Az - Logic Apps

Reading time: 15 minutes

Informations de base

Azure Logic Apps est un service basé sur le cloud fourni par Microsoft Azure qui permet aux développeurs de créer et d'exécuter des workflows intégrant divers services, sources de données et applications. Ces workflows sont conçus pour automatiser les processus métier, orchestrer des tâches et effectuer des intégrations de données à travers différentes plateformes.

Logic Apps fournit un concepteur visuel pour créer des workflows avec une large gamme de connecteurs préconçus, ce qui facilite la connexion et l'interaction avec divers services, tels qu'Office 365, Dynamics CRM, Salesforce, et bien d'autres. Vous pouvez également créer des connecteurs personnalisés pour vos besoins spécifiques.

Lors de la création d'une Logic App, vous devez soit créer, soit lier un compte de stockage externe qui stocke l'état du workflow, l'historique des exécutions et les artefacts. Ce stockage peut être configuré avec des paramètres de diagnostic pour le suivi et peut être sécurisé avec des restrictions d'accès réseau ou intégré dans un réseau virtuel pour contrôler le trafic entrant et sortant.

Exemples

• Automatisation des pipelines de données : Logic Apps peut automatiser les processus de transfert et de transformation des données en combinaison avec Azure Data Factory. Cela est utile pour créer des pipelines de données évolutifs et fiables qui déplacent et transforment des données entre divers magasins de données, comme Azure SQL Database et Azure Blob Storage, aidant ainsi dans les opérations d'analytique et d'intelligence d'affaires.
• Intégration avec Azure Functions : Logic Apps peut fonctionner aux côtés d'Azure Functions pour développer des applications sophistiquées, déclenchées par des événements qui s'adaptent selon les besoins et s'intègrent parfaitement avec d'autres services Azure. Un exemple de cas d'utilisation est d'utiliser une Logic App pour déclencher une Azure Function en réponse à certains événements, tels que des changements dans un compte de stockage Azure, permettant un traitement dynamique des données.

Visualiser une LogicAPP

Il est possible de visualiser une LogicApp avec des graphiques :

ou de vérifier le code dans la section "Vue du code de l'application Logic".

Protection SSRF

Même si vous trouvez la Logic App vulnérable au SSRF, vous ne pourrez pas accéder aux identifiants depuis les métadonnées car Logic Apps ne le permet pas.

Par exemple, quelque chose comme ceci ne renverra pas le token :

# The URL belongs to a Logic App vulenrable to SSRF
curl -XPOST 'https://prod-44.westus.logic.azure.com:443/workflows/2d8de4be6e974123adf0b98159966644/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=_8_oqqsCXc0u2c7hNjtSZmT0uM4Xi3hktw6Uze0O34s' -d '{"url": "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/"}' -H "Content-type: application/json" -v

Options d'hébergement

Il existe plusieurs options d'hébergement :

• Consommation

• Multi-tenant : fournit des ressources de calcul partagées, fonctionne dans le cloud public et suit un modèle de tarification à la consommation. Cela est idéal pour des charges de travail légères et rentables. Cela déploie un "Single Workflow".

• Standard

• Workflow Service Plan : ressources de calcul dédiées avec intégration VNET pour le réseau et des frais par instance de plan de service de workflow. Il est adapté aux charges de travail plus exigeantes nécessitant un plus grand contrôle.
• App Service Environment V3 ressources de calcul dédiées avec isolation complète et évolutivité. Il s'intègre également avec VNET pour le réseau et utilise un modèle de tarification basé sur les instances de service d'application au sein de l'environnement.
• Hybride conçu pour le traitement local et le support multi-cloud. Il permet des ressources de calcul gérées par le client avec accès au réseau local et utilise Kubernetes Event-Driven Autoscaling (KEDA). Il repose sur un environnement d'application conteneurisée connecté.

Caractéristiques clés

• Stockage : Les Logic Apps nécessitent un compte de stockage Azure externe pour stocker l'état du workflow, l'historique des exécutions… et doivent être dans le même groupe de ressources que la Logic App.
• Réseautage et sécurité : Les Logic Apps peuvent être configurées avec un accès public ou privé. Par défaut, l'application est ouverte à Internet mais peut être intégrée à un réseau virtuel Azure pour une connectivité isolée.
• Application Insights : La gestion des performances des applications (APM) via Azure Monitor Application Insights peut être activée pour suivre les performances, détecter les anomalies et fournir des analyses.
• Contrôle d'accès : Les Logic Apps prennent en charge les identités gérées par le système et les identités gérées par l'utilisateur.

Workflows "Single"

Un workflow est une séquence structurée d'étapes ou de tâches automatisées qui exécutent un processus ou un objectif spécifique. Il définit comment différentes actions, conditions et décisions interagissent pour atteindre un résultat souhaité, rationalisant les opérations et réduisant l'effort manuel. Les workflows peuvent intégrer plusieurs systèmes, déclencher des événements et des règles, garantissant la cohérence et l'efficacité des processus.

Azure Logic Apps offre la fonctionnalité de créer un workflow unique sans avoir besoin d'une Logic App elle-même.

Chaque workflow a différents déclencheurs. Ces déclencheurs sont les étapes que suit le workflow. Chaque déclencheur a ses paramètres qui peuvent varier en fonction du type de déclencheur :

• Nom de connexion
• Type d'authentification qui peut être, Clé d'accès, Microsoft Entra ID, authentification de principal de service intégré et identité gérée par Logic Apps.

Les déclencheurs ont également divers paramètres :

• Validation de schéma : Assure que les données entrantes suivent une structure prédéfinie.
• Contrôle de concurrence : Limite le nombre d'exécutions parallèles.
• Conditions de déclenchement : conditions qui doivent être remplies avant que le déclencheur ne s'active.
• Réseautage : Configure la taille des morceaux pour le transfert de données et permet de supprimer les en-têtes de workflow dans les réponses.
• Sécurité : Active Secure Inputs/Outputs pour cacher les données sensibles dans les journaux et les sorties.

Paramètres et connexions API :

Un workflow a différents paramètres tels que :

• Adresses IP entrantes autorisées : Ce paramètre vous permet de restreindre qui peut déclencher ou démarrer votre Logic App. Les options sont Toute IP, Seulement d'autres Logic Apps et Plages d'IP spécifiques.
• Compte d'intégration : Ici, vous pouvez lier votre Logic App à un compte d'intégration.
• Haut débit : Ce paramètre permet à votre Logic App de gérer plus de demandes rapidement.
• Conservation de l'historique des exécutions : pendant combien de temps l'historique des exécutions de votre Logic App est conservé.

Vous pouvez voir les différentes connexions API que le workflow a. À l'intérieur de chacune de ces connexions, elles ont différentes propriétés et la possibilité de modifier la connexion API où le type d'authentification peut être changé.

Historique et versions : Il a l'option d'accéder à l'historique des différentes exécutions, il montre, Paramètres, Sortie, Paramètres et le Code.

Il a également l'option d'accéder à différentes versions du workflow, où vous pouvez vérifier le code et changer le workflow actuel avec une version antérieure de celui-ci.

Autorisation : Les Azure Logic Apps prennent en charge les politiques d'autorisation avec Entra ID pour sécuriser les déclencheurs basés sur des requêtes en exigeant un jeton d'accès valide. Ce jeton doit inclure des revendications spécifiques :

• Émetteur (iss) pour vérifier le fournisseur d'identité
• Public (aud) pour s'assurer que le jeton est destiné à la Logic App
• Sujet (sub) pour identifier l'appelant
• ID JWT (identifiant de jeton Web JSON)
• Revendication personnalisée

Lorsqu'une requête est reçue, les Logic Apps valident le jeton par rapport à ces revendications et permettent l'exécution uniquement s'il correspond à la politique configurée. Cela peut être utilisé pour permettre à un autre locataire de déclencher le workflow ou de refuser le déclenchement d'autres sources, par exemple en n'autorisant le déclenchement que s'il provient de https://login.microsoftonline.com/.

Clés d'accès : Lorsque vous enregistrez un déclencheur basé sur une requête pour la première fois, les Logic Apps créent automatiquement un point de terminaison unique avec une signature SAS (créée à partir de la clé d'accès) qui accorde la permission d'appeler le workflow. Cette signature SAS est intégrée dans l'URL du déclencheur. Cette clé peut être régénérée et elle donnera une nouvelle signature SAS, mais les clés ne peuvent pas être listées.

L'URL pour l'invoquer avec la clé d'accès :

https://.logic.azure.com:443/workflows//triggers//paths/invoke?api-version=&sp=%2Ftriggers%2F%2Frun&sv=&sig=

Énumération

# List
az logic workflow list --resource-group <ResourceGroupName>
# Get info
az logic workflow show --name <LogicAppName> --resource-group <ResourceGroupName>

# Get details of a specific Logic App workflow, including its connections and parameters
az rest \
--method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{workflowName}?api-version=2016-10-01&$expand=connections.json,parameters.json" \
--headers "Content-Type=application/json"

# Get details about triggers for a specific Logic App
az rest --method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{logicAppName}/triggers?api-version=2016-06-01"

# Get the callback URL for a specific trigger in a Logic App
az rest --method POST \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{logicAppName}/triggers/{triggerName}/listCallbackUrl?api-version=2016-06-01"

# Get the history of a specific trigger in a Logic App
az rest --method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{logicAppName}/triggers/{triggerName}/histories?api-version=2016-06-01"

# List all runs of a specific Logic App workflow
az rest \
--method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{workflowName}/runs?api-version=2016-06-01" \
--headers "Content-Type=application/json"

# Get all actions within a specific run of a Logic App workflow
az rest \
--method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{workflowName}/runs/{runName}/actions?api-version=2016-06-01" \
--headers "Content-Type=application/json"

# List all versions of a specific Logic App workflow
az rest \
--method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{workflowName}/versions?api-version=2016-06-01" \
--headers "Content-Type=application/json"

# Get details of a specific version of a Logic App workflow
az rest \
--method GET \
--uri "https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Logic/workflows/{workflowName}/versions/{versionName}?api-version=2016-06-01" \
--headers "Content-Type=application/json"

# List all Logic Apps in the specified resource group
az logicapp list --resource-group <ResourceGroupName>

# Show detailed information about a specific Logic App
az logicapp show --name <LogicAppName> --resource-group <ResourceGroupName>

# List all application settings for a specific Logic App
az logicapp config appsettings list --name <LogicAppName> --resource-group <ResourceGroupName>

# Get a Parameters from an Azure App Service using Azure REST API
az rest --method GET --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/sites/{app-service-name}/hostruntime/admin/vfs/parameters.json?api-version=2018-11-01&relativepath=1"

# Get webhook-triggered workflows from an Azure Logic App using Azure REST API
az rest --method GET --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/sites/{logic-app-name}/hostruntime/runtime/webhooks/workflow/api/management/workflows?api-version=2018-11-01"

# Get workflows from an Azure Logic App using Azure REST API
az rest --method GET --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/sites/{logic-app-name}/workflows?api-version=2018-11-01"

# Get details of a specific workflow including its connections and parameters in Azure Logic Apps using Azure REST API
az rest --method GET --uri "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Web/sites/{logic-app-name}/workflows/{workflow-name}?api-version=2018-11-01&\$expand=connections.json,parameters.json"

Get-Command -Module Az.LogicApp

# List
Get-AzLogicApp -ResourceGroupName <ResourceGroupName>
# Get info
Get-AzLogicApp -ResourceGroupName <ResourceGroupName> -Name <LogicAppName>

# Get details of a specific Logic App workflow run action
Get-AzLogicAppRunAction -ResourceGroupName "<ResourceGroupName>" -Name "<LogicAppName>" -RunName "<RunName>"

# Get the run history for a specific Logic App
Get-AzLogicAppRunHistory -ResourceGroupName "<ResourceGroupName>" -Name "<LogicAppName>"

# Get details about triggers for a specific Logic App
Get-AzLogicAppTrigger -ResourceGroupName "<ResourceGroupName>" -Name "<LogicAppName>"

# Get the callback URL for a specific trigger in a Logic App
Get-AzLogicAppTriggerCallbackUrl -ResourceGroupName "<ResourceGroupName>" -LName "<LogicAppName>" -TriggerName "<TriggerName>"

# Get the history of a specific trigger in a Logic App
Get-AzLogicAppTriggerHistory -ResourceGroupName "<ResourceGroupName>" -Name "<LogicAppName>" -TriggerName "<TriggerName>"

Comptes d'intégration

Comptes d'intégration, sont une fonctionnalité d'Azure Logic Apps. Les Comptes d'intégration sont utilisés pour faciliter les intégrations au niveau de l'entreprise en permettant des capacités B2B avancées, telles que la gestion EDI, AS2 et des schémas XML. Les Comptes d'intégration sont un conteneur dans Azure qui stocke les artefacts suivants utilisés pour les Logic Apps :

• Schémas : Gérer les schémas XML pour valider et traiter les messages dans votre compte d'intégration.
• Cartes : Configurer des transformations basées sur XSLT pour convertir les formats de données au sein de vos flux de travail d'intégration.
• Assemblages : Gérer les assemblages du compte d'intégration pour rationaliser la logique et le traitement des données.
• Certificats : Gérer les certificats pour chiffrer et signer les messages, garantissant une communication sécurisée.
• Partenaires : Gérer les informations sur les partenaires commerciaux pour les transactions B2B, permettant des intégrations sans faille.
• Accords : Configurer des règles et des paramètres pour échanger des données avec des partenaires commerciaux (par exemple, EDI, AS2).
• Configurations de lot : Gérer les configurations de traitement par lot pour regrouper et traiter les messages efficacement.
• RosettaNet PIP : Configurer les processus d'interface partenaire RosettaNet (PIPs) pour standardiser la communication B2B.

Énumération

# Integration account
az logic integration-account list --resource-group <resource-group-name>
az logic integration-account show --resource-group <resource-group-name> --name <integration-account-name>
az logic integration-account list-callback-url --resource-group <resource-group-name> --integration-account-name <integration-account-name>

# Batch-configuration
az logic integration-account batch-configuration list \
--resource-group <resource-group-name> \
--integration-account-name <integration-account-name>

az logic integration-account batch-configuration show \
--resource-group <resource-group-name> \
--integration-account-name <integration-account-name> \
--batch-configuration-name <batch-configuration-name>

# Map
az logic integration-account map list \
--resource-group <resource-group-name> \
--integration-account <integration-account-name>

az logic integration-account map show \
--resource-group <resource-group-name> \
--integration-account <integration-account-name> \
--map-name <map-name>

# Partner
az logic integration-account partner list \
--resource-group <resource-group-name> \
--integration-account <integration-account-name>

az logic integration-account partner show \
--resource-group <resource-group-name> \
--integration-account <integration-account-name> \
--name <partner-name>

# Session
az logic integration-account session list \
--resource-group <resource-group-name> \
--integration-account <integration-account-name>

az logic integration-account session show \
--resource-group <resource-group-name> \
--integration-account <integration-account-name> \
--name <session-name>

# Assembly
# Session
az logic integration-account assembly list \
--resource-group <resource-group-name> \
--integration-account <integration-account-name>

az logic integration-account assembly show \
--resource-group <resource-group-name> \
--integration-account <integration-account-name> \
--assembly-artifact-name <assembly-name>

Get-Command -Module Az.LogicApp

# Retrieve details of an integration account
Get-AzIntegrationAccount -ResourceGroupName <resource-group-name> -Name <integration-account-name>

# Retrieve the callback URL of an integration account
Get-AzIntegrationAccountCallbackUrl -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name>

# Retrieve details of a specific agreement in an integration account
Get-AzIntegrationAccountAgreement -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <agreement-name>

# Retrieve details of a specific assembly in an integration account
Get-AzIntegrationAccountAssembly -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <assembly-name>

# Retrieve details of a specific batch configuration in an integration account
Get-AzIntegrationAccountBatchConfiguration -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <batch-configuration-name>

# Retrieve details of a specific certificate in an integration account
Get-AzIntegrationAccountCertificate -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <certificate-name>

# Retrieve details of a specific map in an integration account
Get-AzIntegrationAccountMap -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <map-name>

# Retrieve details of a specific partner in an integration account
Get-AzIntegrationAccountPartner -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <partner-name>

# Retrieve details of a specific schema in an integration account
Get-AzIntegrationAccountSchema -ResourceGroupName <resource-group-name> -IntegrationAccountName <integration-account-name> -Name <schema-name>

Escalade de privilèges

Identique à la privesc des applications logiques :

Az - Logic Apps Privesc

Post-exploitation

Az - Logic Apps Post Exploitation