【密码喷洒攻防实战】MicrosoftEntraSSO功能的滥用与防御

IT阅读排行榜 2025-04-17 08:03

Microsoft Entra 无缝单一登录(Seamless Single Sign-On)是微软推出的一种高级身份验证和访问管理功能。通过无缝单一登录,用户在受支持的企业网络环境中登录过一次后,无须再次输入相关凭据,即可自动访问相关的云应用、SaaS 应用,并且无需任何其他本地组件。

Microsoft Entra 无缝单一登录使用 Windows 网络标准 Kerberos 协议来实现。在配置 Microsoft Entra Connect 以将本地 AD 与 Microsoft Entra ID 同步的过程中,可勾选启用单一登录来开启该功能,如图 1 所示。

图片

图 1 勾选“启用单一登录”

在此配置过程中,Microsoft Entra Connect 会在本地 Active Directory 中创建一个名为 AZUREADSSOACC 的机器账户,如图 2 所示。

图片

图 2 查看本地 AZUREADSSOACC 机器账户

并且,为该 AZUREADSSOACC 账户创建多个 Kerberos SPN,以在 Microsoft Entra ID 登录过程中使用,如图 3 所示。

图片

图 3 AZUREADSSOACC 账户 SPN

在默认情况下,会通过 usernamemixe 终结点 CURL 为 https://autologon.microsoftazuread-sso.com//winauth/trust/2005/usernamemixed,对开启无缝单一登录功能的计算机进行单因素身份验证,如图 4 所示。

图片

图 4 usernamemixed 终结点

如图 5 所示,如果用户输入的登录凭据无效,那么 Autologon 终结点将使用包含身份验证尝试的特定错误代码的 XML 文件来直接进行响应。

图片

图 5 包含特定错误代码的 XML 文件

常见的错误代码如表 1 所示。

表 1 常见错误代码

错误代码
错误代码描述
AADSTS50126
用户存在,但输入了错误的密码
AADSTS50056
用户存在,但在 Azure AD 中没有密码
AADSTS50076
用户凭据正确,开启 MFA
AADSTS50014
用户不存在
AADSTS50053
用户存在且输入了正确的用户名和密码,但账户被锁定

Autologon 终结点会针对用户输入的无效登录凭据直接返回特定的错误代码,这也就导致通过 Autologon 终结点进行的身份登录验证并不会被 Microsoft Entra ID 登录日志所记录。

攻击者可以利用此特性绕过安全措施,对 Microsoft Entra ID 账户实施密码喷洒攻击,而不会触发任何检测告警。

利用步骤

如果目标 Microsoft Entra ID 开启了无缝单一登录功能,则可以通过如下两种方式滥用 Microsoft Entra 的无缝单一登录功能,以对 Microsoft Entra ID 上的用户密码进行密码喷洒。

通过 aad_sprayer.py 滥用 Microsoft Entra ID 的无缝单一登录功能执行密码喷洒

1)首先,需要在本地安装并配置好相关 Python 环境,并通过如下命令来安装 requests 依赖:

  pip install requests

命令执行结果如图 6 所示。

图片

图 6 安装 requests 依赖

2)随后执行如下命令来查看可用的参数,具体执行结果如图 7 所示。

图片

图 7 查看可用参数

参数含义如表 2 所示。

  python .\azuread_autologon_brute.py -h

表 2 aad_sprayer.py 脚本参数含义

参数
参数含义
-d DOMAIN
指定要进行操作的目标的主要域,如 abc.
onmicrosoft.com

-u USERNAME
指定特定的用户名
-U USERFILE
指定一个存在的用户名字典,也就是通过用户枚举攻击获取 Azure AD 租户
-p PASSWORD
指定用于喷洒的 Azure AD 租户密码
-o OUTPUT
指定结果输出的文件,如不指定,则默认文件名为“BRUTE_OUTPUT.txt”
-v
在脚本运行时提供更详尽的信息
-t THREADS
指定线程数

3)通过执行如下命令来对 Microsoft Entra ID 租户进行喷洒密码攻击:

  python azuread_autologon_brute.py -d Domain -U users.txt -p S3U9t6n7

从执行结果可以看到,admin、mem、jason 用户的密码均为S3U9t6n7,如图 8 所示,且每个通过 aad_sprayer.py 脚本成功喷洒出密码的用户,在当前命令行都会获取其账户所使用的 DesktopSsoToken。

图片

图 8 密码喷洒结果

4)访问 Azure 门户地址—portal.azure.com,如图 9 所示,使用已喷洒出的密码,即可成功登录 Azure 管理控制台。

图片

图 9 通过已喷洒出的账号密码登录 Azure 管理控制台

通过 aad-sso-enum-brute-spray.ps1 滥用 Microsoft Entra ID 的无缝单一登录功能执行密码喷洒

使用 aad-sso-enum-brute-spray.ps1 脚本也可以滥用 Microsoft Entra ID 的无缝单一登录功能执行密码喷洒,使用命令如下:

  fore ach($linein Get-Content .\users.txt) {.\aad-sso-enum-brute-spray.ps1 $line
S3U9t6n7 |Out-File -FilePath .\results.txt -Append }

aad-sso-enum-brute-spray.ps1 脚本的执行结果如图 10 所示,可以看到已喷洒出的有效 Microsoft Entra ID 用户为 admin、adtest 和 mec。

图片

图 10 执行 aad-sso-enum-brute-spray.ps1 脚本的密码喷洒结果

如果在前期信息枚举阶段查询出目标 Microsoft Entra ID 没有配置身份验证以及密码保护的策略,则可通过如下 PowerShell 命令来对单个用户进行密码字典爆破:

  fore ach($linein Get-Content .\passwd.txt) {.\aad-sso-enum-brute-spray.ps1 
root@ad.xx.xx.cn $line }

如图 11 所示,可以看到已成功爆破出名为root@xxx.xx.cn的用户密码。

图片

图 11 利用 aad-sso-enum-brute-spray 脚本进行密码爆破

若想将上述爆破的输出结果导出成一个文件,则可执行如下命令来将爆破输出结果追加到当前目录下的 passwd-results.txt 中:

  fore ach($linein Get-Content .\passwd.txt) {.\aad-sso-enum-brute-spray.ps1 
root@ad.xx.xx.cn $line |Out-File -FilePath .\passwd-results.txt -Append}

执行结果如图 12 所示。

图片

图 12 将密码爆破结果导出到 passwd-results.txt

防御方法

Microsoft Entra ID 无缝单一登录的使用的协议存在一定的缺陷,可使恶意攻击者不断地暴力破解密码,且在 Microsoft Entra ID 默认目录下的租户日志上不会生成任何事件记录。

那么,对于防守方或者蓝队来讲,如何检测和防御基于 Microsoft Entra ID 无缝单一登录功能的密码喷洒攻击呢?

对此,有如下方法可以解决:

  1. 通过设置强密码策略来确保 Microsoft Entra ID 租户使用强密码。
  2. 在所有可能使用 Microsoft Entra ID 凭据的服务应用上启动 MFA,如图 13 所示。
  3. 监控 Microsoft Entra ID 登录日志,以监控异常用户的登录,如图 14 所示。
图片

图 13 启用 MFA

图片

图 14 通过 Microsoft Entra ID 登录日志来监控异常用户的登录行为




更多攻防实战请参考——

全面开展“本地+云”域攻防

构建坚不可摧的企业级安全防线



图片

作者:党超辉 贾晓璐 何佳欢


l微软全球MVP & 360安全专家强强联合撰写

l国家广播电视总局教授级高级工程师、360数字安全集团副总裁作序

l20余位安全技术专家/团队负责人/安全厂商创始人联袂推荐




目录



上拉下滑查看目录 ↓

Contents目  录

序一

序二

赞誉

前言

第1章 AD域及Microsoft Entra ID1

1.1 AD域基础1

1.1.1 核心概念1

1.1.2 组策略4

1.1.3 LDAP11

1.1.4 SPN15

1.1.5 Kerberos 22

1.2 Microsoft Entra ID基础25

1.2.1 核心概念25

1.2.2 Microsoft Entra内置角色28

第2章 AD域及Microsoft Entra ID分析29

2.1 AD域配置管理工具SCCM详解29

2.1.1 SCCM介绍29

2.1.2 利用SCCM进行信息枚举32

2.1.3 利用SCCM进行横向移动39

2.1.4 利用SCCM进行凭据窃取47

2.1.5 利用SCCMHunter进行SCCM分析61

2.1.6 利用MalSCCM进行SCCM分析65

2.1.7 利用SharpSCCM进行SCCM分析75

2.2 本地AD域分析91

2.2.1 利用BloodHound进行AD域分析91

2.2.2 利用AdFind进行AD域分析113

2.2.3 利用AD Explorer进行AD域分析125

2.2.4 利用SharpADWS进行AD域分析131

2.2.5 利用SOAPHound进行AD域分析140

2.3 Microsoft Entra ID分析146

2.3.1 Microsoft Entra ID分析工具AzureHound详解146

2.3.2 使用Azure AD PowerShell进行信息枚举167

2.3.3 使用Azure PowerShell进行信息枚举186

2.3.4 使用Azure CLI进行信息枚举195

第3章 获取AD域权限202

3.1 域用户密码策略202

3.1.1 常见密码策略202

3.1.2 获取密码策略的手段202

3.1.3 域用户密码策略解析204

3.1.4 查找被禁用用户204

3.2 利用Kerberos协议进行密码喷洒205

3.2.1 使用ADPwdSpray.py进行域密码喷洒205

3.2.2 利用dsacls进行密码喷洒206

3.2.3 检测利用Kerberos协议实施的密码喷洒206

3.3 Microsoft Entra ID密码喷洒207

3.3.1 Microsoft Entra ID密码策略207

3.3.2 通过MSOnline PowerShell获取密码策略207

3.3.3 使用MSOLSpray对Azure AD租户进行密码喷洒209

3.3.4 使用Go365对Microsoft 365用户进行密码喷洒210

3.3.5 防御Microsoft Entra ID密码喷洒212

3.4 利用LDAP破解账户密码215

3.4.1 使用DomainPasswordSpray通过LDAP进行密码喷洒215

3.4.2 域外Linux环境中通过LDAP爆破用户密码216

3.4.3 检测利用LDAP实施的密码爆破217

3.5 AS-REP Roasting离线密码破解218

3.5.1 错误配置导致AS-REP Roasting攻击218

3.5.2 检测AS-REP Roasting攻击221

3.5.3 防御AS-REP Roasting攻击221

3.6 Kerberoasting离线密码破解221

3.6.1 Kerberoasting攻击原理221

3.6.2 Kerberoasting攻击流程222

3.6.3 实验环境配置222

3.6.4 获取访问指定服务的票据223

3.6.5 转换不同格式的票据224

3.6.6 离线破解本地票据225

3.6.7 Kerberoasting后门226

3.6.8 Kerberoasting攻击的检测及防御227

3.7 FAST227

3.7.1 FAST配置227

3.7.2 绕过FAST保护230

3.7.3 未经预身份验证的Kerberoasting232

3.8 域环境中控制指定用户236

3.9 特殊机器账户:Windows 2000之前的计算机240

3.10 CVE-2020-1472(ZeroLogon)漏洞利用243

3.10.1 检测目标域控ZeroLogon漏洞244

3.10.2 域内Windows环境中使用Mimikatz执行ZeroLogon攻击244

3.10.3 域外执行ZeroLogon攻击245

3.10.4 恢复域控机器账户密码247

3.10.5 检测ZeroLogon攻击248

3.10.6 防御ZeroLogon攻击250

第4章 域信任 251

4.1 域信任基础251

4.1.1 域信任原理251

4.1.2 TDO252

4.1.3 GC252

4.2 多域与单域Kerberos认证的区别253

4.3 林内域信任中的Kerberos通信253

4.4 林间域信任中的Kerberos通信253

4.5 信任技术255

4.5.1 域信任类型256

4.5.2 域信任路径261

4.5.3 林内域信任攻击263

4.5.4 林间域信任攻击269

第5章 Kerberos域委派280

5.1 无约束委派281

5.1.1 无约束委派原理282

5.1.2 查询无约束委派283

5.1.3 配置无约束委派账户285

5.1.4 利用无约束委派和Spooler打印机服务获取域控权限287

5.1.5 防御无约束委派攻击291

5.2 约束委派291

5.3 基于资源的约束委派302

5.4 绕过委派限制325

5.4.1 手动添加SPN绕过委派限制325

5.4.2 CVE-2020-17049(Kerberos Bronze Bit)漏洞利用328

第6章 ACL后门332

6.1 在AD中滥用ACL/ACE332

6.2 利用GenericAll权限添加后门335

6.3 利用WriteProperty权限添加后门337

6.4 利用WriteDacl权限添加后门339

6.5 利用WriteOwner权限添加后门340

6.6 利用GenericWrite权限添加后门341

6.7 通过强制更改密码设置后门343

6.8 通过GPO错配设置后门344

6.9 SPN后门346

6.10 利用Exchange的ACL设置后门348

6.11 利用Shadow Admin账户设置后门349

第7章 AD CS攻防351

7.1 AD CS基础351

7.1.1 证书服务的应用场景和分类352

7.1.2 证书模板和注册352

7.1.3 获取CA信息357

7.2 AD CS的常用攻击与防御手法358

7.2.1 ESC1:配置错误的证书模板358

7.2.2 ESC2:配置错误的证书模板362

7.2.3 ESC3:错配证书请求代理模板363

7.2.4 ESC4:证书模板访问控制错配365

7.2.5 ESC6:利用EDITF_ATTRIB-UTESUBJECTALTNAME2获取权限371

7.2.6 ESC7:CA访问控制错配374

7.2.7 ESC8:利用PetitPotam触发NTLM Relay380

7.2.8 AD域权限提升387

7.2.9 利用CA机器证书申请伪造证书390

7.2.10 影子凭据攻击395

7.2.11 ESC9:无安全扩展406

7.2.12 ESC10:弱证书映射410

7.2.13 ESC11:RPC中继到AD CS416

第8章 Microsoft Entra ID攻防420

8.1 AD用户同步到Microsoft Entra ID420

8.1.1 创建Windows Server Active Directory环境420

8.1.2 在Microsoft Entra管理中心 创建混合标识管理员账户427

8.1.3 安装配置Microsoft Entra Connect430

8.2 防御Microsoft Entra无缝单一登录功能的滥用436

8.2.1 防御滥用Microsoft Entra无缝单一登录实施的密码喷洒436

8.2.2 防御滥用AZUREADSSOACC$账户实施的横向移动442

8.3 防御滥用AD DS连接器账户实施的DCSync攻击454

8.4 防御滥用Microsoft Entra连接器账户来重置密码466

8.5 防御滥用Microsoft Intune管理中心实施的横向移动473

8.6 防御滥用Azure内置Contributor角色实施的横向移动486



  • 本文来源:原创,图片来源:原创
  • 责任编辑:郑琳琳,部门领导:宁姗
  • 发布人:白钰

IT阅读排行榜 技术圈的风向标,有趣,有料,有货,有品又有用
评论 (0)
  • 在过去的很长一段时间里,外卖市场呈现出美团和饿了么双寡头垄断的局面。美团凭借先发优势、强大的地推团队以及精细化的运营策略,在市场份额上长期占据领先地位。数据显示,截至2024年上半年,美团外卖以68.2%的市场份额领跑外卖行业,成为当之无愧的行业老大。其业务广泛覆盖,从一线城市的繁华商圈到二三线城市的大街小巷,几乎无处不在,为无数消费者提供便捷的外卖服务。饿了么作为阿里本地生活服务的重要一环,依托阿里强大的资金和技术支持,也在市场中站稳脚跟,以25.4%的份额位居第二。尽管市场份额上与美团有一定
    用户1742991715177 2025-05-06 19:43 116浏览
  • 飞凌嵌入式作为龙芯合作伙伴,隆重推出FET-2K0300i-S全国产自主可控工业级核心板!FET-2K0300i-S核心板基于龙芯2K0300i工业级处理器开发设计,集成1个64位LA264处理器,主频1GHz,提供高效的计算能力;支持硬件ECC;2K0300i还具备丰富的连接接口USB、SDIO、UART、SPI、CAN-FD、Ethernet、ADC等一应俱全,龙芯2K0300i支持四路CAN-FD接口,具备良好的可靠性、实时性和灵活性,可满足用户多路CAN需求。除性价比超高的国产处理器外,
    飞凌嵌入式 2025-05-07 11:54 97浏览
  • 这款无线入耳式蓝牙耳机是长这个样子的,如下图。侧面特写,如下图。充电接口来个特写,用的是卡座卡在PCB板子上的,上下夹紧PCB的正负极,如下图。撬开耳机喇叭盖子,如下图。精致的喇叭(HY),如下图。喇叭是由电学产生声学的,具体结构如下图。电池包(AFS 451012  21 12),用黄色耐高温胶带进行包裹(安规需求),加强隔离绝缘的,如下图。451012是电池包的型号,聚合物锂电池+3.7V 35mAh,详细如下图。电路板是怎么拿出来的呢,剪断喇叭和电池包的连接线,底部抽出PCB板子
    liweicheng 2025-05-06 22:58 641浏览
  • 硅二极管温度传感器是一种基于硅半导体材料特性的测温装置,其核心原理是利用硅二极管的电学参数(如正向压降或电阻)随温度变化的特性实现温度检测。以下是其工作原理、技术特点及典型应用:一、工作原理1、‌PN结温度特性‌硅二极管由PN结构成,当温度变化时,其正向电压 VF与温度呈线性负相关关系。例如,温度每升高1℃,VF约下降2 mV。2、‌电压—温度关系‌通过jing确测量正向电压的微小变化,可推算出环境温度值。部分型号(如SI410)在宽温域内(如1.4 K至475 K)仍能保持高线性度。
    锦正茂科技 2025-05-09 13:52 261浏览
  • 二位半 5线数码管的驱动方法这个2位半的7段数码管只用5个管脚驱动。如果用常规的7段+共阳/阴则需要用10个管脚。如果把每个段看成独立的灯。5个管脚来点亮,任选其中一个作为COM端时,另外4条线可以单独各控制一个灯。所以实际上最多能驱动5*4 = 20个段。但是这里会有一个小问题。如果想点亮B1,可以让第3条线(P3)置高,P4 置低,其它阳极连P3的灯对应阴极P2 P1都应置高,此时会发现C1也会点亮。实际操作时,可以把COM端线P3设置为PP输出,其它线为OD输出。就可以单独控制了。实际的驱
    southcreek 2025-05-07 15:06 561浏览
  • 文/郭楚妤编辑/cc孙聪颖‍相较于一众措辞谨慎、毫无掌舵者个人风格的上市公司财报,利亚德的财报显得尤为另类。利亚德光电集团成立于1995年,是一家以LED显示、液晶显示产品设计、生产、销售及服务为主业的高新技术企业。自2016年年报起,无论业绩优劣,董事长李军每年都会在财报末尾附上一首七言打油诗,抒发其对公司当年业绩的感悟。从“三年翻番顺大势”“智能显示我第一”“披荆斩棘幸从容”等词句中,不难窥见李军的雄心壮志。2012年,利亚德(300296.SZ)在深交所创业板上市。成立以来,该公司在细分领
    华尔街科技眼 2025-05-07 19:25 448浏览
  • UNISOC Miracle Gaming奇迹手游引擎亮点:• 高帧稳帧:支持《王者荣耀》等主流手游90帧高画质模式,连续丢帧率最高降低85%;• 丝滑操控:游戏冷启动速度提升50%,《和平精英》开镜开枪操作延迟降低80%;• 极速网络:专属游戏网络引擎,使《王者荣耀》平均延迟降低80%;• 智感语音:与腾讯GVoice联合,弱网环境仍能保持清晰通话;• 超高画质:游戏画质增强、超级HDR画质、游戏超分技术,优化游戏视效。全球手游市场规模日益壮大,游戏玩家对极致体验的追求愈发苛刻。紫光展锐全新U
    紫光展锐 2025-05-07 17:07 345浏览
  • Matter协议是一个由Amazon Alexa、Apple HomeKit、Google Home和Samsung SmartThings等全球科技巨头与CSA联盟共同制定的开放性标准,它就像一份“共生契约”,能让原本相互独立的家居生态在应用层上握手共存,同时它并非另起炉灶,而是以IP(互联网协议)为基础框架,将不同通信协议下的家居设备统一到同一套“语义规则”之下。作为应用层上的互通标准,Matter协议正在重新定义智能家居行业的运行逻辑,它不仅能向下屏蔽家居设备制造商的生态和系统,让设备、平
    华普微HOPERF 2025-05-08 11:40 396浏览
  • 后摄像头是长这个样子,如下图。5孔(D-,D+,5V,12V,GND),说的是连接线的个数,如下图。4LED,+12V驱动4颗LED灯珠,给摄像头补光用的,如下图。打开后盖,发现里面有透明白胶(防水)和白色硬胶(固定),用合适的工具,清理其中的胶状物。BOT层,AN3860,Panasonic Semiconductor (松下电器)制造的,Cylinder Motor Driver IC for Video Camera,如下图。TOP层,感光芯片和广角聚焦镜头组合,如下图。感光芯片,看着是玻
    liweicheng 2025-05-07 23:55 468浏览
  • 温度传感器的工作原理依据其类型可分为以下几种主要形式:一、热电阻温度传感器利用金属或半导体材料的电阻值随温度变化的特性实现测温:l ‌金属热电阻‌(如铂电阻 Pt100、Pt1000):高温下电阻值呈线性增长,稳定性高,适用于工业精密测温。l ‌热敏电阻‌(NTC/PTC):NTC 热敏电阻阻值随温度升高而下降,PTC 则相反;灵敏度高但线性范围较窄,常用于电子设备温控。二、热电偶传感器基于‌塞贝克效应‌(Seebeck effect):两种不同
    锦正茂科技 2025-05-09 13:31 245浏览
  • 随着智能驾驶时代到来,汽车正转变为移动计算平台。车载AI技术对存储器提出新挑战:既要高性能,又需低功耗和车规级可靠性。贞光科技代理的紫光国芯车规级LPDDR4存储器,以其卓越性能成为国产芯片产业链中的关键一环,为智能汽车提供坚实的"记忆力"支持。作为官方授权代理商,贞光科技通过专业技术团队和完善供应链,让这款国产存储器更好地服务国内汽车厂商。本文将探讨车载AI算力需求现状及贞光科技如何通过紫光国芯LPDDR4产品满足市场需求。 车载AI算力需求激增的背景与挑战智能驾驶推动算力需求爆发式
    贞光科技 2025-05-07 16:54 230浏览
  • 文/Leon编辑/cc孙聪颖‍《中国家族企业传承研究报告》显示,超四成“企二代” 明确表达接班意愿,展现出对家族企业延续发展的主动担当。中国研究数据服务平台(CNRDS)提供的精准数据进一步佐证:截至 2022 年,已有至少 280 家上市家族企业完成权杖交接,其中八成新任掌门人为创始人之子,凸显家族企业代际传承中 “子承父业” 的主流模式。然而,对于“企二代” 而言,接棒掌舵绝非易事。在瞬息万变的商业环境中,他们既要在白热化的市场竞争中开拓创新、引领企业突破发展瓶颈,又需应对来自父辈管理层的经
    华尔街科技眼 2025-05-06 18:17 42浏览
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦