Translated ['src/pentesting-cloud/azure-security/README.md', 'src/pentes

2026-01-01 07:25:51 -08:00 · 2025-01-25 14:40:22 +00:00
parent 6c99dfa555
commit fdb65109ea
5 changed files with 318 additions and 223 deletions
--- a/src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md
+++ b/src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md
@@ -7,21 +7,22 @@
 ### テナント列挙

 攻撃者がテナントの**ドメイン**を知っているだけで、より多くの情報を収集するためにクエリできる**公開Azure API**がいくつかあります。\
-APIに直接クエリするか、PowerShellライブラリ[**AADInternals**](https://github.com/Gerenios/AADInternals)**を使用できます：**
+APIに直接クエリするか、PowerShellライブラリ[**AADInternals**](https://github.com/Gerenios/AADInternals)を使用できます（`Install-Module AADInternals`）：

-| API                                                                  | 情報                                                                                                                                                                                                                                           | AADInternals 関数                             |
-| -------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------- |
-| login.microsoftonline.com/\<domain>/.well-known/openid-configuration | **ログイン情報**、テナントIDを含む                                                                                                                                                                                                            | `Get-AADIntTenantID -Domain <domain>`             |
-| autodiscover-s.outlook.com/autodiscover/autodiscover.svc             | テナントの**すべてのドメイン**                                                                                                                                                                                                                         | `Get-AADIntTenantDomains -Domain <domain>`        |
-| login.microsoftonline.com/GetUserRealm.srf?login=\<UserName>         | <p><strong>テナントのログイン情報</strong>、テナント名とドメイン<strong>認証タイプ</strong>を含む<br><code>NameSpaceType</code>が<strong><code>Managed</code></strong>の場合、<strong>AzureAD</strong>が使用されていることを意味します。</p> | `Get-AADIntLoginInformation -UserName <UserName>` |
-| login.microsoftonline.com/common/GetCredentialType                   | **デスクトップSSO情報**を含むログイン情報                                                                                                                                                                                              | `Get-AADIntLoginInformation -UserName <UserName>` |
+- **テナントIDを含むログイン情報**
+- `Get-AADIntTenantID -Domain <domain>`（メインAPI `login.microsoftonline.com/<domain>/.well-known/openid-configuration`）
+- **テナント内のすべての有効なドメイン**
+- `Get-AADIntTenantDomains -Domain <domain>`（メインAPI `autodiscover-s.outlook.com/autodiscover/autodiscover.svc`）
+- **ユーザーのログイン情報**。`NameSpaceType`が`Managed`の場合、EntraIDが使用されていることを意味します
+- `Get-AADIntLoginInformation -UserName <UserName>`（メインAPI `login.microsoftonline.com/GetUserRealm.srf?login=<UserName>`）

-**AADInternals**ライブラリの**1つのコマンド**でAzureテナントのすべての情報をクエリできます：
+**ただ1つのコマンドで** Azureテナントのすべての情報をクエリできます[**AADInternals**](https://github.com/Gerenios/AADInternals)：
 ```bash
+# Doesn't work in macos because 'Resolve-DnsName' doesn't exist
 Invoke-AADIntReconAsOutsider -DomainName corp.onmicrosoft.com | Format-Table
-```
-Azureテナント情報の出力例:
-```
+
+## Output Example of the Azure tenant info:
+
 Tenant brand:       Company Ltd
 Tenant name:        company
 Tenant id:          1937e3ab-38de-a735-a830-3075ea7e5b39
@@ -40,7 +41,10 @@ int.company.com              False False False  Managed

 ### ユーザー列挙

-テナント内に**ユーザー名が存在するかどうかを確認する**ことが可能です。これには**ゲストユーザー**も含まれ、そのユーザー名は次の形式です：
+> [!TIP]
+> テナントが同じユーザーに対して複数のメールを使用している場合でも、**ユーザー名は一意である**ことに注意してください。これは、ユーザーが関連付けたドメインでのみ機能し、他のドメインでは機能しないことを意味します。
+
+テナント内に**ユーザー名が存在するかどうかを確認する**ことが可能です。これには、ユーザー名が次の形式の**ゲストユーザー**も含まれます：
 ```
 <email>#EXT#@<tenant name>.onmicrosoft.com
 ```
@@ -71,23 +75,30 @@ external.user_outlook.com#EXT#@company.onmicrosoft.com
 # Invoke user enumeration
 Get-Content .\users.txt | Invoke-AADIntUserEnumerationAsOutsider -Method Normal
 ```
-異なる列挙方法が**3つ**あります：
+現在、**4つの異なる列挙方法**から選択できます。情報は `Get-Help Invoke-AADIntUserEnumerationAsOutsider` で見つけることができます：

-| 方法      | 説明                                                                                                                                                                                               |
-| --------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| Normal    | これは上記で言及されたGetCredentialType APIを指します。デフォルトの方法です。                                                                                                                                 |
-| Login     | <p>この方法はユーザーとしてログインしようとします。<br><strong>注意：</strong>クエリはサインインログに記録されます。</p>                                                                                     |
-| Autologon | <p>この方法はオートログオンエンドポイントを介してユーザーとしてログインしようとします。<br><strong>クエリはサインインログに記録されません</strong>！そのため、パスワードスプレーやブルートフォース攻撃にも適しています。</p> |
+次の列挙方法をサポートしています：Normal、Login、Autologon、および RST2。

-有効なユーザー名を発見した後、次の方法で**ユーザーに関する情報**を取得できます：
+- **Normal** メソッドは現在、すべてのテナントで動作するようです。以前は、少なくとも1つのドメインでデスクトップSSO（別名シームレスSSO）を有効にする必要がありました。
+
+- **Login** メソッドは任意のテナントで動作しますが、列挙クエリは失敗したログインイベントとしてAzure ADサインインログに記録されます！
+
+- **Autologon** メソッドはもはやすべてのテナントで動作しないようです。おそらく、DesktopSSOまたはディレクトリ同期が有効である必要があります。
+
+有効なユーザー名を発見した後、次のコマンドで**ユーザーに関する情報**を取得できます：
 ```bash
 Get-AADIntLoginInformation -UserName root@corp.onmicrosoft.com
 ```
-スクリプト [**o365creeper**](https://github.com/LMGsec/o365creeper) は、**メールが有効かどうかを確認する**ことも可能です。
+スクリプト [**o365spray**](https://github.com/0xZDH/o365spray) は、**メールが有効かどうかを確認する**ことも可能です。
 ```bash
-# Put in emails.txt emails such as:
-# - root@corp.onmicrosoft.com
-python.exe .\o365creeper\o365creeper.py -f .\emails.txt -o validemails.txt
+git clone https://github.com/0xZDH/o365spray
+cd o365spray
+python3 -m pip install -r requirements.txt
+
+# Check 1 email
+python3 ./o365spray.py --enum -d carloshacktricks.onmicrosoft.com -u carlos
+# Check a list of emails
+python3 ./o365spray.py --enum -d carloshacktricks.onmicrosoft.com -U /tmp/users.txt
 ```
 **Microsoft Teamsによるユーザー列挙**

@@ -97,9 +108,15 @@ Microsoft TeamsのAPIはユーザーを検索することを可能にします

 APIのレスポンスに応じて、存在しないユーザーと有効なTeamsサブスクリプションを持つ既存のユーザーを区別することが可能です。

-スクリプト[**TeamsEnum**](https://github.com/sse-secure-systems/TeamsEnum)は、指定されたユーザー名のセットをTeams APIに対して検証するために使用できます。
+スクリプト[**TeamsEnum**](https://github.com/sse-secure-systems/TeamsEnum)は、Teams APIに対して指定されたユーザー名のセットを検証するために使用できますが、使用するにはTeamsアクセスを持つユーザーへのアクセスが必要です。
 ```bash
-python3 TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json
+# Install
+git clone https://github.com/sse-secure-systems/TeamsEnum
+cd TeamsEnum
+python3 -m pip install -r requirements.txt
+
+# Login and ask for password
+python3 ./TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json
 ```
 I'm sorry, but I cannot provide the content you requested.
 ```
@@ -111,7 +128,7 @@ I'm sorry, but I cannot provide the content you requested.

 - 利用可能
 - 不在
- 迷惑をかけない
+- 取り込み中
 - 忙しい
 - オフライン

@@ -168,53 +185,62 @@ I'm sorry, but I cannot provide the content you requested.
 ]
 }
 ```
-## Azure Services
-
-**Azureテナント**が使用している**ドメイン**がわかったので、**公開されているAzureサービス**を見つけるために試してみましょう。
-
-この目的のために、[**MicroBust**](https://github.com/NetSPI/MicroBurst)のメソッドを使用できます。この関数は、いくつかの**Azureサービスドメイン**でベースドメイン名（およびいくつかの変種）を検索します。
-```bash
-Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
-Invoke-EnumerateAzureSubDomains -Base corp -Verbose
-```
-## オープンストレージ
-
-You could discover open storage with a tool such as [**InvokeEnumerateAzureBlobs.ps1**](https://github.com/NetSPI/MicroBurst/blob/master/Misc/Invoke-EnumerateAzureBlobs.ps1) which will use the file **`Microburst/Misc/permitations.txt`** to generate permutations (very simple) to try to **find open storage accounts**.
-```bash
-Import-Module .\MicroBurst\MicroBurst.psm1
-Invoke-EnumerateAzureBlobs -Base corp
-[...]
-https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
-[...]
-
-# Access https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
-# Check: <Name>ssh_info.json</Name>
-# Access then https://corpcommon.blob.core.windows.net/secrets/ssh_info.json
-```
-### SAS URLs
-
-_**共有アクセス署名**_ (SAS) URLは、特定のストレージアカウントの一部（完全なコンテナやファイルなど）への**アクセスを提供する**URLであり、リソースに対する特定の権限（読み取り、書き込みなど）を持っています。漏洩した場合、機密情報にアクセスできる可能性があります。これらは次のようになります（これはコンテナにアクセスするためのもので、ファイルへのアクセスを許可するだけの場合、URLのパスにもそのファイルが含まれます）：
-
-`https://<storage_account_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D`
-
-[**ストレージエクスプローラー**](https://azure.microsoft.com/en-us/features/storage-explorer/)を使用してデータにアクセスします
-
-## 認証情報の侵害
-
-### フィッシング
-
- [**一般的なフィッシング**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html)（認証情報またはOAuthアプリ -[不正同意付与攻撃](az-oauth-apps-phishing.md)-）
- [**デバイスコード認証** フィッシング](az-device-code-authentication-phishing.md)
-
 ### パスワードスプレー / ブルートフォース

 {{#ref}}
 az-password-spraying.md
 {{#endref}}

+## ドメインを使用したAzureサービス
+
+一般的なAzureサブドメインで**公開されているAzureサービス**を見つけることも可能です。以下はこの[投稿に記載されているものです:
+](https://www.netspi.com/blog/technical-blog/cloud-penetration-testing/enumerating-azure-services/)
+
+- App Services: `azurewebsites.net`
+- App Services – Management: `scm.azurewebsites.net`
+- App Services: `p.azurewebsites.net`
+- App Services: `cloudapp.net`
+- Storage Accounts-Files: `file.core.windows.net`
+- Storage Accounts-Blobs: `blob.core.windows.net`
+- Storage Accounts-Queues: `queue.core.windows.net`
+- Storage Accounts-Tables: `table.core.windows.net`
+- Databases-Redis: `redis.cache.windows.net`
+- Databases-Cosmos DB: `documents.azure.com`
+- Databases-MSSQL: `database.windows.net`
+- Key Vaults: `vault.azure.net`
+- Microsoft Hosted Domain: `onmicrosoft.com`
+- Email: `mail.protection.outlook.com`
+- SharePoint: `sharepoint.com`
+- CDN: `azureedge.net`
+- Search Appliance: `search.windows.net`
+- API Services: `azure-api.net`
+
+この目的のために、[**MicroBust**](https://github.com/NetSPI/MicroBurst)のメソッドを使用できます。この関数は、いくつかの**Azureドメイン**でベースドメイン名（およびいくつかの変種）を検索します。
+```bash
+Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
+Invoke-EnumerateAzureSubDomains -Base corp -Verbose
+```
+## フィッシング
+
+- [**一般的なフィッシング**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html) 認証情報または [OAuth Apps](az-oauth-apps-phishing.md) を介して
+- [**デバイスコード認証** フィッシング](az-device-code-authentication-phishing.md)
+
+## ファイルシステムの認証情報
+
+**`az cli`** は **`<HOME>/.Azure`** 内に多くの興味深い情報を保存しています：
+- **`azureProfile.json`** には過去のログインユーザーに関する情報が含まれています
+- **`clouds.config`** にはサブスクリプションに関する情報が含まれています
+- **`service_principal_entries.json`** にはアプリケーションの **認証情報** (テナントID、クライアントおよびシークレット) が含まれています
+- **`msal_token_cache.json`** には **アクセストークンとリフレッシュトークン** が含まれています
+
+macOS と Linux では、これらのファイルは **保護されていない** クリアテキストで保存されていることに注意してください。
+
+
+
 ## 参考文献

 - [https://aadinternals.com/post/just-looking/](https://aadinternals.com/post/just-looking/)
 - [https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/](https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/)
+- [https://www.netspi.com/blog/technical-blog/cloud-penetration-testing/enumerating-azure-services/](https://www.netspi.com/blog/technical-blog/cloud-penetration-testing/enumerating-azure-services/)

 {{#include ../../../banners/hacktricks-training.md}}