侦察：Azure云与Kevin Klingbile - 黑山信息安全公司

本网络研讨会最初发布于2024年9月26日。

在本视频中，黑山信息安全公司的Kevin Klingbile讨论了Azure云服务和M365的复杂性，重点介绍了渗透测试中未认证和认证侦察的区别。他详细演示了各种工具和技术，用于进行有效的侦察，包括用户名枚举、密码喷洒和令牌提取。Kevin还分享了关于设置Azure开发者订阅的实用见解，并强调了保持态势感知以增强安全状况的重要性。

主要内容

• DNS记录：侦察中的关键组成部分，用于Microsoft租户验证和电子邮件服务验证（SPF和MX记录）。
• 手动发现：利用静态基础URL访问各种存储账户，并通过Cloud Enum增强发现过程。
• 用户名枚举：探索Microsoft 365服务中的用户名枚举技术及其影响，包括手动方法和用户名列表策略。
• Cred Master：通过Fireprox使用AWS IP循环进行有效的用户名枚举和密码喷洒。
• 令牌生成：通过Find Me Access为Microsoft Graph API和Azure PowerShell生成令牌，包括JWT令牌化和权限细节。
• TeamFiltration工具：演示如何使用TeamFiltration工具在Windows上利用特定访问令牌外泄Outlook电子邮件。
• 认证侦察：使用0365 Recon和Azure Hound进行认证侦察，快速收集用户列表和Azure对象以进行安全审计。

详细内容

DNS记录分析

DNS记录在侦察中扮演重要角色，特别是通过SPF和MX记录验证Microsoft租户和电子邮件服务。注意避免误报，即使MX记录未显示mail.protection.outlook.com，邮件服务仍可能在租户中运行。

手动发现与Cloud Enum

Azure中的手动发现依赖于静态基础URL（如blob.core.windows.net），可以通过Cloud Enum工具自动化进行子域名暴力破解，发现存储账户和其他资源。

用户名枚举

Microsoft不认为用户名枚举是漏洞，但通过手动方法或工具（如OneDrive枚举、Teams枚举和Cred Master）可以有效枚举用户名。统计可能用户名列表（如John Smith TXT文件）可帮助发现额外用户名。

Cred Master与Fireprox

Cred Master利用Fireprox循环AWS IP地址进行用户名枚举和密码喷洒，避免触发智能锁定机制。但需注意在日志中可能留下AWS IP指纹。

令牌生成与利用

通过Find Me Access生成Microsoft Graph API和Azure PowerShell的JWT令牌，利用这些令牌可以访问特定资源。TeamFiltration工具可用于外泄电子邮件等数据。

MFA检查与绕过

通过Entra ID的登录日志和条件访问策略检查MFA使用情况。工具如MFA Sweep可帮助发现MFA绕过机会，并保存有效的访问令牌。

认证侦察工具

一旦获得凭证，可以使用工具如0365 Recon、Road Recon、Azure Hound和Graph Runner进行深入侦察，收集用户列表、组、设备等信息，并分析条件访问策略。

Scout Suite与Powersure

Scout Suite用于审计Azure订阅，生成详细报告；Powersure用于操作后任务，如转储凭证和运行手册。

实践与基准

通过Microsoft开发者计划获取免费开发者许可证，实践各项技术。参考CIS基准和其他框架审计和优化配置。

总结

态势感知是关键。运行这些工具 against 自身环境（获得权限后），了解他人可能看到的信息。确保正确执行MFA，并定期审计配置。通过实践和社区参与提升安全技能。