Az - Key Vault

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Temel Bilgiler

Dokümantasyondan: Azure Key Vault, güvenli bir şekilde saklama ve erişim sağlamak için bir bulut hizmetidir. Bir sır, API anahtarları, şifreler, sertifikalar veya kriptografik anahtarlar gibi erişimi sıkı bir şekilde kontrol etmek istediğiniz her şeydir. Key Vault hizmeti, iki tür konteyneri destekler: kasa ve yönetilen donanım güvenlik modülü (HSM) havuzları. Kasalar, yazılım ve HSM destekli anahtarları, sırları ve sertifikaları saklamayı destekler. Yönetilen HSM havuzları yalnızca HSM destekli anahtarları destekler. Tam ayrıntılar için Azure Key Vault REST API genel bakışına bakın.

URL formatı şu şekildedir: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Burada:

  • vault-name, anahtar kasasının küresel olarak benzersiz adıdır

  • object-type, "keys", "secrets" veya "certificates" olabilir

  • object-name, anahtar kasası içindeki nesnenin benzersiz adıdır

  • object-version, sistem tarafından oluşturulan ve isteğe bağlı olarak bir nesnenin benzersiz bir sürümünü belirtmek için kullanılır.

Anahtar kasasında saklanan sırlara erişmek için 2 izin modeli kullanılabilir:

  • Kasa erişim politikası

  • Azure RBAC

Erişim Kontrolü

Bir Anahtar Kasası kaynağına erişim, iki düzlem tarafından kontrol edilir:

  • Yönetim düzlemi, hedefi management.azure.com olan bir düzlemdir.

  • Anahtar kasasını ve erişim politikalarını yönetmek için kullanılır. Yalnızca Azure rol tabanlı erişim kontrolü (RBAC) desteklenir.

  • Veri düzlemi, hedefi <vault-name>.vault.azure.com olan bir düzlemdir.

  • Anahtar kasasındaki verileri (anahtarlar, sırlar ve sertifikalar) yönetmek ve erişmek için kullanılır. Bu, anahtar kasası erişim politikalarını veya Azure RBAC'ı destekler.

Yönetim düzleminde erişim politikalarını yönetmek için izinlere sahip olan Contributor gibi bir rol, erişim politikalarını değiştirerek sırlara erişebilir.

Anahtar Kasası RBAC Yerleşik Roller

Ağ Erişimi

Azure Key Vault'ta, güvenlik duvarı kuralları belirli sanal ağlardan veya IPv4 adres aralıklarından yalnızca veri düzlemi işlemlerine izin vermek için ayarlanabilir. Bu kısıtlama, Azure yönetim portalı üzerinden erişimi de etkiler; kullanıcılar yetkilendirilmiş aralık içinde olmayan bir giriş IP adresine sahipse anahtar kasasındaki anahtarları, sırları veya sertifikaları listeleyemezler.

Bu ayarları analiz etmek ve yönetmek için Azure CLI'yi kullanabilirsiniz:

az keyvault show --name name-vault --query networkAcls

Önceki komut, name-vault adlı anahtar deposunun etkin IP aralıklarını ve reddedilen trafiğe yönelik politikalarını içeren firewall ayarlarını görüntüleyecektir.

Numaralandırma

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText
#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done
AWS hackleme becerilerini sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Last updated