Access tokens: Zinatumika kupata APIs na rasilimali kama Microsoft Graph. Zimefungwa kwa mteja maalum na rasilimali.
Refresh tokens: Zinatolewa kwa programu ili kupata access tokens mpya. Zinapaswa kutumiwa tu na programu ambazo zilitolewa au kundi la programu.
Primary Refresh Tokens (PRT): Zinatumika kwa Usajili wa Moja kwa Moja kwenye vifaa vilivyojiunga na Azure AD, vilivyosajiliwa, au vilivyojiunga kwa njia ya mchanganyiko. Zinatumika katika michakato ya kuingia kwenye kivinjari na kwa kuingia kwenye programu za simu na kompyuta kwenye kifaa.
Windows Hello for Business keys (WHFB): Zinatumika kwa uthibitisho bila nywila. Zinatumika kupata Primary Refresh Tokens.

Aina ya kipekee ya token ni Primary Refresh Token (PRT).

{{#ref}} az-primary-refresh-token-prt.md {{#endref}}

Mbinu za Pivoting

Kutoka kwenye mashine iliyovunjwa hadi wingu:

Pass the Cookie: Nyakua cookies za Azure kutoka kwenye kivinjari na uzitumie kuingia
Dump processes access tokens: Dump kumbukumbu za michakato ya ndani iliyosawazishwa na wingu (kama excel, Teams...) na pata access tokens kwa maandiko wazi.
Phishing Primary Refresh Token: Phish PRT ili kuikandamiza
Pass the PRT: Nyakua PRT ya kifaa ili kupata Azure kwa kujifanya kuwa hicho kifaa.
Pass the Certificate: Tengeneza cheti kulingana na PRT ili kuingia kutoka mashine moja hadi nyingine

Kutoka kwenye kuathiri AD hadi kuathiri Wingu na kutoka kwenye kuathiri Wingu hadi kuathiri AD:

Azure AD Connect
Njia nyingine ya pivot kutoka wingu hadi On-Prem ni kuabudu Intune

Zana hii inaruhusu kufanya vitendo kadhaa kama kujiandikisha mashine katika Azure AD ili kupata PRT, na kutumia PRTs (halali au zilizonyakuliwa) kupata rasilimali kwa njia tofauti. Hizi si mashambulizi ya moja kwa moja, lakini inarahisisha matumizi ya PRTs kupata rasilimali kwa njia tofauti. Pata maelezo zaidi katika https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Marejeleo

https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

README.md

Az - Lateral Movement (Cloud - On-Prem)