Az - Key Vault

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.

Información Básica

De la documentación: Azure Key Vault es un servicio en la nube para almacenar y acceder a secretos de manera segura. Un secreto es cualquier cosa a la que quieras controlar el acceso estrictamente, como claves API, contraseñas, certificados o claves criptográficas. El servicio Key Vault admite dos tipos de contenedores: bóvedas y pools de módulos de seguridad de hardware (HSM) gestionados. Las bóvedas admiten el almacenamiento de claves de software y respaldadas por HSM, secretos y certificados. Los pools de HSM gestionados solo admiten claves respaldadas por HSM. Consulta Azure Key Vault REST API overview para obtener detalles completos.

El formato de URL es https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Donde:

vault-name es el nombre único globalmente de la bóveda de claves
object-type puede ser "keys", "secrets" o "certificates"
object-name es el nombre único del objeto dentro de la bóveda de claves
object-version es generado por el sistema y opcionalmente usado para referirse a una versión única de un objeto.

Para acceder a los secretos almacenados en la bóveda se pueden usar 2 modelos de permisos:

Política de acceso a la bóveda
Azure RBAC

Control de Acceso

El acceso a un recurso de Key Vault se controla mediante dos planos:

El plano de gestión, cuyo objetivo es management.azure.com.
Se usa para gestionar la bóveda de claves y las políticas de acceso. Solo se admite el control de acceso basado en roles de Azure (RBAC).
El plano de datos, cuyo objetivo es <vault-name>.vault.azure.com.
Se usa para gestionar y acceder a los datos (claves, secretos y certificados) en la bóveda de claves. Esto admite políticas de acceso a la bóveda de claves o RBAC de Azure.

Un rol como Contributor que tiene permisos en el plano de gestión para gestionar políticas de acceso puede obtener acceso a los secretos modificando las políticas de acceso.

Roles Integrados de Key Vault RBAC

Acceso a la Red

En Azure Key Vault, se pueden configurar reglas de firewall para permitir operaciones del plano de datos solo desde redes virtuales o rangos de direcciones IPv4 especificados. Esta restricción también afecta el acceso a través del portal de administración de Azure; los usuarios no podrán listar claves, secretos o certificados en una bóveda de claves si su dirección IP de inicio de sesión no está dentro del rango autorizado.

Para analizar y gestionar estas configuraciones, puedes usar el Azure CLI:

az keyvault show --name name-vault --query networkAcls

El comando anterior mostrará la configuración del firewall de name-vault, incluyendo los rangos de IP habilitados y las políticas para el tráfico denegado.

Enumeración

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.

PreviousAz - Intune NextAz - Logic Apps

Last updated 1 month ago