Az - VMs & Netzwerk Post-Exploitation

Reading time: 6 minutes

VMs & Netzwerk

Für weitere Informationen zu Azure VMs und Netzwerken siehe die folgende Seite:

Az - Virtual Machines & Network

VM-Anwendungs-Pivoting

VM-Anwendungen können mit anderen Abonnements und Mandanten geteilt werden. Wenn eine Anwendung geteilt wird, liegt das wahrscheinlich daran, dass sie verwendet wird. Wenn es dem Angreifer gelingt, die Anwendung zu kompromittieren und eine mit einem Backdoor versehenen Version hochzuladen, könnte es möglich sein, dass sie in einem anderen Mandanten oder Abonnement ausgeführt wird.

Sensible Informationen in Bildern

Es könnte möglich sein, sensible Informationen in Bildern zu finden, die in der Vergangenheit von VMs aufgenommen wurden.

1. Bilder auflisten aus Galerien

# Get galleries
az sig list -o table

# List images inside gallery
az sig image-definition list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
-o table

# Get images versions
az sig image-version list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
--gallery-image-definition <IMAGE_DEFINITION> \
-o table

2. Benutzerdefinierte Images auflisten

az image list -o table

3. Erstellen Sie eine VM aus der Bild-ID und suchen Sie nach sensiblen Informationen darin

# Create VM from image
az vm create \
--resource-group <RESOURCE_GROUP> \
--name <VM_NAME> \
--image /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/galleries/<GALLERY_NAME>/images/<IMAGE_DEFINITION>/versions/<IMAGE_VERSION> \
--admin-username <ADMIN_USERNAME> \
--generate-ssh-keys

Sensible Informationen in Wiederherstellungspunkten

Es könnte möglich sein, sensible Informationen in Wiederherstellungspunkten zu finden.

1. Wiederherstellungspunkte auflisten

az restore-point list \
--resource-group <RESOURCE_GROUP> \
--restore-point-collection-name <COLLECTION_NAME> \
-o table

2. Erstellen Sie eine Festplatte aus einem Wiederherstellungspunkt

az disk create \
--resource-group <RESOURCE_GROUP> \
--name <NEW_DISK_NAME> \
--source /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/restorePointCollections/<COLLECTION_NAME>/restorePoints/<RESTORE_POINT_NAME>

3. Hängen Sie die Festplatte an eine VM an (der Angreifer muss bereits eine VM innerhalb des Kontos kompromittiert haben)

az vm disk attach \
--resource-group <RESOURCE_GROUP> \
--vm-name <VM_NAME> \
--name <DISK_NAME>

4. Mounten Sie die Festplatte und suchen Sie nach sensiblen Informationen

# List all available disks
sudo fdisk -l

# Check disk format
sudo file -s /dev/sdX

# Mount it
sudo mkdir /mnt/mydisk
sudo mount /dev/sdX1 /mnt/mydisk

Sensible Informationen in Datenträgern & Snapshots

Es könnte möglich sein, sensible Informationen in Datenträgern oder sogar alten Snapshots von Datenträgern zu finden.

1. Snapshots auflisten

az snapshot list \
--resource-group <RESOURCE_GROUP> \
-o table

2. Erstelle eine Festplatte aus einem Snapshot (falls erforderlich)

az disk create \
--resource-group <RESOURCE_GROUP> \
--name <DISK_NAME> \
--source <SNAPSHOT_ID> \
--size-gb <DISK_SIZE>

3. Hängen Sie die Festplatte an eine VM an und suchen Sie nach sensiblen Informationen (siehe den vorherigen Abschnitt, um zu erfahren, wie man dies macht)

Sensible Informationen in VM-Erweiterungen & VM-Anwendungen

Es könnte möglich sein, sensible Informationen in VM-Erweiterungen und VM-Anwendungen zu finden.

1. Liste aller VM-Apps

## List all VM applications inside a gallery
az sig gallery-application list --gallery-name <gallery-name> --resource-group <res-group> --output table

2. Installieren Sie die Erweiterung in einer VM und suchen Sie nach sensiblen Informationen

az vm application set \
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true