堆栈内存溢出
  繁体   English   中英

在 Azure AD 中重新创建恶意登录

[英]Recreating Malicious login in Azure AD

 原文  2023-01-29 11:26:04       azure/ security/ azure-active-directory/ ropc

问题描述

我们暴露了一个用户的凭据,一个威胁者利用它们成功地使用用户的凭据登录到 Azure CLI。 我们已经使用条件访问和我们的 MFA 解决了访问问题(不可否认这是一个漏洞)。 不过,我正在尝试重新创建攻击方法,但我似乎无法做到正确。 以下是恶意登录的活动详细信息:

Application
Microsoft Azure CLI
Application ID
04b07795-8ddb-461a-bbee-02f9e1bf7b46
Resource
Windows Azure Service Management API
Resource ID
797f4846-ba00-4fd7-ba43-dac1f8f63013
Resource tenant ID
LEft out
Home tenant ID
Left out 
Home tenant name
Client app
Mobile Apps and Desktop clients
Client credential type
None
Service principal ID
Service principal name
Resource service principal ID
d2b4c9e3-9a2a-4360-8ba4-6ece086335c5
Unique token identifier
Left Out
Token issuer type
Azure AD
Token issuer name
Incoming token type
None
Authentication Protocol
ROPC
Latency
90ms
Flagged for review
No
User agent

看起来他们使用了此处详述的ROPC https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth-ropc

我已经尝试通过 Azure CLI 直接模拟它,但它不会将“ROPC”作为身份验证报告回来。 所以他们肯定是通过 ROPC 调用的。 然后我尝试用我在 Postman 中的信用来模拟它,我在登录日志中得到与上面几乎相同的结果:

Application
Microsoft Azure CLI
Application ID
04b07795-8ddb-461a-bbee-02f9e1bf7b46
Resource
Microsoft Graph
Resource ID
00000003-0000-0000-c000-000000000000
Resource tenant ID
Left out
Home tenant ID
Left out
Home tenant name
Client app
Mobile Apps and Desktop clients
Client credential type
None
Service principal ID
Service principal name
Resource service principal ID
e10569b0-24e4-4495-9d9b-698b01290eae
Unique token identifier
Left out
Token issuer type
Azure AD
Token issuer name
Incoming token type
None
Authentication Protocol
ROPC
Latency
108ms
Flagged for review
No
User agent
PostmanRuntime/7.30.0

如您所见,它非常相似,但我的正在报告“Microsoft Graph”,而恶意条目报告 Windows Azure 服务管理 API。有人能指出我正确的方向吗?

1 个解决方案

解决方案1
 0  2023-01-31 09:24:43

Windows Azure 服务管理 API 指 Azure 资源管理 API。

我尝试检查登录日志,服务主体登录日志有 Windows Azure 服务管理 API 参考这里:-

在此处输入图像描述

注意 - 上面的登录日志是使用客户端凭据流程登录的服务主体。 您可以通过复制其应用程序 ID 并将其粘贴到 Azure AD 的应用程序注册页面或企业应用程序页面来找到该服务主体。

我尝试使用名为 Powershell 的服务主体通过 Postman 使用 ROPC Flow 登录到Azure

在此处输入图像描述

收到的访问令牌如下: -

在此处输入图像描述

称为图API

在此处输入图像描述

在与您类似的登录日志中获得 Microsoft Graph 资源:-

在此处输入图像描述

现在,我尝试调用Azure Resource management API从我的帐户中获取Azure 资源列表,并将资源设置为Windows Azure Service Management API ,如下所示:-

添加Azure服务管理API权限:

在此处输入图像描述

现在,我将 scope 更改为https://management.azure.com/default如下所示:

在此处输入图像描述

从上面的调用中获取访问令牌并运行下面的查询以获取资源列表:

在此处输入图像描述

当我现在检查登录日志时,它显示ROPC with Windows Azure Service Management API资源,如下所示:

在此处输入图像描述

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Azure AD自定义登录页面 Linux虚拟机需要Azure AD登录 是否可以自定义Azure AD登录报错信息? Azure AD B2C 社交账号登录 Azure 如果没有分配给没有用户分配的应用程序,则 AD 限制用户登录 是否可以通过 Azure AD 添加登录消息文本? React Azure AD登录后跳转到首页 Azure 广告登录重定向 url 是 http 而不是 https Azure 应用程序服务需要使用 Easy Auth 关闭每个浏览器时登录 Azure AD Azure AD 登录流程到 SPA 应用程序仅需要管理员批准才能首次登录
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM