने के लिए इस्तेमाल किए जा सकते हैं।
+- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): cloud से on-premises AD और वापस दोनों दिशाओं में pivot करने के लिए उपयोगी विविध attacks।
 
-- [**Local Cloud Credentials**](az-local-cloud-credentials.md): किस जगह cloud के credentials मिलते हैं जब कोई PC compromised हो।
+- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Exchange Hybrid actor-token की internals, patched बनाम अभी भी relevant abuse paths, और service-principal split migrations के बाद residual risk को कैसे assess करें।
 
-- [**Pass the Certificate**](az-pass-the-certificate.md): PRT के आधार पर एक cert generate करना ताकि एक मशीन से दूसरी मशीन पर login किया जा सके।
+- [**Local Cloud Credentials**](az-local-cloud-credentials.md): जब कोई PC compromised हो तो cloud के credentials कहाँ मिलते हैं।
 
-- [**Pass the Cookie**](az-pass-the-cookie.md): ब्राउज़र से Azure cookies चुराकर उनका use करके login करना।
+- [**Pass the Certificate**](az-pass-the-certificate.md): PRT पर आधारित cert generate करके एक machine से दूसरी machine में login करने का तरीका।
 
-- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT क्या है, उसे कैसे चुराया जाए और user की impersonation करके Azure resources तक access के लिए कैसे उपयोग किया जाए।
+- [**Pass the Cookie**](az-pass-the-cookie.md): Browser से Azure cookies चुरा कर उन्हें login के लिए उपयोग करना।
 
-- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication का दुरुपयोग करके cloud से on-premises AD और इसके विपरीत कैसे मूव करें।
+- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT क्या है, इसे कैसे चुराया जाए और user की impersonation कर Azure resources तक पहुँचने के लिए इसका उपयोग कैसे करें।
 
-- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO का दुरुपयोग करके on-prem से cloud में कैसे जाएँ।
+- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication का दुरुपयोग करके cloud से on-premises AD और वापस दोनों दिशाओं में जाने का तरीका।
+
+- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO का दुरुपयोग करके on-prem से cloud में जाने का तरीका।
 
 - **एक और तरीका cloud से On-Prem में pivot करने का है** [**abusing Intune**](../az-services/intune.md)
 

src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-exchange-hybrid-impersonation.md

@@ -0,0 +1,47 @@
+# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## बुनियादी जानकारी
+
+पुराने Exchange Hybrid डिज़ाइनों में, on-prem Exchange deployment उसी Entra application identity के रूप में authenticate कर सकता था जिसका इस्तेमाल Exchange Online करता था। अगर कोई attacker Exchange server को compromise कर ले, hybrid certificate का private key extract कर ले, और OAuth client-credentials flow करे, तो वह Exchange Online privilege context वाले first-party tokens प्राप्त कर सकता था।
+
+व्यवहारिक जोखिम सिर्फ mailbox access तक सीमित नहीं था। चूंकि Exchange Online के पास व्यापक back-end trust relationships थीं, यह identity अतिरिक्त Microsoft 365 सेवाओं के साथ interact कर सकती थी और पुराने व्यवहार में, इसे deeper tenant compromise के लिए leverage किया जा सकता था।
+
+## हमला मार्ग और तकनीकी प्रवाह
+
+### Exchange के माध्यम से Federation Configuration बदलना
+
+Exchange tokens historically में domain/federation settings लिखने की permissions रखते थे। एक attacker के नजरिए से, इससे federated domain trust data का सीधे manipulation संभव था, जिसमें token-signing certificate lists और वे configuration flags शामिल थे जो on-prem federation infrastructure से आने वाले MFA-claim की acceptance को नियंत्रित करते थे।
+
+इसका मतलब यह था कि compromise किया गया Exchange Hybrid server क्लाउड साइड से federation config बदलकर ADFS-style impersonation का staging या reinforcement करने के लिए इस्तेमाल किया जा सकता था, भले ही attacker ने केवल on-prem Exchange compromise से ही शुरुआत की हो।
+
+### ACS Actor Tokens और Service-to-Service Impersonation
+
+Exchange के hybrid auth path ने Access Control Service (ACS) actor tokens का उपयोग किया जिनमें `trustedfordelegation=true` था। उन actor tokens को फिर एक दूसरे, unsigned service token में embed किया जाता था जो target user identity को attacker-controlled section में रखता था। चूँकि outer token unsigned था और actor token व्यापक रूप से delegated था, caller बिना फिर से authenticate किए target users को swap कर सकता था।
+
+व्यवहार में, एक बार actor token प्राप्त हो जाने पर, attacker के पास एक long-lived impersonation primitive (आमतौर पर ~24 घंटे) था जिसे उसके जीवनकाल के बीच revoke करना मुश्किल होता था। इससे Exchange Online और SharePoint/OneDrive APIs में user impersonation संभव हुआ, जिसमें high-value data exfiltration भी शामिल था।
+
+ऐतिहासिक रूप से, वही पैटर्न `graph.windows.net` के खिलाफ भी काम करता था, जहाँ victim के `netId` वैल्यू के साथ impersonation token बनाकर सीधे Entra administrative action arbitrary users के रूप में की जा सकती थी और full-tenant takeover workflows संभव होते थे (उदाहरण के लिए, नया Global Administrator account बनाना)।
+
+## अब क्या काम नहीं करता
+
+Exchange Hybrid actor tokens के माध्यम से `graph.windows.net` impersonation path को ठीक कर दिया गया है। पुराने "Exchange to arbitrary Entra admin over Graph" chain को इस विशिष्ट token route के लिए हटाया गया माना जाना चाहिए।
+
+यह इस attack का डॉक्युमेंट करते समय सबसे महत्वपूर्ण सुधार है: Exchange/SharePoint impersonation जोखिम को अब-पैच किये गए Graph impersonation escalation से अलग रखें।
+
+## व्यवहार में क्या अभी भी मायने रखता है
+
+यदि कोई संगठन अभी भी shared trust और exposed certificate material के साथ पुरानी या incomplete hybrid configuration चला रहा है, तो Exchange/SharePoint impersonation का प्रभाव गंभीर रह सकता है। federation-configuration abuse वाला कोण भी tenant के setup और migration state पर निर्भर करते हुए प्रासंगिक रह सकता है।
+
+Microsoft की लंबी अवधि की mitigation on-prem और Exchange Online identities को अलग करना है ताकि shared-service-principal trust path मौजूद न रहे। जिन वातावरणों ने वह migration पूरा कर लिया है, वे इस attack surface को महत्वपूर्ण रूप से घटाते हैं।
+
+## डिटेक्शन नोट्स
+
+जब इस technique का दुरुपयोग होता है, तो audit events में identity mismatches दिख सकते हैं जहाँ user principal name impersonated user से मेल खाता है जबकि display/source context Exchange Online activity की ओर इशारा करता है। यह mixed identity पैटर्न एक उच्च-मूल्य का hunting signal है, हालांकि defenders को false positives कम करने के लिए legitimate Exchange-admin workflows का baseline बनाना चाहिए।
+
+## References
+
+- https://www.youtube.com/watch?v=rzfAutv6sB8
+
+{{#include ../../../banners/hacktricks-training.md}}