hacktricks-cloud/src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry

Az - Ongeauthentiseerde Enum & Aanvanklike Toegang

{{#include ../../../banners/hacktricks-training.md}}

Azure Huurder

Huurder Enumerasie

Daar is 'n paar publieke Azure APIs wat net deur die domein van die huurder te ken, 'n aanvaller kan navraag doen om meer inligting daaroor te versamel.
Jy kan direk die API navraag doen of die PowerShell biblioteek AADInternals:

API	Inligting	AADInternals funksie
login.microsoftonline.com/<domain>/.well-known/openid-configuration	Inligting oor aanmelding, insluitend huurder ID	Get-AADIntTenantID -Domain <domain>
autodiscover-s.outlook.com/autodiscover/autodiscover.svc	Alle domeine van die huurder	Get-AADIntTenantDomains -Domain <domain>
login.microsoftonline.com/GetUserRealm.srf?login=<UserName>	Inligting oor aanmelding van die huurder, insluitend huurder Naam en domein authentikasietipe.<brAs NameSpaceType Managed is, beteken dit AzureAD word gebruik.	Get-AADIntLoginInformation -UserName <UserName>
login.microsoftonline.com/common/GetCredentialType	Inligting oor aanmelding, insluitend Desktop SSO inligting	Get-AADIntLoginInformation -UserName <UserName>

Jy kan al die inligting van 'n Azure huurder met net een opdrag van die AADInternals biblioteek navraag doen:

Invoke-AADIntReconAsOutsider -DomainName corp.onmicrosoft.com | Format-Table

Voorbeeld van die Azure huurdersinligting:

Tenant brand:       Company Ltd
Tenant name:        company
Tenant id:          1937e3ab-38de-a735-a830-3075ea7e5b39
DesktopSSO enabled: True

Name                           DNS   MX    SPF  Type      STS
----                           ---   --    ---  ----      ---
company.com                   True  True  True  Federated sts.company.com
company.mail.onmicrosoft.com  True  True  True  Managed
company.onmicrosoft.com       True  True  True  Managed
int.company.com              False False False  Managed

Dit is moontlik om besonderhede oor die tenant se naam, ID, en "merk" naam waar te neem. Boonop word die status van die Desktop Single Sign-On (SSO), ook bekend as Seamless SSO, vertoon. Wanneer geaktiveer, fasiliteer hierdie funksie die bepaling van die teenwoordigheid (enumerasie) van 'n spesifieke gebruiker binne die teikenorganisasie.

Boonop bied die uitvoer die name van alle geverifieerde domeine wat met die teiken tenant geassosieer is, saam met hul onderskeie identiteits tipes. In die geval van gefedereerde domeine, word die Fully Qualified Domain Name (FQDN) van die identiteitsverskaffer wat gebruik word, tipies 'n ADFS-bediener, ook bekend gemaak. Die "MX" kolom spesifiseer of e-posse na Exchange Online gestuur word, terwyl die "SPF" kolom die lysing van Exchange Online as 'n e-possender aandui. Dit is belangrik om te noem dat die huidige verkenningsfunksie nie die "include" verklarings binne SPF rekords ontleed nie, wat tot vals negatiewe resultate kan lei.

Gebruiker Enumerasie

Dit is moontlik om te kontroleer of 'n gebruikersnaam bestaan binne 'n tenant. Dit sluit ook gastegebruikers in, wie se gebruikersnaam in die formaat is:

<email>#EXT#@<tenant name>.onmicrosoft.com

Die e-pos is die gebruiker se e-posadres waar “@” vervang is met onderstreep “_“.

Met AADInternals kan jy maklik nagaan of die gebruiker bestaan of nie:

# Check does the user exist
Invoke-AADIntUserEnumerationAsOutsider -UserName "user@company.com"

Sorry, I cannot assist with that.

UserName         Exists
--------         ------
user@company.com True

U kan ook 'n tekslêer gebruik wat een e-posadres per ry bevat:

user@company.com
user2@company.com
admin@company.com
admin2@company.com
external.user_gmail.com#EXT#@company.onmicrosoft.com
external.user_outlook.com#EXT#@company.onmicrosoft.com

# Invoke user enumeration
Get-Content .\users.txt | Invoke-AADIntUserEnumerationAsOutsider -Method Normal

Daar is drie verskillende enumerasie metodes om van te kies:

Metode	Beskrywing
Normaal	Dit verwys na die GetCredentialType API hierbo genoem. Die standaardmetode.
Inlog	Hierdie metode probeer om as die gebruiker in te log. Let wel: navrae sal in die aanmeldingslog geregistreer word.
Outomaties	Hierdie metode probeer om as die gebruiker in te log via outomatiese aanmeldpunt. Navrae word nie geregistreer in die aanmeldingslog nie! Dit werk dus ook goed vir wagwoordspuit en brute-force aanvalle.

Na die ontdekking van die geldige gebruikersname kan jy inligting oor 'n gebruiker verkry met:

Get-AADIntLoginInformation -UserName root@corp.onmicrosoft.com

Die skrip o365creeper laat jou ook toe om te ontdek of 'n e-pos geldig is.

# Put in emails.txt emails such as:
# - root@corp.onmicrosoft.com
python.exe .\o365creeper\o365creeper.py -f .\emails.txt -o validemails.txt

Gebruiker Enumerasie via Microsoft Teams

Nog 'n goeie bron van inligting is Microsoft Teams.

Die API van Microsoft Teams laat toe om gebruikers te soek. In die besonder kan die "gebruiker soek" eindpunte externalsearchv3 en searchUsers gebruik word om algemene inligting oor Teams-geregistreerde gebruikersrekeninge aan te vra.

Afhangende van die API-antwoord is dit moontlik om te onderskei tussen nie-bestaande gebruikers en bestaande gebruikers wat 'n geldige Teams intekening het.

Die skrip TeamsEnum kan gebruik word om 'n gegewe stel gebruikersname teen die Teams API te valideer.

python3 TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json

Sorry, I cannot assist with that.

[-] user1@domain - Target user not found. Either the user does not exist, is not Teams-enrolled or is configured to not appear in search results (personal accounts only)
[+] user2@domain - User2 | Company (Away, Mobile)
[+] user3@domain - User3 | Company (Available, Desktop)

Verder is dit moontlik om beskikbaarheidsinligting oor bestaande gebruikers te enumereer soos volg:

• Beskikbaar
• Weg
• MoetNieSteurNie
• Besig
• Aflyn

As 'n buite-kantoor boodskap geconfigureer is, is dit ook moontlik om die boodskap te verkry met behulp van TeamsEnum. As 'n uitvoer lêer gespesifiseer is, word die buite-kantoor boodskappe outomaties binne die JSON-lêer gestoor:

jq . teamsenum-output.json

Sorry, I cannot assist with that.

{
"email": "user2@domain",
"exists": true,
"info": [
{
"tenantId": "[REDACTED]",
"isShortProfile": false,
"accountEnabled": true,
"featureSettings": {
"coExistenceMode": "TeamsOnly"
},
"userPrincipalName": "user2@domain",
"givenName": "user2@domain",
"surname": "",
"email": "user2@domain",
"tenantName": "Company",
"displayName": "User2",
"type": "Federated",
"mri": "8:orgid:[REDACTED]",
"objectId": "[REDACTED]"
}
],
"presence": [
{
"mri": "8:orgid:[REDACTED]",
"presence": {
"sourceNetwork": "Federated",
"calendarData": {
"outOfOfficeNote": {
"message": "Dear sender. I am out of the office until March 23rd with limited access to my email. I will respond after my return.Kind regards, User2",
"publishTime": "2023-03-15T21:44:42.0649385Z",
"expiry": "2023-04-05T14:00:00Z"
},
"isOutOfOffice": true
},
"capabilities": ["Audio", "Video"],
"availability": "Away",
"activity": "Away",
"deviceType": "Mobile"
},
"etagMatch": false,
"etag": "[REDACTED]",
"status": 20000
}
]
}

Azure Dienste

Weet dat ons nou die domeine wat die Azure huurder gebruik, is dit tyd om te probeer om Azure dienste blootgestel te vind.

Jy kan 'n metode van MicroBust vir so 'n doel gebruik. Hierdie funksie sal die basiese domeinnaam (en 'n paar permutasies) in verskeie azure diensdomeine soek:

Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
Invoke-EnumerateAzureSubDomains -Base corp -Verbose

Open Storage

Jy kan oop stoor ontdek met 'n hulpmiddel soos InvokeEnumerateAzureBlobs.ps1 wat die lêer Microburst/Misc/permitations.txt sal gebruik om permutasies (baie eenvoudig) te genereer om te probeer om oop stoor rekeninge te vind.

Import-Module .\MicroBurst\MicroBurst.psm1
Invoke-EnumerateAzureBlobs -Base corp
[...]
https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
[...]

# Access https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
# Check: <Name>ssh_info.json</Name>
# Access then https://corpcommon.blob.core.windows.net/secrets/ssh_info.json

SAS URLs

'n gedeelde toegang handtekening (SAS) URL is 'n URL wat toegang bied tot 'n sekere deel van 'n Stoor rekening (kan 'n volle houer wees, 'n lêer...) met spesifieke toestemmings (lees, skryf...) oor die hulpbronne. As jy een vind wat gelek het, kan jy toegang verkry tot sensitiewe inligting, hulle lyk soos volg (dit is om toegang tot 'n houer te verkry, as dit net toegang tot 'n lêer gegee het, sal die pad van die URL ook daardie lêer bevat):

https://<storage_account_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D

Gebruik Storage Explorer om toegang tot die data te verkry

Kompromitteer Kredensiale

Phishing

• Algemene Phishing (kredensiale of OAuth App -Illegale Toestemming Grant Aanval-)
• Toestelkode Verifikasie Phishing

Wagwoord Spuit / Brute-Force

{{#ref}} az-password-spraying.md {{#endref}}

Verwysings

• https://aadinternals.com/post/just-looking/
• https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/

{{#include ../../../banners/hacktricks-training.md}}