gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-26 20:54:14 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-device-registration.

Browse Source
This commit is contained in:
Translator
2025-07-30 04:16:54 +00:00
parent 7cbab9c859
commit 95b89184df
1 changed files with 8 additions and 8 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/azure-security/az-device-registration.md
View File

@@ -6,7 +6,7 @@
Wanneer 'n toestel by AzureAD aansluit, word 'n nuwe objek in AzureAD geskep.
Wanneer 'n toestel geregistreer word, **word die gebruiker gevra om in te log met sy rekening** (wat MFA vra indien nodig), dan versoek dit tokens vir die toestel registrasiediens en vra dan 'n finale bevestigingsprompt.
Wanneer 'n toestel geregistreer word, **word die gebruiker gevra om in te log met sy rekening** (met MFA indien nodig), dan versoek dit tokens vir die toestel registrasiediens en vra dan 'n finale bevestigingsprompt.
Dan word twee RSA sleutelpare in die toestel gegenereer: Die **toestelsleutel** (**publieke** sleutel) wat na **AzureAD** gestuur word en die **transport** sleutel (**private** sleutel) wat in TPM gestoor word indien moontlik.
@@ -14,7 +14,7 @@ Dan word die **objek** in **AzureAD** geskep (nie in Intune nie) en AzureAD gee
```bash
dsregcmd /status
```
Na die toestelregistrasie word 'n **Primêre Vernuwingsleutel** deur die LSASS CloudAP-module aangevra en aan die toestel gegee. Met die PRT word ook die **sessiesleutel gelewer wat slegs deur die toestel ontcijfer kan word** (met die publieke sleutel van die vervoersleutel) en dit is **nodig om die PRT te gebruik.**
Na die toestelregistrasie word 'n **Primêre Vernuwingsleutel** deur die LSASS CloudAP-module aangevra en aan die toestel gegee. Met die PRT word ook die **sessiesleutel gelewer wat slegs deur die toestel gedekript kan word** (met die publieke sleutel van die vervoersleutel) en dit is **nodig om die PRT te gebruik.**
Vir meer inligting oor wat 'n PRT is, kyk:
@@ -47,7 +47,7 @@ roadrecon auth -r 01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9 --prt-cookie <cookie>
# Custom pyhton script to register a device (check roadtx)
registerdevice.py
```
Wat jou 'n **sertifikaat sal gee wat jy kan gebruik om in die toekoms vir PRTs te vra**. Dit hou dus volharding in stand en **omseil MFA** omdat die oorspronklike PRT-token wat gebruik is om die nuwe toestel te registreer **reeds MFA-toestemmings toegeken het**.
Wat jou 'n **sertifikaat sal gee wat jy kan gebruik om in die toekoms vir PRT's te vra**. Dit hou dus volharding in stand en **omseil MFA** omdat die oorspronklike PRT-token wat gebruik is om die nuwe toestel te registreer **reeds MFA-toestemmings toegeken het**.
> [!TIP]
> Let daarop dat jy toestemming nodig sal hê om **nuwe toestelle te registreer** om hierdie aanval uit te voer. Ook, die registrasie van 'n toestel beteken nie dat die toestel **toegelaat sal word om in Intune in te skryf** nie.
@@ -57,21 +57,21 @@ Wat jou 'n **sertifikaat sal gee wat jy kan gebruik om in die toekoms vir PRTs t
## Oorskrywing van 'n toestel-tiket
Dit was moontlik om 'n **toestel-tiket aan te vra**, die huidige een van die toestel te **oorskryf**, en tydens die vloei die **PRT te steel** (so geen behoefte om dit van die TPM te steel nie. Vir meer inligting [**kyk na hierdie praatjie**](https://youtu.be/BduCn8cLV1A).
Dit was moontlik om 'n **toestel-tiket aan te vra**, die huidige een van die toestel te **oorskry** en tydens die vloei die **PRT te steel** (so geen behoefte om dit van die TPM te steel nie. Vir meer inligting [**kyk na hierdie praatjie**](https://youtu.be/BduCn8cLV1A).
<figure><img src="../../images/image (32).png" alt=""><figcaption></figcaption></figure>
> [!CAUTION]
> Dit is egter reggestel.
## Oorskrywing van WHFB-sleutel
## Oorskry WHFB-sleutel
[**Kyk die oorspronklike skyfies hier**](https://dirkjanm.io/assets/raw/Windows%20Hello%20from%20the%20other%20side_nsec_v1.0.pdf)
Aanvalsamevatting:
- Dit is moontlik om die **geregistreerde WHFB** sleutel van 'n **toestel** via SSO te **oorskryf**
- Dit **verslaan TPM-beskerming** aangesien die sleutel **gesniff word tydens die generasie** van die nuwe sleutel
- Dit is moontlik om die **geregistreerde WHFB** sleutel van 'n **toestel** via SSO te **oorskry**
- Dit **verslaan TPM-beskerming** aangesien die sleutel **gesnif word tydens die generasie** van die nuwe sleutel
- Dit bied ook **volharding**
<figure><img src="../../images/image (34).png" alt=""><figcaption></figcaption></figure>
@@ -89,7 +89,7 @@ en dan PATCH die inligting van die searchableDeviceKey:
Dit is moontlik om 'n toegangstoken van 'n gebruiker te verkry via **device code phishing** en die vorige stappe te misbruik om **sy toegang te steel**. Vir meer inligting, kyk:
{{#ref}}
az-lateral-movement-cloud-on-prem/az-phishing-primary-refresh-token-microsoft-entra.md
az-lateral-movement-cloud-on-prem/az-primary-refresh-token-prt.md
{{#endref}}
<figure><img src="../../images/image (37).png" alt=""><figcaption></figcaption></figure>