HackTricks CloudAz - Front Door
Reading time: 5 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
RemoteAddr Bypass
This blog post explains how when you are configuring some network restrictions with Azure Front Door you can filter based on RemoteAddr or SocketAddr. Being the main difference that RemoteAddr actually uses the value from the X-Forwarded-For HTTP header making it very easy to bypass.
Pour contourner cette règle, des outils automatisés peuvent être utilisés qui brute-force IP addresses jusqu'à ce qu'ils trouvent une adresse valide.
This is mentioned in the Microsoft documentation.
Credential Skimming via WAF Custom Rules + Log Analytics
Abuse Azure Front Door (AFD) WAF Custom Rules in combination with Log Analytics to capture cleartext credentials (or other secrets) traversing the WAF. This is not a CVE; it’s misuse of legitimate features by anyone who can modify the WAF policy and read its logs.
Comportement clé permettant cela :
- AFD WAF Custom Rules can match on request elements including headers and POST parameters.
- When a Custom Rule uses the action Log traffic only, evaluation continues and traffic proceeds (no short-circuit), keeping the flow normal/stealthy.
- AFD writes verbose diagnostics to Log Analytics under Category FrontDoorWebApplicationFirewallLog. Matched payload details are included in details_matches_s along with the rule name in ruleName_s.
Flux de bout en bout
- Identify target POST parameters
- Inspect the login form and note parameter names (e.g., username, password).
- Enable diagnostics to Log Analytics
- In your Front Door profile > Monitoring > Diagnostic settings, send logs to a Log Analytics workspace.
- At minimum, enable the category: FrontDoorWebApplicationFirewallLog.
- Create a malicious Custom Rule
- Front Door WAF Policy > Custom rules > New rule:
- Name: innocuous name, e.g., PasswordCapture
- Priority: low number (e.g., 5) so it evaluates early
- Match: POST arguments username and password with Operator = Any (match any value)
- Action: Log traffic only
- Generate events
curl -i -X POST https://example.com/login \
-H "Content-Type: application/x-www-form-urlencoded" \
--data "username=alice&password=S3cret!"
- Extraire des identifiants depuis Log Analytics (KQL)
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where ruleName_s == "PasswordCapture"
| project TimeGenerated, ruleName_s, details_matches_s
| order by TimeGenerated desc
Je n'ai pas reçu le contenu du fichier src/pentesting-cloud/azure-security/az-services/az-front-door.md. Veuillez coller le texte Markdown ici (ou téléverser le contenu). Je le traduirai en français en respectant vos règles (ne pas traduire code, noms de services, liens, chemins ni balises).
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog" and ruleName_s == "PasswordCapture"
| extend m = parse_json(details_matches_s)
| mv-expand match = m.matches
| project TimeGenerated, ruleName_s, match.matchVariableName, match.matchVariableValue
| order by TimeGenerated desc
Les valeurs correspondantes apparaissent dans details_matches_s et incluent les valeurs en clair qui ont déclenché votre règle.
Pourquoi Front Door WAF et pas Application Gateway WAF ?
- Les logs de custom-rule d'Application Gateway WAF n'incluent pas les valeurs POST/header incriminées de la même manière ; les diagnostics d'AFD WAF incluent le contenu correspondant dans details, ce qui permet la capture d'identifiants.
Discrétion et variantes
- Définissez Action sur 'Log traffic only' pour éviter de casser les requêtes et pour que les autres règles continuent d'être évaluées normalement.
- Utilisez une Priority numérique faible afin que votre règle de logging soit évaluée avant toute règle Block/Allow ultérieure.
- Vous pouvez cibler n'importe quel nom/emplacement sensible, pas seulement les paramètres POST (par ex. des headers comme Authorization ou des API tokens dans des body fields).
Prérequis
- Une instance Azure Front Door existante.
- Autorisations pour modifier la politique AFD WAF et lire le Log Analytics workspace associé.
Références
- https://trustedsec.com/blog/azures-front-door-waf-wtf-ip-restriction-bypass
- Skimming Credentials with Azure's Front Door WAF
- Azure WAF on Front Door monitoring and logging
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.