Az - Key Vault

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Grundinformationen

Aus den Dokumenten: Azure Key Vault ist ein Cloud-Dienst zum sicheren Speichern und Zugreifen auf Geheimnisse. Ein Geheimnis ist alles, auf das Sie den Zugriff streng kontrollieren möchten, wie API-Schlüssel, Passwörter, Zertifikate oder kryptografische Schlüssel. Der Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete Hardware-Sicherheitsmodule (HSM) Pools. Tresore unterstützen das Speichern von Software- und HSM-gestützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gestützte Schlüssel. Siehe Azure Key Vault REST API-Übersicht für vollständige Details.

Das URL-Format ist https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Wo:

vault-name ist der global eindeutige Name des Key Vault
object-type kann "keys", "secrets" oder "certificates" sein
object-name ist der eindeutige Name des Objekts innerhalb des Key Vault
object-version wird systemgeneriert und optional verwendet, um eine eindeutige Version eines Objekts anzusprechen.

Um auf die im Tresor gespeicherten Geheimnisse zuzugreifen, können 2 Berechtigungsmodelle verwendet werden:

Zugriffsrichtlinie für den Tresor
Azure RBAC

Zugriffskontrolle

Der Zugriff auf eine Key Vault-Ressource wird durch zwei Ebenen kontrolliert:

Die Management-Ebene, deren Ziel management.azure.com ist.
Sie wird verwendet, um den Key Vault und Zugriffsrichtlinien zu verwalten. Nur Azure rollenbasierte Zugriffskontrolle (RBAC) wird unterstützt.
Die Datenebene, deren Ziel <vault-name>.vault.azure.com ist.
Sie wird verwendet, um die Daten (Schlüssel, Geheimnisse und Zertifikate) im Key Vault zu verwalten und darauf zuzugreifen. Dies unterstützt Zugriffsrichtlinien für den Tresor oder Azure RBAC.

Eine Rolle wie Contributor, die Berechtigungen in der Management-Ebene hat, um Zugriffsrichtlinien zu verwalten, kann auf die Geheimnisse zugreifen, indem sie die Zugriffsrichtlinien ändert.

Key Vault RBAC Eingebaute Rollen

Netzwerkzugang

Im Azure Key Vault können Firewall-Regeln eingerichtet werden, um Datenebenenoperationen nur von bestimmten virtuellen Netzwerken oder IPv4-Adressbereichen zuzulassen. Diese Einschränkung wirkt sich auch auf den Zugriff über das Azure-Verwaltungsportal aus; Benutzer können keine Schlüssel, Geheimnisse oder Zertifikate in einem Key Vault auflisten, wenn ihre Anmelde-IP-Adresse nicht im autorisierten Bereich liegt.

Zur Analyse und Verwaltung dieser Einstellungen können Sie die Azure CLI verwenden:

az keyvault show --name name-vault --query networkAcls

Der vorherige Befehl zeigt die Firewall-Einstellungen von name-vault an, einschließlich aktivierter IP-Bereiche und Richtlinien für abgelehnten Datenverkehr.

Aufzählung

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs an die HackTricks und HackTricks Cloud GitHub-Repos sendest.

PreviousAz - Intune NextAz - Logic Apps

Last updated 1 month ago