الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

مدقق كلمة المرور Azure AD

في بيئة Azure AD، من الممكن تحديد ما إذا كان المستخدم قد تم تعطيل المصادقة متعددة العوامل (MFA) دون الحاجة إلى أي امتيازات خاصة. ويمكن تحقيق ذلك من خلال تحليل تاريخ إنشاء الحساب وتاريخ آخر تغيير لكلمة المرور.

إذا تطابق تاريخ ووقت إنشاء الحساب مع تاريخ ووقت آخر تغيير لكلمة المرور، فقد يشير ذلك إلى عدم حدوث أي تفاعل بشري منذ إنشاء الحساب، ولم يتمكن المستخدم من تمكين المصادقة متعددة العوامل (MFA) أو تغيير بياناته كلمة المرور. وهناك "حالات شاذة" أخرى مثل أن يكون تاريخ تغيير كلمة المرور أقدم من تاريخ الإنشاء. يشير هذا أيضًا إلى أنه لا يمكن تمكين المصادقة متعددة العوامل (MFA) لأن المستخدم لم يتم إنشاؤه بعد!

تحديث بتاريخ 16-10-2023:

  • ما هو احتمال قيام مستخدمين بتغيير كلمات المرور الخاصة بهما في نفس الوقت؟ يمكن اعتبار هذا شذوذًا آخر في MFA. سيتم تمييزه باللون الأزرق ويشار إليه بـ (مرات ظهوره)

تحديث بتاريخ 18-02-2024:

  • إخراج المستخدمين الشذوذ mfa إلى الملف
  • من الممكن تمكين المصادقة متعددة العوامل (MFA) دون الحاجة إلى تحديث كلمة المرور، من خلال مكالمة هاتفية أو رسالة نصية قصيرة. ومع ذلك، إذا لم يكن حساب المستخدم يحتوي على رقم هاتف مدرج، فلن يتمكن المسؤولون من تنشيط خيارات التحقق من الهاتف أو الرسائل النصية. ويعني هذا الإغفال أن المستخدمين غير قادرين على التحقق من رقم هاتفهم عند إنشاء الحساب أو أثناء تسجيل الدخول. يمكن أن يؤدي عدم التحقق من رقم الهاتف إلى تسهيل تحديد الحسابات التي لم يتم تكوين MFA فيها. لمعالجة هذه المشكلة، سيتم تمييز الحسابات التي لا تحتوي على رقم هاتف باللون الأزرق الفاتح والتعليق عليها بـ (أرقام الهواتف: x).
    راجع: الرسائل القصيرة أو المكالمات الهاتفية لـ Microsoft/Azure - أثناء عملية التسجيل أو تسجيل الدخول الأولى، يُطلب من المستخدم تقديم رقم هاتف والتحقق منه. أثناء عمليات تسجيل الدخول اللاحقة، يُطلب من المستخدم تحديد خيار إرسال الرمز أو الاتصال بي.

يمكن أن تكون هذه المعلومات مفيدة لتحديد المخاطر الأمنية المحتملة المصممة للاستخدام من قبل كل من الفرق الحمراء والزرقاء.

يلزم وجود ملف قاعدة بيانات roadrecon أو ملف JSON الذي تم استخراجه بمساعدة خيار --code-javascript لهذه الأداة. تم تطوير أداة Roadrecon بواسطة dirkjanm ويمكن تنزيلها على github https://github.com/dirkjanm/ROADtools أو pip install roadrecon .

كيفية الاستخدام انظر: 

 python3 azurepwchecker.py
usage: azurepwchecker.py [-h] [--roadrecon-dump] [--roadrecon-dump-mfa] [-d DB] [-m] [-l] [-ll] [-lll] [-la] [-lo]
                         [-ji JSON_INPUT] [-c]

Azure AD Password Checker - This is a parser for generated JSON file or the roadrecon database file designed for use by both red and blue teams. 
Database can be created when using --code-javascript option to extract 'merged_users.json' file with be created to later input this file with --json-input argument.
And roadrecon generated roadrecon.db file can be used! roadrecon is developed by https://github.com/dirkjanm credits to him!

options:
  -h, --help            show this help message and exit
  -d DB, --db DB        Specify the path to the 'roadrecon.db' database file, default is this location
  -m, --mfa-list        User Accounts without MFA (No privileged user required)! This argument helps identify user
                        accounts that have not enabled Multi-Factor Authentication (MFA). If an account's creation
                        date and time match its last password change date and time, it may indicate that no human
                        interaction has occurred since the account was created, and the user has not been able to
                        enable MFA or change their password. And there are other 'anomalies' such as the password
                        change date being older than the creation date. This suggests also that Multi-Factor
                        Authentication (MFA) couldn't be enabled because the User wasn't created yet! :-]
  -mo OUTFILE, --outfile OUTFILE
                        Output users with MFA anomalies to file
  -l, --pw-month        User accounts that had their passwords changed last month
  -ll, --pw-year        User accounts that had their passwords changed last year
  -lll, --pw-older      User accounts that haven't changed their passwords in a long time, oldest first
  -la, --admin          User accounts that are members of 'Admin' named groups, including 'Global Reader'
  -lo, --out-of-hours   User password change that occurred outside of office hours, specifically between 5:00 PM
                        (17:00) and 8:00 AM (08:00) on weekdays, as well as on Saturdays and Sundays
  -ji JSON_INPUT, --json-input JSON_INPUT
                        Provide the JSON file imported from your web browser's console using JavaScript. For
                        'createdDateTime' and 'lastPasswordChange' details, ensure you download the JSON output using
                        the '--code-javascript' option.
  -c, --code-javascript
                        Perform extraction even if 'azurepwchecker.py' or 'roadrecon' is unavailable. This script
                        enables extraction through the JavaScript console of a web browser. To proceed, ensure you
                        have a valid account to log in at https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants
                        /UserManagementMenuBlade/~/AllUsers or an active session on a computer. Copy and paste the
                        provided JavaScript code into the browser's console. Once the session is validated and you
                        have the necessary permissions, a JSON file named 'merged_users.json' will be generated. You
                        can then import it using the following command as example: 'azurepwchecker.py --json-input
                        merged_users.json -m'
  -v, --version         show program's version number and exit
  
run roadrecon first:
  (Run the following command to install the tool "pip install roadrecon)"

  --roadrecon-dump      "roadrecon dump" command or do it with roadrecon
  --roadrecon-dump-mfa  "roadrecon dump --mfa" command (requires privileged access) or do it with roadrecon

ليس لديك roadrecon > قم بإنشاء ونسخ ملف azurepwchecker.py --code-javascript أو js في المجلد:

اتبع هذه الخطوات لاسترداد قائمة المستخدمين مع معلومات حساباتهم باستخدام البرنامج النصي المقدم.

  1. تسجيل الدخول إلى بوابة أزور

    • انتقل إلى https://portal.azure.com وقم بتسجيل الدخول باستخدام حسابك الصالح.

  2. الوصول إلى إدارة المستخدم

    • انتقل إلى إدارة المستخدمين في بوابة Azure.

  3. افتح أدوات المطور

    • اضغط على F12 في متصفح الويب الخاص بك لفتح أدوات المطور.

  4. تنفيذ البرنامج النصي

    • انسخ والصق البرنامج النصي المقدم.

  5. استرداد قائمة المستخدمين ومعلومات المستخدم

    • سيقوم البرنامج النصي بجلب قائمة المستخدمين مع معلومات المستخدم بما في ذلك تاريخ الإنشاء وآخر تغيير لكلمة المرور.

  6. تنزيل معلومات المستخدم المدمجة

    • بمجرد اكتمال تنفيذ البرنامج النصي، تحقق من التنزيلات الخاصة بك. سيتم إنشاء ملف باسم merged_users.json إذا سارت الأمور بسلاسة.

  7. تشغيل على مدقق كلمة المرور Azure AD

    • azurepwchecker.py --json-input merged_users.json

انظر المثال:

code_javascript.mp4

انظر المقدمة:

azure_twitter.mp4

تحديث 16-10-2023:

double_lastpasswordchangedatetime

كيفية استخدام وسيطة --code-javascript لإنشاء قائمة بالمستخدمين على مدخل Azure، والتي يمكن بعد ذلك استيرادها باستخدام الأمر azurepwchecker.py --json-input merged_users.json :

تحديث 13-02-2024:

لقد قمت بتحميل نسخة معدلة من GraphRunner من @dafthack ونسبت إليه الفضل. لقد أضفت في هذه النسخة المعدلة ميزة جديدة تتيح لك قراءة ملفات HAR مباشرة من جهاز "الضحية". تساعد هذه الوظيفة الجديدة في فحص وفحص رموز الوصول للوصول إلى أذونات أو نطاقات مختلفة. بالإضافة إلى ذلك، إذا انتهت صلاحية رمز الوصول، فإن هذا الإصدار يسمح باستخدام رمز التحديث لإنشاء رمز وصول جديد. هذه العملية حساسة للوقت، ولكنها تلغي الحاجة إلى أسماء المستخدمين وكلمات المرور، إذا كنت قد قمت بالفعل بتسجيل الدخول إلى بيئة Office365، لأنها تتطلب فقط الرموز المميزة للجلسة الموجودة في ملفات HAR.

يرجى تفهم أن الكود قد يبدو غير منظم بعض الشيء. خبرتي ليست في المقام الأول في جافا سكريبت، لذلك كان تركيزي الأساسي على إضافة ميزات جديدة بدلاً من تنظيم التعليمات البرمجية.

  1. قم بتنزيل ملف (ملفات) HAR، ويمكنك استخدام أدوات التطوير المتوفرة في متصفحات الويب. بالنسبة لمعظم المتصفحات، ما عليك سوى الضغط على F12 لفتح أدوات التطوير، ثم انتقل إلى علامة التبويب "الشبكة" لحفظ ملفات HAR، بعد تحديث صفحة الويب: فيديو

  2. قم بتحميل ملف (ملفات) HAR الخاص بك عبر الواجهة المتوفرة. بمجرد التحميل، يمكنك التنقل عبر رموز الوصول المختلفة لتحليل تفاصيل الجلسة، بما في ذلك نطاقاتها والمزيد. تشير الرموز المميزة المعروضة باللون الأحمر إلى انتهاء صلاحيتها. يدعم GraphRunner أيضًا استخدام رموز التحديث لإنشاء رموز وصول جديدة وصالحة عند الضرورة: الفيديو

  3. تمت إضافة ميزات للسماح بتنزيل بيانات المستخدم الكاملة في ملف JSON، واكتشاف حالات الشذوذ في MFA في الحسابات، وتنزيل قائمة بهذه الحالات الشاذة: فيديو

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل