hacktricks-cloud/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem

Az - Lateral Movement (Cloud - On-Prem)

Az - Lateral Movement (Cloud - On-Prem)

{{#include ../../../banners/hacktricks-training.md}}

Macchine On-Prem collegate al cloud

Ci sono diversi modi in cui una macchina può essere collegata al cloud:

Azure AD joined

Workplace joined

https://pbs.twimg.com/media/EQZv7UHXsAArdhn?format=jpg&name=large

Hybrid joined

https://pbs.twimg.com/media/EQZv77jXkAAC4LK?format=jpg&name=large

Workplace joined su AADJ o Hybrid

https://pbs.twimg.com/media/EQZv8qBX0AAMWuR?format=jpg&name=large

Token e limitazioni

In Azure AD, ci sono diversi tipi di token con limitazioni specifiche:

• Access tokens: Utilizzati per accedere a API e risorse come Microsoft Graph. Sono legati a un client e a una risorsa specifici.
• Refresh tokens: Emessi alle applicazioni per ottenere nuovi access tokens. Possono essere utilizzati solo dall'applicazione a cui sono stati emessi o da un gruppo di applicazioni.
• Primary Refresh Tokens (PRT): Utilizzati per il Single Sign-On su dispositivi Azure AD joined, registrati o hybrid joined. Possono essere utilizzati nei flussi di accesso del browser e per accedere ad applicazioni mobili e desktop sul dispositivo.
• Windows Hello for Business keys (WHFB): Utilizzati per l'autenticazione senza password. Viene utilizzato per ottenere i Primary Refresh Tokens.

Il tipo di token più interessante è il Primary Refresh Token (PRT).

{{#ref}} az-primary-refresh-token-prt.md {{#endref}}

Tecniche di Pivoting

Dal dispositivo compromesso al cloud:

• Pass the Cookie: Rubare i cookie di Azure dal browser e usarli per accedere
• Dump processes access tokens: Dumpare la memoria dei processi locali sincronizzati con il cloud (come excel, Teams...) e trovare access tokens in chiaro.
• Phishing Primary Refresh Token: Phishing del PRT per abusarne
• Pass the PRT: Rubare il PRT del dispositivo per accedere ad Azure impersonandolo.
• Pass the Certificate: Generare un certificato basato sul PRT per accedere da una macchina a un'altra

Dalla compromissione di AD alla compromissione del Cloud e dalla compromissione del Cloud alla compromissione di AD:

• Azure AD Connect
• Un altro modo per pivotare dal cloud a On-Prem è abusing Intune

Roadtx

Questo strumento consente di eseguire diverse azioni come registrare una macchina in Azure AD per ottenere un PRT e utilizzare PRT (legittimi o rubati) per accedere a risorse in vari modi. Questi non sono attacchi diretti, ma facilitano l'uso dei PRT per accedere a risorse in modi diversi. Trova ulteriori informazioni in https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Riferimenti

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

{{#include ../../../banners/hacktricks-training.md}}