hacktricks-cloud/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md

Az - Movimiento Lateral (Nube - Local)

Az - Movimiento Lateral (Nube - Local)

{{#include ../../../banners/hacktricks-training.md}}

Máquinas locales conectadas a la nube

Hay diferentes formas en que una máquina puede estar conectada a la nube:

Unida a Azure AD

Unida al lugar de trabajo

https://pbs.twimg.com/media/EQZv7UHXsAArdhn?format=jpg&name=large

Unida de forma híbrida

https://pbs.twimg.com/media/EQZv77jXkAAC4LK?format=jpg&name=large

Unida al lugar de trabajo en AADJ o híbrido

https://pbs.twimg.com/media/EQZv8qBX0AAMWuR?format=jpg&name=large

Tokens y limitaciones

En Azure AD, hay diferentes tipos de tokens con limitaciones específicas:

• Access tokens: Utilizados para acceder a APIs y recursos como Microsoft Graph. Están vinculados a un cliente y recurso específicos.
• Refresh tokens: Emitidos a aplicaciones para obtener nuevos access tokens. Solo pueden ser utilizados por la aplicación a la que fueron emitidos o un grupo de aplicaciones.
• Primary Refresh Tokens (PRT): Utilizados para el inicio de sesión único en dispositivos unidos a Azure AD, registrados o unidos de forma híbrida. Pueden ser utilizados en flujos de inicio de sesión en navegadores y para iniciar sesión en aplicaciones móviles y de escritorio en el dispositivo.
• Windows Hello for Business keys (WHFB): Utilizados para autenticación sin contraseña. Se utilizan para obtener Primary Refresh Tokens.

El tipo de token más interesante es el Primary Refresh Token (PRT).

{{#ref}} az-primary-refresh-token-prt.md {{#endref}}

Técnicas de Pivoting

Desde la máquina comprometida a la nube:

• Pass the Cookie: Robar cookies de Azure del navegador y usarlas para iniciar sesión
• Dump processes access tokens: Volcar la memoria de procesos locales sincronizados con la nube (como excel, Teams...) y encontrar access tokens en texto claro.
• Phishing Primary Refresh Token: Phishing del PRT para abusar de él
• Pass the PRT: Robar el PRT del dispositivo para acceder a Azure impersonándolo.
• Pass the Certificate: Generar un certificado basado en el PRT para iniciar sesión de una máquina a otra

Desde comprometer AD hasta comprometer la Nube y desde comprometer la Nube hasta comprometer AD:

• Azure AD Connect
• Otra forma de pivotar de la nube a local es abusar de Intune

Roadtx

Esta herramienta permite realizar varias acciones como registrar una máquina en Azure AD para obtener un PRT, y usar PRTs (legítimos o robados) para acceder a recursos de varias maneras diferentes. Estos no son ataques directos, pero facilitan el uso de PRTs para acceder a recursos de diferentes maneras. Encuentra más información en https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/

Referencias

• https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/

{{#include ../../../banners/hacktricks-training.md}}