mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-03-12 21:22:57 -07:00
Translated ['src/pentesting-cloud/azure-security/az-lateral-movement-clo
This commit is contained in:
Translator
@@ -2,39 +2,41 @@
|
|||||||
|
|
||||||
{{#include ../../../banners/hacktricks-training.md}}
|
{{#include ../../../banners/hacktricks-training.md}}
|
||||||
|
|
||||||
## Temel Bilgi
|
## Temel Bilgiler
|
||||||
|
|
||||||
Bu bölüm, ele geçirilmiş bir Entra ID tenant'ından yerel Active Directory (AD)'ye veya ele geçirilmiş bir AD'den Entra ID tenant'ına geçiş yapmak için kullanılan pivoting tekniklerini kapsar.
|
Bu bölüm, bir ele geçirilmiş Entra ID tenant'ından on-premises Active Directory (AD)'ye veya ele geçirilmiş bir AD'den Entra ID tenant'ına geçiş için pivoting techniques'i kapsar.
|
||||||
|
|
||||||
## Pivoting Techniques
|
## Pivoting Techniques
|
||||||
|
|
||||||
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): Eğer bir attacker AD computer account'u kontrol edebiliyor veya oluşturabiliyor ve Azure Arc GPO deployment share'e erişebiliyorsa, depolanmış Service Principal secret'ı deşifre edip ilişkili service principal olarak Azure'a kimlik doğrulaması yapmak için kullanabilir ve bağlı Azure ortamını tamamen ele geçirebilir.
|
- [**Arc Vulnerable GPO Desploy Script**](az-arc-vulnerable-gpo-deploy-script.md): Eğer bir saldırgan bir AD computer account'u kontrol edebiliyor veya oluşturabiliyor ve Azure Arc GPO deployment share'e erişebiliyorsa, depolanan Service Principal secret'i deşifre edip ilişkili service principal olarak Azure'a kimlik doğrulaması yapmak için kullanarak bağlı Azure ortamını tamamen ele geçirebilir.
|
||||||
|
|
||||||
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Cloud Kerberos Trust yapılandırıldığında Entra ID'den AD'ye nasıl pivot yapılacağını anlatır. Entra ID (Azure AD) üzerindeki bir Global Admin, Cloud Kerberos Trust ve sync API'yi kötüye kullanarak yüksek ayrıcalıklı AD hesaplarını taklit edebilir, onların Kerberos biletlerini veya NTLM hash'lerini elde edebilir ve on-prem Active Directory'yi tamamen ele geçirebilir — bu hesaplar hiç buluta senkronize edilmemiş olsa bile — böylece bulut ile AD arasında ayrıcalık yükseltmeyi etkili şekilde köprüler.
|
- [**Cloud Kerberos Trust**](az-cloud-kerberos-trust.md): Cloud Kerberos Trust yapılandırıldığında Entra ID'den AD'ye nasıl pivot yapılır. Entra ID (Azure AD) içindeki bir Global Admin, Cloud Kerberos Trust ve sync API'yi kötüye kullanarak yüksek ayrıcalıklı AD hesaplarını taklit edebilir, onların Kerberos biletlerini veya NTLM hash'lerini elde edebilir ve on-prem Active Directory'yi tamamen ele geçirebilir—bu hesaplar hiç cloud-synced olmasalar bile—etkili bir şekilde cloud-to-AD privilege escalation köprüsü kurar.
|
||||||
|
|
||||||
- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync'i kötüye kullanarak buluttan on-premises AD'ye ve tersine nasıl pivot yapılacağını.
|
- [**Cloud Sync**](az-cloud-sync.md): Cloud Sync'i kötüye kullanarak cloud'dan on-premises AD'ye ve tersine nasıl geçileceği.
|
||||||
|
|
||||||
- [**Connect Sync**](az-connect-sync.md): Connect Sync'i kötüye kullanarak buluttan on-premises AD'ye ve tersine nasıl pivot yapılacağını.
|
- [**Connect Sync**](az-connect-sync.md): Connect Sync'i kötüye kullanarak cloud'dan on-premises AD'ye ve tersine nasıl geçileceği.
|
||||||
|
|
||||||
- [**Domain Services**](az-domain-services.md): Azure Domain Services Service'in ne olduğunu ve Entra ID'den oluşturduğu AD'ye nasıl pivot yapılacağını anlatır.
|
- [**Domain Services**](az-domain-services.md): Azure Domain Services servisinin ne olduğu ve Entra ID'den oluşturduğu AD'ye nasıl pivot yapılacağı.
|
||||||
|
|
||||||
- [**Federation**](az-federation.md): Federation'ı kötüye kullanarak buluttan on-premises AD'ye ve tersine nasıl pivot yapılacağını.
|
- [**Federation**](az-federation.md): Federation'ı kötüye kullanarak cloud'dan on-premises AD'ye ve tersine nasıl geçileceği.
|
||||||
|
|
||||||
- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): Buluttan on-premises AD'ye ve tersine pivot etmek için kullanılabilecek çeşitli saldırılar.
|
- [**Hybrid Misc Attacks**](az-hybrid-identity-misc-attacks.md): Cloud'dan on-premises AD'ye ve tersine pivot yapmak için kullanılabilecek çeşitli saldırılar.
|
||||||
|
|
||||||
- [**Local Cloud Credentials**](az-local-cloud-credentials.md): Bir PC ele geçirildiğinde buluta ait credentials'ın nerede bulunacağını.
|
- [**Exchange Hybrid Impersonation (ACS Actor Tokens)**](az-exchange-hybrid-impersonation.md): Exchange Hybrid actor-token iç yapısı, yamalanmış vs. hâlâ ilgili istismar yolları ve service-principal split migrations sonrası kalan riski nasıl değerlendireceğiniz.
|
||||||
|
|
||||||
- [**Pass the Certificate**](az-pass-the-certificate.md): PRT'ye dayalı bir cert oluşturarak bir makinadan diğerine login olmak için.
|
- [**Local Cloud Credentials**](az-local-cloud-credentials.md): Bir PC ele geçirildiğinde cloud'a ait kimlik bilgilerini nerede bulacağınız.
|
||||||
|
|
||||||
- [**Pass the Cookie**](az-pass-the-cookie.md): Tarayıcıdan Azure cookie'lerini çalıp bunları oturum açmak için kullanmak.
|
- [**Pass the Certificate**](az-pass-the-certificate.md): PRT bazlı bir sertifika üreterek bir makinadan diğerine giriş yapmak.
|
||||||
|
|
||||||
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT'nin ne olduğunu, nasıl çalınacağını ve kullanıcıyı taklit ederek Azure kaynaklarına erişmek için nasıl kullanılacağını.
|
- [**Pass the Cookie**](az-pass-the-cookie.md): Tarayıcıdan Azure cookie'lerini çalmak ve bunları giriş yapmak için kullanmak.
|
||||||
|
|
||||||
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication'ı kötüye kullanarak buluttan on-premises AD'ye ve tersine nasıl pivot yapılacağını.
|
- [**Primary Refresh Token/Pass the PRT/Phishing PRT**](az-primary-refresh-token-prt.md): PRT'nin ne olduğu, nasıl çalınacağı ve kullanıcıyı taklit ederek Azure kaynaklarına erişmek için nasıl kullanılacağı.
|
||||||
|
|
||||||
- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO'yu kötüye kullanarak on-prem'den buluta nasıl geçileceğini.
|
- [**PtA - Pass through Authentication**](az-pta-pass-through-authentication.md): Pass-through Authentication'ı kötüye kullanarak cloud'dan on-premises AD'ye ve tersine nasıl geçileceği.
|
||||||
|
|
||||||
- **Buluttan On-Prem'e pivot yapmanın başka bir yolu** [**abusing Intune**](../az-services/intune.md)
|
- [**Seamless SSO**](az-seamless-sso.md): Seamless SSO'yu kötüye kullanarak on-prem'den cloud'a nasıl geçileceği.
|
||||||
|
|
||||||
|
- **Another way to pivot from cloud to On-Prem is** [**abusing Intune**](../az-services/intune.md)
|
||||||
|
|
||||||
|
|
||||||
{{#include ../../../banners/hacktricks-training.md}}
|
{{#include ../../../banners/hacktricks-training.md}}
|
||||||
|
|||||||
@@ -0,0 +1,47 @@
|
|||||||
|
# Az - Exchange Hybrid Impersonation (ACS Actor Tokens)
|
||||||
|
|
||||||
|
{{#include ../../../banners/hacktricks-training.md}}
|
||||||
|
|
||||||
|
## Temel Bilgiler
|
||||||
|
|
||||||
|
Eski Exchange Hybrid tasarımlarında, on-prem Exchange dağıtımı Exchange Online tarafından kullanılan aynı Entra uygulama kimliği olarak kimlik doğrulaması yapabiliyordu. Bir saldırgan Exchange sunucusunu ele geçirip hybrid sertifika özel anahtarını çıkartır ve bir OAuth client-credentials flow gerçekleştirirse, Exchange Online ayrıcalık bağlamına sahip first-party tokens elde edebilirdi.
|
||||||
|
|
||||||
|
Pratik risk yalnızca posta kutusu erişimiyle sınırlı değildi. Exchange Online'ın geniş arka uç güven ilişkileri olduğu için bu kimlik ek Microsoft 365 hizmetleriyle etkileşime girebilir ve eski davranışlarda daha derin tenant ele geçirilmesinde kullanılabiliyordu.
|
||||||
|
|
||||||
|
## Saldırı Yolları ve Teknik Akış
|
||||||
|
|
||||||
|
### Exchange üzerinden federation yapılandırmasını değiştirme
|
||||||
|
|
||||||
|
Exchange token'ları tarihsel olarak domain/federasyon ayarlarını yazma izinlerine sahipti. Bir saldırgan bakış açısından bu, token-signing certificate listeleri ve on-prem federasyon altyapısından gelen MFA-claim kabulünü kontrol eden yapılandırma bayrakları dahil olmak üzere federated domain güven verilerinin doğrudan değiştirilmesine imkan veriyordu.
|
||||||
|
|
||||||
|
Bu, ele geçirilmiş bir Exchange Hybrid sunucusunun, saldırgan sadece on-prem Exchange'i ele geçirmiş olsa bile, federasyon yapılandırmasını bulut tarafından değiştirerek ADFS-style impersonation'ı sahnelemek veya güçlendirmek için kullanılabileceği anlamına gelir.
|
||||||
|
|
||||||
|
### ACS Actor Tokens and Service-to-Service Impersonation
|
||||||
|
|
||||||
|
Exchange'in hybrid auth yolu Access Control Service (ACS) actor token'larını `trustedfordelegation=true` ile kullanıyordu. Bu actor token'lar daha sonra hedef kullanıcı kimliğini saldırgan kontrollü bir bölümde taşıyan ikinci, imzasız bir service token'ın içine gömülüyordu. Dış token imzasız ve actor token geniş yetki devretmiş olduğundan, çağıran yeniden kimlik doğrulamaya gerek kalmadan hedef kullanıcıları değiştirebiliyordu.
|
||||||
|
|
||||||
|
Pratikte, actor token elde edildikten sonra saldırganın yaklaşık 24 saat süren ve ömrü ortasında iptal edilmesi zor olan uzun süreli bir impersonation primitive'i olurdu. Bu, Exchange Online ve SharePoint/OneDrive API'leri genelinde kullanıcı impersonation'ına ve yüksek değerli data exfiltration'a imkan veriyordu.
|
||||||
|
|
||||||
|
Tarihsel olarak aynı desen, kurbanın `netId` değeriyle bir impersonation token oluşturarak `graph.windows.net`'e karşı da çalışıyordu. Bu, rastgele kullanıcılar olarak doğrudan Entra yönetimsel işlemleri gerçekleştirilmesine ve tam tenant ele geçirme iş akışlarına imkan veriyordu (örneğin yeni bir Global Administrator hesabı oluşturmak).
|
||||||
|
|
||||||
|
## Artık Çalışmayanlar
|
||||||
|
|
||||||
|
`graph.windows.net` impersonation yolu Exchange Hybrid actor token'ları aracılığıyla düzeltilmiştir. Eski "Exchange'ten herhangi bir Entra admin'e Graph üzerinden" zinciri bu belirli token rotası için kaldırılmış sayılmalıdır.
|
||||||
|
|
||||||
|
Saldırıyı belgelendirirken bu en önemli düzeltmedir: Exchange/SharePoint impersonation riskini artık yamalanmış olan Graph impersonation yükseltmesinden ayrı tutun.
|
||||||
|
|
||||||
|
## Pratikte Hâlâ Önemli Olabilecekler
|
||||||
|
|
||||||
|
Bir organizasyon hâlâ paylaşılan trust içeren eski veya eksik bir hybrid yapılandırma ve açığa çıkmış sertifika materyali çalıştırıyorsa, Exchange/SharePoint impersonation etkisi ciddi kalabilir. Federasyon-yapılandırma kötüye kullanım açısı da tenant kurulumuna ve migration durumuna bağlı olarak hâlâ ilgili olabilir.
|
||||||
|
|
||||||
|
Microsoft'un uzun vadeli hafifletmesi, on-prem ve Exchange Online kimliklerini ayırmak ve böylece shared-service-principal trust yolunun artık mevcut olmamasını sağlamaktır. Bu migrasyonu tamamlayan ortamlar bu saldırı yüzeyini önemli ölçüde azaltır.
|
||||||
|
|
||||||
|
## Tespit Notları
|
||||||
|
|
||||||
|
Bu teknik kötüye kullanıldığında, audit olayları user principal name'in impersonate edilmiş bir kullanıcıya karşılık geldiği, ancak display/source bağlamının Exchange Online etkinliğine işaret ettiği kimlik uyumsuzlukları gösterebilir. Bu karışık kimlik paterni yüksek değerli bir hunting sinyalidir; ancak savunucular yanlış pozitifleri azaltmak için meşru Exchange-admin iş akışlarını bazeline almalıdır.
|
||||||
|
|
||||||
|
## References
|
||||||
|
|
||||||
|
- https://www.youtube.com/watch?v=rzfAutv6sB8
|
||||||
|
|
||||||
|
{{#include ../../../banners/hacktricks-training.md}}
|
||||||
Reference in New Issue
Block a user