Az - File Shares

Podstawowe informacje

Azure Files to w pełni zarządzana usługa przechowywania plików w chmurze, która zapewnia współdzielone przechowywanie plików dostępne za pośrednictwem standardowych protokołów SMB (Server Message Block) i NFS (Network File System). Chociaż głównym protokołem używanym jest SMB, udostępnianie plików NFS w Azure nie jest obsługiwane dla systemów Windows (zgodnie z dokumentacją). Umożliwia tworzenie wysoko dostępnych współdzielonych zasobów plikowych, które mogą być jednocześnie dostępne przez wiele maszyn wirtualnych (VM) lub systemów lokalnych, co umożliwia bezproblemowe udostępnianie plików w różnych środowiskach.

Poziomy dostępu

• Optymalizacja transakcji: Optymalizowane dla operacji intensywnych w transakcje.

• Gorący: Zrównoważone między transakcjami a przechowywaniem.

• Chłodny: Ekonomiczne dla przechowywania.

• Premium: Wysokowydajne przechowywanie plików zoptymalizowane pod kątem niskiej latencji i obciążeń intensywnych w IOPS.

Kopie zapasowe

• Codzienna kopia zapasowa: Punkt kopii zapasowej jest tworzony każdego dnia o wskazanej porze (np. 19.30 UTC) i przechowywany przez od 1 do 200 dni.

• Tygodniowa kopia zapasowa: Punkt kopii zapasowej jest tworzony co tydzień w wskazanym dniu i godzinie (niedziela o 19.30) i przechowywany przez od 1 do 200 tygodni.

• Miesięczna kopia zapasowa: Punkt kopii zapasowej jest tworzony co miesiąc w wskazanym dniu i godzinie (np. pierwsza niedziela o 19.30) i przechowywany przez od 1 do 120 miesięcy.

• Roczna kopia zapasowa: Punkt kopii zapasowej jest tworzony co roku w wskazanym dniu i godzinie (np. pierwsza niedziela stycznia o 19.30) i przechowywany przez od 1 do 10 lat.

• Możliwe jest również wykonanie ręcznych kopii zapasowych i zrzutów w dowolnym momencie. Kopie zapasowe i zrzuty są w rzeczywistości tym samym w tym kontekście.

Obsługiwane uwierzytelnienia przez SMB

• Uwierzytelnianie AD DS w lokalizacji: Używa lokalnych poświadczeń Active Directory synchronizowanych z Microsoft Entra ID do dostępu opartego na tożsamości. Wymaga łączności sieciowej z lokalnym AD DS.

• Uwierzytelnianie Microsoft Entra Domain Services: Wykorzystuje Microsoft Entra Domain Services (chmurowy AD) do zapewnienia dostępu przy użyciu poświadczeń Microsoft Entra.

• Microsoft Entra Kerberos dla hybrydowych tożsamości: Umożliwia użytkownikom Microsoft Entra uwierzytelnianie udostępnień plików Azure przez internet przy użyciu Kerberos. Obsługuje hybrydowe maszyny wirtualne dołączone do Microsoft Entra lub dołączone do Microsoft Entra bez wymagania łączności z lokalnymi kontrolerami domeny. Nie obsługuje jednak tożsamości wyłącznie chmurowych.

• Uwierzytelnianie Kerberos AD dla klientów Linux: Umożliwia klientom Linux korzystanie z Kerberos do uwierzytelniania SMB za pośrednictwem lokalnego AD DS lub Microsoft Entra Domain Services.

Enumeracja

# Get storage accounts
az storage account list #Get the account name from here

# List file shares
az storage share list --account-name <name>
# Get dirs/files inside the share
az storage file list --account-name <name> --share-name <share-name>
## If type is "dir", you can continue enumerating files inside of it
az storage file list --account-name <name> --share-name <prev_dir/share-name>
# Download a complete share (with directories and files inside of them)
az storage file download-batch -d . --source <share-name> --account-name <name>

# Get snapshots/backups
az storage share list --account-name <name> --include-snapshots --query "[?snapshot != null]"
# List contents of a snapshot/backup
az storage file list --account-name <name> --share-name <share-name> --snapshot <snapshot-version> #e.g. "2024-11-25T11:26:59.0000000Z"
# Download snapshot/backup
az storage file download-batch -d . --account-name <name> --source <share-name> --snapshot <snapshot-version>

Połączenie

Oto skrypty zaproponowane przez Azure w momencie pisania, aby połączyć się z File Share:

Musisz zastąpić miejsca <STORAGE-ACCOUNT>, <ACCESS-KEY> i <FILE-SHARE-NAME>.

$connectTestResult = Test-NetConnection -ComputerName filescontainersrdtfgvhb.file.core.windows.net -Port 445
if ($connectTestResult.TcpTestSucceeded) {
# Save the password so the drive will persist on reboot
cmd.exe /C "cmdkey /add:`"<STORAGE-ACCOUNT>.file.core.windows.net`" /user:`"localhost\<STORAGE-ACCOUNT>`" /pass:`"<ACCESS-KEY>`""
# Mount the drive
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<STORAGE-ACCOUNT>.file.core.windows.net\<FILE-SHARE-NAME>" -Persist
} else {
Write-Error -Message "Unable to reach the Azure storage account via port 445. Check to make sure your organization or ISP is not blocking port 445, or use Azure P2S VPN, Azure S2S VPN, or Express Route to tunnel SMB traffic over a different port."
}

sudo mkdir /mnt/disk-shareeifrube
if [ ! -d "/etc/smbcredentials" ]; then
sudo mkdir /etc/smbcredentials
fi
if [ ! -f "/etc/smbcredentials/<STORAGE-ACCOUNT>.cred" ]; then
sudo bash -c 'echo "username=<STORAGE-ACCOUNT>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
sudo bash -c 'echo "password=<ACCESS-KEY>" >> /etc/smbcredentials/<STORAGE-ACCOUNT>.cred'
fi
sudo chmod 600 /etc/smbcredentials/<STORAGE-ACCOUNT>.cred

sudo bash -c 'echo "//<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> cifs nofail,credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30" >> /etc/fstab'
sudo mount -t cifs //<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME> /mnt/<FILE-SHARE-NAME> -o credentials=/etc/smbcredentials/<STORAGE-ACCOUNT>.cred,dir_mode=0777,file_mode=0777,serverino,nosharesock,actimeo=30

open smb://<STORAGE-ACCOUNT>:<ACCESS-KEY>@<STORAGE-ACCOUNT>.file.core.windows.net/<FILE-SHARE-NAME>

Regular storage enumeration (access keys, SAS...)

Privilege Escalation

Tak samo jak privesc magazynu:

Post Exploitation

Persistence

Tak samo jak trwałość magazynu: