gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-15 06:13:16 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
83b77b4aa96ba57d6355d6e8a2e6b4adaf6bd32f
hacktricks-cloud/src/pentesting-cloud/azure-security
History

README.md

Azure Pentesting

{{#include ../../banners/hacktricks-training.md}}

Основна інформація

Дізнайтеся основи Azure та Entra ID на наступній сторінці:

{{#ref}} az-basic-information/ {{#endref}}

Методологія Azure Pentester/Red Team

Для аудиту середовища AZURE дуже важливо знати: які послуги використовуються, що експонується, хто має доступ до чого, і як внутрішні служби Azure та зовнішні служби з'єднані.

З точки зору Red Team, перший крок до компрометації середовища Azure - це отримати переправу.

Зовнішня енумерація та початковий доступ

Перший крок - це, звичайно, перерахувати інформацію про орендаря, якого ви атакуєте, і спробувати отримати переправу.

На основі доменного імені можна дізнатися, чи використовує компанія Azure, отримати ідентифікатор орендаря, отримати інші дійсні домени в тому ж орендарі (якщо є) та отримати релевантну інформацію, таку як чи увімкнено SSO, налаштування електронної пошти, дійсні електронні адреси користувачів...

Перегляньте наступну сторінку, щоб дізнатися, як виконати зовнішню енумерацію:

{{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}}

З цією інформацією найпоширеніші способи спробувати отримати переправу:

  • OSINT: Перевірте наявність витоків у Github або будь-якій іншій відкритій платформі, яка може містити облікові дані або цікаву інформацію.
  • Повторне використання паролів, витоки або password spraying
  • Купівля облікових даних у співробітника
  • Звичайна фішинг-атака (облікові дані або Oauth App)
  • Фішинг за допомогою коду пристрою
  • Порушення з боку третіх осіб
  • Вразливості в додатках, розміщених в Azure
  • Серверна підробка запитів з доступом до кінцевої точки метаданих
  • Перехоплення піддоменів, як у https://godiego.co/posts/STO-Azure/
  • Інші неправильні налаштування служб Azure
  • Якщо комп'ютер розробника скомпрометовано (WinPEAS і LinPEAS можуть знайти цю інформацію):
  • Всередині <HOME>/.Azure
  • azureProfile.json містить інформацію про користувачів, які входили в систему раніше
  • clouds.config містить інформацію про підписки
  • service_principal_entries.json містить облікові дані додатків (ідентифікатор орендаря, клієнти та секрет). Тільки в Linux і macOS
  • msal_token_cache.json містить облікові токени доступу та токени оновлення. Тільки в Linux і macOS
  • service_principal_entries.bin та msal_token_cache.bin використовуються в Windows і зашифровані за допомогою DPAPI
  • msal_http_cache.bin є кешем HTTP-запитів
  • Завантажте його: with open("msal_http_cache.bin", 'rb') as f: pickle.load(f)
  • AzureRmContext.json містить інформацію про попередні входи, використовуючи Az PowerShell (але без облікових даних)
  • Всередині C:\Users\<username>\AppData\Local\Microsoft\IdentityCache\* є кілька .bin файлів з обліковими токенами, ID токенами та інформацією про облікові записи, зашифрованими за допомогою DPAPI користувача.
  • Можна знайти більше облікових токенів у файлах .tbres всередині C:\Users\<username>\AppData\Local\Microsoft\TokenBroken\Cache\, які містять base64, зашифрований за допомогою DPAPI з обліковими токенами.
  • У Linux і macOS ви можете отримати облікові токени доступу, токени оновлення та ID токени з Az PowerShell (якщо використовувався), запустивши pwsh -Command "Save-AzContext -Path /tmp/az-context.json"
  • У Windows це просто генерує ID токени.
  • Можна перевірити, чи використовувався Az PowerShell у Linux і macOS, перевіривши, чи існує $HOME/.local/share/.IdentityService/ (хоча вміст файлів порожній і марний)

Знайдіть інші неправильні налаштування служб Azure, які можуть призвести до переправи, на наступній сторінці:

{{#ref}} az-unauthenticated-enum-and-initial-entry/ {{#endref}}

Note

Пам'ятайте, що зазвичай найгучнішою частиною енумерації є вхід, а не сама енумерація.

Інструменти Azure та Entra ID

Наступні інструменти будуть дуже корисні для повільної (щоб уникнути виявлення) або автоматичної (щоб заощадити час) енумерації як орендарів Entra ID, так і середовищ Azure:

{{#ref}} az-enumeration-tools.md {{#endref}}

Обхід умов входу

У випадках, коли у вас є дійсні облікові дані, але ви не можете увійти, це деякі загальні захисти, які можуть бути на місці:

  • IP-білий список -- Вам потрібно скомпрометувати дійсний IP
  • Геообмеження -- Дізнайтеся, де живе користувач або де знаходяться офіси компанії, і отримайте IP з того ж міста (або хоча б з тієї ж країни)
  • Браузер -- Можливо, лише браузер з певної ОС (Windows, Linux, Mac, Android, iOS) дозволено. Дізнайтеся, яку ОС використовує жертва/компанія.
  • Ви також можете спробувати скомпрометувати облікові дані Service Principal, оскільки вони зазвичай менш обмежені, і їх вхід менш перевіряється

Після обходу ви можете повернутися до вашої початкової налаштування і все ще мати доступ.

Whoami

Caution

Дізнайтеся, як встановити az cli, AzureAD та Az PowerShell у розділі Az - Entra ID.

Одне з перших, що вам потрібно знати, це хто ви (в якому середовищі ви знаходитесь):

{{#tabs }} {{#tab name="az cli" }}

az account list
az account tenant list # Current tenant info
az account subscription list # Current subscription info
az ad signed-in-user show # Current signed-in user
az ad signed-in-user list-owned-objects # Get owned objects by current user
az account management-group list #Not allowed by default

{{#endtab }}

{{#tab name="Az" }}

# Get the information about the current context (Account, Tenant, Subscription etc.)
Get-AzContext
# List all available contexts
Get-AzContext -ListAvailable
# Enumerate subscriptions accessible by the current user
Get-AzSubscription
#Get Resource group
Get-AzResourceGroup

{{#endtab }}

{{#tab name="Mg" }}

#Get the current session
Get-MgContext

{{#endtab }}

{{#tab name="AzureAD" }}

#Get the current session state
Get-AzureADCurrentSessionInfo
#Get details of the current tenant
Get-AzureADTenantDetail

{{#endtab }} {{#endtabs }}

Перерахунок Entra ID та ескалація привілеїв

За замовчуванням будь-який користувач повинен мати достатньо прав для перерахунку таких речей, як користувачі, групи, ролі, служби... (перевірте стандартні дозволи AzureAD).
Тут ви можете знайти посібник:

{{#ref}} az-services/az-azuread.md {{#endref}}

Перевірте інструменти пост-експлуатації, щоб знайти інструменти для ескалації привілеїв в Entra ID, такі як AzureHound:

{{#ref}} az-enumeration-tools.md#automated-post-exploitation-tools {{#endref}}

Перерахунок служб Azure

Коли ви знаєте, хто ви, ви можете почати перерахунок служб Azure, до яких у вас є доступ.

Вам слід почати з визначення дозволів, які у вас є на ресурси. Для цього:

  1. Знайдіть ресурс, до якого у вас є доступ:

Команда Az PowerShell Get-AzResource дозволяє вам дізнатися про ресурси, які ваш поточний користувач може бачити.

Крім того, ви можете отримати ту ж інформацію в веб-консолі, перейшовши за https://portal.azure.com/#view/HubsExtension/BrowseAll або шукаючи "Усі ресурси" або виконуючи: az rest --method GET --url "https://management.azure.com/subscriptions/<subscription-id>/resources?api-version=2021-04-01"

  1. Знайдіть дозволи, які у вас є на ресурси, до яких у вас є доступ, і знайдіть ролі, призначені вам:

Зверніть увагу, що вам потрібен дозвіл Microsoft.Authorization/roleAssignments/read для виконання цієї дії.

Крім того, з достатніми правами роль Get-AzRoleAssignment може бути використана для перерахунку всіх ролей у підписці або дозволів на конкретний ресурс, вказуючи його, як у: Get-AzRoleAssignment -Scope /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.RecoveryServices/vaults/vault-m3ww8ut4.

Також можливо отримати цю інформацію, запустивши az rest --method GET --uri "https://management.azure.com/<Scope>/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value" як у:

  • az rest --method GET --uri "https://management.azure.com//subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.KeyVault/vaults/vault-m3ww8ut4/providers/Microsoft.Authorization/roleAssignments?api-version=2020-08-01-preview" | jq ".value"
  1. Знайдіть детальні дозволи ролей, які прикріплені до вас:

Потім, щоб отримати детальні дозволи, ви можете виконати (Get-AzRoleDefinition -Id "<RoleDefinitionId>").Actions.

Або викликати API безпосередньо з az rest --method GET --uri "https://management.azure.com//subscriptions/<subscription-id>/providers/Microsoft.Authorization/roleDefinitions/<RoleDefinitionId>?api-version=2020-08-01-preview" | jq ".properties".

У наступному розділі ви можете знайти інформацію про найпоширеніші служби Azure та як їх перерахувати:

{{#ref}} az-services/ {{#endref}}

Ескалація привілеїв, пост-експлуатація та збереження в службах Azure

Коли ви знаєте, як структуроване середовище Azure і які служби використовуються, ви можете почати шукати способи ескалації привілеїв, бічного переміщення, виконання інших атак пост-експлуатації та підтримки збереження.

У наступному розділі ви можете знайти інформацію про те, як ескалувати привілеї в найпоширеніших службах Azure:

{{#ref}} az-privilege-escalation/ {{#endref}}

У наступному ви можете знайти інформацію про те, як виконувати атаки пост-експлуатації в найпоширеніших службах Azure:

{{#ref}} az-post-exploitation/ {{#endref}}

У наступному ви можете знайти інформацію про те, як підтримувати збереження в найпоширеніших службах Azure:

{{#ref}} az-persistence/ {{#endref}}

{{#include ../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink