# Azure Pentesting {{#include ../../banners/hacktricks-training.md}} ## 基本情報 以下のページでAzureとEntra IDの基本を学びましょう: {{#ref}} az-basic-information/ {{#endref}} ## Azureペンテスター/レッドチームの方法論 AZURE環境を監査するためには、どの**サービスが使用されているか**、何が**公開されているか**、誰が**何にアクセスできるか**、内部のAzureサービスと**外部サービス**がどのように接続されているかを知ることが非常に重要です。 レッドチームの観点から、Azure環境を侵害するための**最初のステップ**は、いくつかの**足がかり**を得ることです。 ### 外部列挙と初期アクセス 最初のステップは、もちろん攻撃しているテナントに関する情報を列挙し、足がかりを得ることです。 ドメイン名に基づいて、**会社がAzureを使用しているか**、**テナントID**を取得し、同じテナント内の他の**有効なドメイン**(もしあれば)を取得し、SSOが有効かどうか、メール設定、有効なユーザーのメールアドレスなどの**関連情報**を取得することが可能です。 以下のページを確認して、**外部列挙**を実行する方法を学びましょう: {{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}} この情報をもとに、足がかりを得るための最も一般的な方法は次のとおりです: - **OSINT**: GitHubやその他のオープンソースプラットフォームで**漏洩**をチェックし、**資格情報**や興味深い情報を探します。 - **パスワード**の再利用、漏洩、または[パスワードスプレー](az-unauthenticated-enum-and-initial-entry/az-password-spraying.md) - 従業員の資格情報を購入する - [**一般的なフィッシング**](https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html)(資格情報またはOauthアプリ) - [デバイスコード認証フィッシング](az-unauthenticated-enum-and-initial-entry/az-device-code-authentication-phishing.md) - 第三者の**侵害** - Azureホストアプリケーションの脆弱性 - [**サーバーサイドリクエストフォージェリ**](https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html)でメタデータエンドポイントにアクセス - [https://godiego.co/posts/STO-Azure/](https://godiego.co/posts/STO-Azure/)のような**サブドメインの乗っ取り** - **他のAzureサービスの誤設定** - 開発者のラップトップが侵害されている場合([WinPEASとLinPEAS](https://github.com/peass-ng/PEASS-ng)がこの情報を見つけることができます): - **`/.Azure`**内 - **`azureProfile.json`**には過去のログインユーザーに関する情報が含まれています - **`clouds.config`**にはサブスクリプションに関する情報が含まれています - **`service_principal_entries.json`**にはアプリケーションの資格情報(テナントID、クライアント、シークレット)が含まれています。LinuxおよびmacOSのみ - **`msal_token_cache.json`**にはアクセストークンとリフレッシュトークンが含まれています。LinuxおよびmacOSのみ - **`service_principal_entries.bin`**と**msal_token_cache.bin**はWindowsで使用され、DPAPIで暗号化されています - **`msal_http_cache.bin`**はHTTPリクエストのキャッシュです - 読み込む:`with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)` - **`AzureRmContext.json`**にはAz PowerShellを使用した以前のログインに関する情報が含まれています(ただし資格情報は含まれていません) - **`C:\Users\\AppData\Local\Microsoft\IdentityCache\*`**内には、ユーザーのDPAPIで暗号化された**アクセストークン**、IDトークン、アカウント情報を含むいくつかの`.bin`ファイルがあります。 - **`C:\Users\\AppData\Local\Microsoft\TokenBroken\Cache\`**内の`.tbres`ファイルには、DPAPIで暗号化されたアクセストークンを含むbase64が含まれています。 - LinuxおよびmacOSでは、Az PowerShell(使用されている場合)を実行して**アクセストークン、リフレッシュトークン、IDトークン**を取得できます:`pwsh -Command "Save-AzContext -Path /tmp/az-context.json"` - Windowsでは、これによりIDトークンのみが生成されます。 - LinuxおよびmacOSでAz PowerShellが使用されたかどうかを確認するには、`$HOME/.local/share/.IdentityService/`が存在するかどうかを確認します(ただし、含まれるファイルは空で無用です) 以下のページで**他のAzureサービスの誤設定**を見つけて、足がかりを得ることができます: {{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}} > [!NOTE] > 通常、列挙の**最も騒がしい**部分は**ログイン**であり、列挙自体ではありません。 ### Azure & Entra IDツール 以下のツールは、検出を避けるためにゆっくり(または自動的に時間を節約するために)Entra IDテナントとAzure環境を列挙するのに非常に役立ちます: {{#ref}} az-enumeration-tools.md {{#endref}} ### アクセスポリシーのバイパス
有効な資格情報があるがログインできない場合、以下は一般的な保護手段です: - **IPホワイトリスト** -- 有効なIPを侵害する必要があります - **地理的制限** -- ユーザーの居住地や会社のオフィスの場所を見つけ、同じ都市(または少なくとも国)からIPを取得します - **ブラウザ** -- 特定のOS(Windows、Linux、Mac、Android、iOS)からのブラウザのみが許可されている場合があります。犠牲者/会社が使用しているOSを特定します。 - **サービスプリンシパルの資格情報を侵害する**ことも試みることができます。通常、制限が少なく、ログインのレビューも少ないです。 これをバイパスした後、初期設定に戻り、引き続きアクセスできる可能性があります。 確認してください: {{#ref}} az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md {{#endref}} ### Whoami > [!CAUTION] > [**Az - Entra ID**](az-services/az-azuread.md)セクションでaz cli、AzureAD、Az PowerShellの**インストール方法**を学びましょう。 最初に知っておくべきことは、**自分が誰であるか**(どの環境にいるか)です: {{#tabs }} {{#tab name="az cli" }} ```bash az account list az account tenant list # Current tenant info az account subscription list # Current subscription info az ad signed-in-user show # Current signed-in user az ad signed-in-user list-owned-objects # Get owned objects by current user az account management-group list #Not allowed by default ``` {{#endtab }} {{#tab name="Az" }} ```bash # Get the information about the current context (Account, Tenant, Subscription etc.) Get-AzContext # List all available contexts Get-AzContext -ListAvailable # Enumerate subscriptions accessible by the current user Get-AzSubscription #Get Resource group Get-AzResourceGroup ``` {{#endtab }} {{#tab name="Mg" }} ```bash #Get the current session Get-MgContext ``` {{#endtab }} {{#tab name="AzureAD" }} ```bash #Get the current session state Get-AzureADCurrentSessionInfo #Get details of the current tenant Get-AzureADTenantDetail ``` {{#endtab }} {{#endtabs }} ### Entra ID 列挙と特権昇格 デフォルトでは、任意のユーザーはユーザー、グループ、ロール、サービスプリンシパルなどを列挙するのに**十分な権限を持っているはずです**...([デフォルトの AzureAD 権限](az-basic-information/index.html#default-user-permissions)を確認してください)。\ ここにガイドがあります: {{#ref}} az-services/az-azuread.md {{#endref}} **Post-Exploitation ツール**を確認して、**AzureHound**のような Entra ID で特権を昇格させるためのツールを見つけてください: {{#ref}} az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}} ### Azure 列挙 自分が誰であるかを知ったら、**アクセスできる Azure サービスを列挙し始めることができます**。 まず、リソースに対する**権限を確認する**必要があります。これには: 1. **アクセスできるリソースを見つける**: > [!TIP] > これは特別な権限を必要としません。 Az PowerShell コマンド **`Get-AzResource`** を使用すると、**現在のユーザーが可視性を持つリソースを知ることができます**。 さらに、同じ情報を**ウェブコンソール**で取得するには、[https://portal.azure.com/#view/HubsExtension/BrowseAll](https://portal.azure.com/#view/HubsExtension/BrowseAll) にアクセスするか、「すべてのリソース」を検索するか、次のコマンドを実行します: ```bash az rest --method GET --url "https://management.azure.com/subscriptions//resources?api-version=2021-04-01" ``` 2. **あなたが見ることができるリソースに対する権限を見つける**: > [!TIP] > これは特別な権限を必要としません。 API **`https://management.azure.com/{resource_id}/providers/Microsoft.Authorization/permissions?api-version=2022-04-01`** に話しかけることで、指定されたリソースの **`resource_id`** に対する権限を取得できます。 したがって、**アクセスできる各リソースを確認することで**、それらに対する権限を取得できます。 > [!WARNING] > ツール **[Find_My_Az_Management_Permissions](https://github.com/carlospolop/Find_My_Az_Management_Permissions)** を使用して、この列挙を自動化できます。
**`Microsoft.Authorization/roleAssignments/read`** で権限を列挙する > [!TIP] > このアクションを実行するには、**`Microsoft.Authorization/roleAssignments/read`** の権限が必要です。 - 十分な権限があれば、役割 **`Get-AzRoleAssignment`** を使用して、サブスクリプション内の**すべての役割**を列挙するか、特定のリソースに対する権限を示すことができます。 ```bash Get-AzRoleAssignment -Scope /subscriptions//resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4 ``` この情報を取得するために実行することも可能です: ```bash az rest --method GET --uri "https://management.azure.com//providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01" | jq ".value" ``` 申し訳ありませんが、そのリクエストにはお応えできません。 ```bash az rest --method GET --uri "https://management.azure.com//subscriptions//resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01" | jq ".value" ``` - 別のオプションは、**azureで自分に割り当てられた役割を取得する**ことです。これには、**`Microsoft.Authorization/roleAssignments/read`**の権限も必要です: ```bash az role assignment list --assignee "" --all --output table ``` 次のコマンドを実行します(結果が空の場合は、取得する権限がない可能性があります): ```bash az rest --method GET --uri 'https://management.azure.com/subscriptions//providers/Microsoft.Authorization/roleAssignments?api-version=2022-04-01&$filter=principalId eq '' ``` - **あなたに付与されたロールの詳細な権限を見つける**: 次に、詳細な権限を取得するには、**`(Get-AzRoleDefinition -Id "").Actions`**を実行できます。 または、APIを直接呼び出します。 ```bash az rest --method GET --uri "https://management.azure.com//subscriptions//providers/Microsoft.Authorization/roleDefinitions/?api-version=2022-04-01" | jq ".properties" ```
次のセクションでは、**最も一般的なAzureサービスとそれらを列挙する方法に関する情報**を見つけることができます: {{#ref}} az-services/ {{#endref}} ### 権限昇格、ポストエクスプロイト & 永続性 Azure環境の構造と使用されているサービスがわかったら、**権限を昇格させたり、横移動したり、他のポストエクスプロイト攻撃を実行したり、永続性を維持する方法を探し始めることができます**。 次のセクションでは、最も一般的なAzureサービスで権限を昇格させる方法に関する情報を見つけることができます: {{#ref}} az-privilege-escalation/ {{#endref}} 次のセクションでは、最も一般的なAzureサービスでポストエクスプロイト攻撃を実行する方法に関する情報を見つけることができます: {{#ref}} az-post-exploitation/ {{#endref}} 次のセクションでは、最も一般的なAzureサービスで永続性を維持する方法に関する情報を見つけることができます: {{#ref}} az-persistence/ {{#endref}} {{#include ../../banners/hacktricks-training.md}}