HackTricks CloudAz - Front Door
Reading time: 5 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
RemoteAddr Bypass
This blog post erklärt, wie beim Konfigurieren von Netzwerkbeschränkungen mit Azure Front Door nach RemoteAddr oder SocketAddr gefiltert werden kann. Der Hauptunterschied ist, dass RemoteAddr tatsächlich den Wert aus dem X-Forwarded-For HTTP-Header verwendet, wodurch ein einfacher bypass möglich ist.
Um diese Regel zu umgehen, können automatisierte Tools eingesetzt werden, die brute-force IP addresses ausführen, bis eine gültige gefunden wird.
This is mentioned in the Microsoft documentation.
Credential Skimming via WAF Custom Rules + Log Analytics
Missbrauche Azure Front Door (AFD) WAF Custom Rules in Kombination mit Log Analytics, um Klartext-Anmeldedaten (oder andere Geheimnisse) abzufangen, die den WAF passieren. Dies ist kein CVE; es ist der Missbrauch legitimer Funktionen durch jede Person, die die WAF-Policy ändern und deren Logs lesen kann.
Key behavior enabling this:
- AFD WAF Custom Rules können Anfrageelemente abgleichen, einschließlich Headern und POST-Parametern.
- Wenn eine Custom Rule die Aktion Log traffic only verwendet, wird die Evaluation fortgesetzt und der Traffic weitergeleitet (kein short-circuit), wodurch der Ablauf normal/stealthy bleibt.
- AFD schreibt ausführliche Diagnosedaten in Log Analytics unter Category FrontDoorWebApplicationFirewallLog. Abgeglichene Payload-Details sind in details_matches_s enthalten, zusammen mit dem Regel-Namen in ruleName_s.
End-to-End-Workflow
- Ziel-POST-Parameter identifizieren
- Prüfe das Login-Formular und notiere die Parameternamen (z. B. username, password).
- Diagnostics zu Log Analytics aktivieren
- In your Front Door profile > Monitoring > Diagnostic settings, sende Logs an ein Log Analytics workspace.
- Mindestens aktiviere die Kategorie: FrontDoorWebApplicationFirewallLog.
- Erstelle eine bösartige Custom Rule
- Front Door WAF Policy > Custom rules > New rule:
- Name: harmloser Name, z. B. PasswordCapture
- Priority: niedrige Zahl (z. B. 5), sodass die Regel früh ausgewertet wird
- Match: POST-Argumente username und password mit Operator = Any (beliebiger Wert)
- Action: Log traffic only
- Ereignisse erzeugen
curl -i -X POST https://example.com/login \
-H "Content-Type: application/x-www-form-urlencoded" \
--data "username=alice&password=S3cret!"
- Zugangsdaten aus Log Analytics extrahieren (KQL)
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where ruleName_s == "PasswordCapture"
| project TimeGenerated, ruleName_s, details_matches_s
| order by TimeGenerated desc
Ich habe keinen Text zum Übersetzen erhalten. Bitte füge den Inhalt der Datei src/pentesting-cloud/azure-security/az-services/az-front-door.md hier ein (oder gib an, welche Abschnitte übersetzt werden sollen).
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog" and ruleName_s == "PasswordCapture"
| extend m = parse_json(details_matches_s)
| mv-expand match = m.matches
| project TimeGenerated, ruleName_s, match.matchVariableName, match.matchVariableValue
| order by TimeGenerated desc
Die übereinstimmenden Werte erscheinen in details_matches_s und enthalten die Klartextwerte, die mit Ihrer Regel übereinstimmten.
Why Front Door WAF and not Application Gateway WAF?
- Application Gateway WAF custom-rule logs don’t include the offending POST/header values the same way; AFD WAF diagnostics include matched content in details, enabling credential capture.
Stealth and variants
- Set Action to Log traffic only to avoid breaking requests and to keep other rules evaluating normally.
- Use a low numeric Priority so your logging rule evaluates before any later Block/Allow rules.
- You can target any sensitive names/locations, not only POST params (e.g., headers like Authorization or API tokens in body fields).
Prerequisites
- An existing Azure Front Door instance.
- Permissions to edit the AFD WAF policy and read the associated Log Analytics workspace.
References
- https://trustedsec.com/blog/azures-front-door-waf-wtf-ip-restriction-bypass
- Skimming Credentials with Azure's Front Door WAF
- Azure WAF on Front Door monitoring and logging
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.