TODAVÍA ESTOY CONSTRUYENDO LA METODOLOGÍA DE AZURE

Información Básica

Metodología de Pentester/Equipo Rojo de Azure

Para auditar un entorno de AZURE es muy importante saber: qué servicios se están utilizando, qué está expuesto, quién tiene acceso a qué, y cómo están conectados los servicios internos de Azure y los servicios externos.

Desde el punto de vista de un Equipo Rojo, el primer paso para comprometer un entorno de Azure es lograr obtener algunas credenciales para Azure AD. Aquí tienes algunas ideas sobre cómo hacerlo:

• Fugas en github (o similar) - OSINT

• Ingeniería Social

• Reutilización de contraseñas (fugas de contraseñas)

• Vulnerabilidades en Aplicaciones alojadas en Azure

• Falsificación de Petición de Servidor con acceso al punto de metadatos

• Lectura de Archivos Locales

• /home/USUARIO/.azure

• C:\Users\USUARIO\.azure

• El archivo accessTokens.json en az cli antes de la versión 2.30 - Ene2022 - almacenaba tokens de acceso en texto claro

• El archivo azureProfile.json contiene información sobre el usuario conectado.

• az logout elimina el token.

• Versiones antiguas de Az PowerShell almacenaban tokens de acceso en texto claro en TokenCache.dat. También almacena ServicePrincipalSecret en texto claro en AzureRmContext.json. El cmdlet Save-AzContext se puede utilizar para almacenar tokens. Usa Disconnect-AzAccount para eliminarlos.

• Terceros comprometidos

• Empleado interno

• Phishing Común (credenciales o Aplicación Oauth)

• Phishing de Autenticación de Código de Dispositivo de Azure

• Rociado de Contraseñas de Azure

Incluso si no has comprometido ningún usuario dentro del inquilino de Azure que estás atacando, puedes recopilar información de él:

Enumeración Básica

SSRF

Si encontraste un SSRF en una máquina dentro de Azure, revisa esta página para trucos:

Saltar Condiciones de Inicio de Sesión

En casos donde tienes algunas credenciales válidas pero no puedes iniciar sesión, estas son algunas protecciones comunes que podrían estar en su lugar:

• Lista blanca de IP -- Necesitas comprometer una IP válida

• Restricciones geográficas -- Encuentra dónde vive el usuario o dónde están las oficinas de la empresa y obtén una IP de la misma ciudad (o al menos del mismo país)

• Navegador -- Tal vez solo se permite un navegador de cierto sistema operativo (Windows, Linux, Mac, Android, iOS). Descubre qué sistema operativo usa la víctima/empresa.

• También puedes intentar comprometer credenciales de Service Principal ya que generalmente están menos limitadas y su inicio de sesión se revisa menos

Después de saltarlo, es posible que puedas volver a tu configuración inicial y seguir teniendo acceso.

Toma de Subdominio

• https://godiego.co/posts/STO-Azure/

Quién soy

Una de las primeras cosas que necesitas saber es quién eres (en qué entorno estás):

az account list
az account tenant list # Current tenant info
az account subscription list # Current subscription info
az ad signed-in-user show # Current signed-in user
az ad signed-in-user list-owned-objects # Get owned objects by current user
az account management-group list #Not allowed by default

AzureAD

Enumeration

1. User Enumeration:

   • Utilice técnicas como la enumeración de usuarios a través de la API Graph de AzureAD.

   • Enumere usuarios a través de la interfaz de usuario de Azure Portal.

2. Group Enumeration:

   • Enumere grupos a través de la API Graph de AzureAD.

   • Enumere grupos a través de la interfaz de usuario de Azure Portal.

3. Application Enumeration:

   • Enumere aplicaciones registradas a través de la API Graph de AzureAD.

   • Enumere aplicaciones a través de la interfaz de usuario de Azure Portal.

Exploitation

1. Password Spraying:

   • Realice ataques de "password spraying" contra usuarios de AzureAD.

   • Utilice herramientas como MSOLSpray para automatizar este proceso.

2. Phishing:

   • Realice ataques de phishing para obtener credenciales de usuarios de AzureAD.

   • Utilice plantillas de phishing personalizadas para aumentar la tasa de éxito.

3. Brute Force:

   • Realice ataques de fuerza bruta contra la autenticación de AzureAD.

   • Utilice herramientas como CrackMapExec para realizar ataques de fuerza bruta.

Post-Exploitation

1. Token Extraction:

   • Extraiga tokens de acceso y tokens de actualización de AzureAD.

   • Utilice estos tokens para realizar acciones en nombre de los usuarios comprometidos.

2. Privilege Escalation:

   • Busque oportunidades de escalada de privilegios dentro de AzureAD.

   • Examine roles y permisos para identificar posibles vectores de escalada de privilegios.

3. Data Exfiltration:

   • Exfiltra datos confidenciales de AzureAD.

   • Utilice técnicas como la exportación de datos a través de la API Graph de AzureAD.

#Get the current session state
Get-AzureADCurrentSessionInfo
#Get details of the current tenant
Get-AzureADTenantDetail

Ejecución de comandos de PowerShell de Azure

Para ejecutar comandos de PowerShell de Azure, primero debe instalar el módulo Az. Puede hacerlo utilizando el siguiente comando:

Install-Module -Name Az -AllowClobber -Scope CurrentUser

Después de instalar el módulo Az, puede iniciar sesión en su cuenta de Azure utilizando el siguiente comando:

Connect-AzAccount

Una vez que haya iniciado sesión, puede comenzar a ejecutar comandos de PowerShell de Azure para administrar sus recursos en la nube. Por ejemplo, puede usar comandos como Get-AzVM para obtener información sobre las máquinas virtuales en su suscripción de Azure.

Recuerde que debe tener permisos adecuados en su cuenta de Azure para poder ejecutar estos comandos con éxito.

# Get the information about the current context (Account, Tenant, Subscription etc.)
Get-AzContext
# List all available contexts
Get-AzContext -ListAvailable
# Enumerate subscriptions accessible by the current user
Get-AzSubscription
#Get Resource group
Get-AzResourceGroup
# Enumerate all resources visible to the current user
Get-AzResource
# Enumerate all Azure RBAC role assignments
Get-AzRoleAssignment # For all users
Get-AzRoleAssignment -SignInName test@corp.onmicrosoft.com # For current user

Enumeración de AzureAD

Por defecto, cualquier usuario debería tener suficientes permisos para enumerar cosas como usuarios, grupos, roles, identidades de servicio... (verificar permisos predeterminados de AzureAD). Puedes encontrar aquí una guía:

Principal de Servicio y Política de Acceso

Un servicio de Azure puede tener una Identidad del Sistema (del propio servicio) o utilizar una Identidad Administrada Asignada por Usuario. Esta Identidad puede tener una Política de Acceso para, por ejemplo, un KeyVault para leer secretos. Estas Políticas de Acceso deben estar restringidas (principio de privilegio mínimo), pero podrían tener más permisos de los necesarios. Normalmente, un Servicio de Aplicación usaría KeyVault para recuperar secretos y certificados.

Por lo tanto, es útil explorar estas identidades.

Consola SCM del Servicio de Aplicación

Consola Kudu para iniciar sesión en el 'contenedor' del Servicio de Aplicación.

Shell Web

Usa portal.azure.com y selecciona la shell, o usa shell.azure.com, para un bash o powershell. El 'disco' de esta shell se almacena como un archivo de imagen en una cuenta de almacenamiento.

Azure DevOps

Azure DevOps es independiente de Azure. Tiene repositorios, pipelines (yaml o release), tableros, wiki y más. Los Grupos de Variables se utilizan para almacenar valores de variables y secretos.

Herramientas de Reconocimiento Automatizado

ROADRecon

cd ROADTools
pipenv shell
roadrecon auth -u test@corp.onmicrosoft.com -p "Welcome2022!"
roadrecon gather
roadrecon gui

Monkey365

Import-Module monkey365
Get-Help Invoke-Monkey365
Get-Help Invoke-Monkey365 -Detailed
Invoke-Monkey365 -IncludeAzureActiveDirectory -ExportTo HTML -Verbose -Debug -InformationAction Continue
Invoke-Monkey365 - Instance Azure -Analysis All -ExportTo HTML

Stormspotter

# Start Backend
cd stormspotter\backend\
pipenv shell
python ssbackend.pyz

# Start Front-end
cd stormspotter\frontend\dist\spa\
quasar.cmd serve -p 9091 --history

# Run Stormcollector
cd stormspotter\stormcollector\
pipenv shell
az login -u test@corp.onmicrosoft.com -p Welcome2022!
python stormspotter\stormcollector\sscollector.pyz cli
# This will generate a .zip file to upload in the frontend (127.0.0.1:9091)

AzureHound

# You need to use the Az PowerShell and Azure AD modules:
$passwd = ConvertTo-SecureString "Welcome2022!" -AsPlainText -Force
$creds = New-Object System.Management.Automation.PSCredential ("test@corp.onmicrosoft.com", $passwd)
Connect-AzAccount -Credential $creds

Import-Module AzureAD\AzureAD.psd1
Connect-AzureAD -Credential $creds

# Launch AzureHound
. AzureHound\AzureHound.ps1
Invoke-AzureHound -Verbose

# Simple queries
## All Azure Users
MATCH (n:AZUser) return n.name
## All Azure Applications
MATCH (n:AZApp) return n.objectid
## All Azure Devices
MATCH (n:AZDevice) return n.name
## All Azure Groups
MATCH (n:AZGroup) return n.name
## All Azure Key Vaults
MATCH (n:AZKeyVault) return n.name
## All Azure Resource Groups
MATCH (n:AZResourceGroup) return n.name
## All Azure Service Principals
MATCH (n:AZServicePrincipal) return n.objectid
## All Azure Virtual Machines
MATCH (n:AZVM) return n.name
## All Principals with the ‘Contributor’ role
MATCH p = (n)-[r:AZContributor]->(g) RETURN p

# Advanced queries
## Get Global Admins
MATCH p =(n)-[r:AZGlobalAdmin*1..]->(m) RETURN p
## Owners of Azure Groups
MATCH p = (n)-[r:AZOwns]->(g:AZGroup) RETURN p
## All Azure Users and their Groups
MATCH p=(m:AZUser)-[r:MemberOf]->(n) WHERE NOT m.objectid CONTAINS 'S-1-5' RETURN p
## Privileged Service Principals
MATCH p = (g:AZServicePrincipal)-[r]->(n) RETURN p
## Owners of Azure Applications
MATCH p = (n)-[r:AZOwns]->(g:AZApp) RETURN p
## Paths to VMs
MATCH p = (n)-[r]->(g: AZVM) RETURN p
## Paths to KeyVault
MATCH p = (n)-[r]->(g:AZKeyVault) RETURN p
## Paths to Azure Resource Group
MATCH p = (n)-[r]->(g:AZResourceGroup) RETURN p
## On-Prem users with edges to Azure
MATCH  p=(m:User)-[r:AZResetPassword|AZOwns|AZUserAccessAdministrator|AZContributor|AZAddMembers|AZGlobalAdmin|AZVMContributor|AZOwnsAZAvereContributor]->(n) WHERE m.objectid CONTAINS 'S-1-5-21' RETURN p
## All Azure AD Groups that are synchronized with On-Premise AD
MATCH (n:Group) WHERE n.objectid CONTAINS 'S-1-5' AND n.azsyncid IS NOT NULL RETURN n

Azucar

# You should use an account with at least read-permission on the assets you want to access
git clone https://github.com/nccgroup/azucar.git
PS> Get-ChildItem -Recurse c:\Azucar_V10 | Unblock-File

PS> .\Azucar.ps1 -AuthMode UseCachedCredentials -Verbose -WriteLog -Debug -ExportTo PRINT
PS> .\Azucar.ps1 -ExportTo CSV,JSON,XML,EXCEL -AuthMode Certificate_Credentials -Certificate C:\AzucarTest\server.pfx -ApplicationId 00000000-0000-0000-0000-000000000000 -TenantID 00000000-0000-0000-0000-000000000000
PS> .\Azucar.ps1 -ExportTo CSV,JSON,XML,EXCEL -AuthMode Certificate_Credentials -Certificate C:\AzucarTest\server.pfx -CertFilePassword MySuperP@ssw0rd! -ApplicationId 00000000-0000-0000-0000-000000000000 -TenantID 00000000-0000-0000-0000-000000000000

# resolve the TenantID for an specific username
PS> .\Azucar.ps1 -ResolveTenantUserName user@company.com

MicroBurst

Import-Module .\MicroBurst.psm1
Import-Module .\Get-AzureDomainInfo.ps1
Get-AzureDomainInfo -folder MicroBurst -Verbose

PowerZure

Connect-AzAccount
ipmo C:\Path\To\Powerzure.psd1
Get-AzureTarget

# Reader
$ Get-Runbook, Get-AllUsers, Get-Apps, Get-Resources, Get-WebApps, Get-WebAppDetails

# Contributor
$ Execute-Command -OS Windows -VM Win10Test -ResourceGroup Test-RG -Command "whoami"
$ Execute-MSBuild -VM Win10Test  -ResourceGroup Test-RG -File "build.xml"
$ Get-AllSecrets # AllAppSecrets, AllKeyVaultContents
$ Get-AvailableVMDisks, Get-VMDisk # Download a virtual machine's disk

# Owner
$ Set-Role -Role Contributor -User test@contoso.com -Resource Win10VMTest

# Administrator
$ Create-Backdoor, Execute-Backdoor