Az - Utrzymywanie Kont Automatyzacji

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Privesc w magazynie

Aby uzyskać więcej informacji na temat Kont Automatyzacji, sprawdź:

Az - Automation Accounts

Backdoor w istniejącym runbooku

Jeśli atakujący ma dostęp do konta automatyzacji, może dodać backdoor do istniejącego runbooka, aby utrzymać persistencję i wykradać dane takie jak tokeny za każdym razem, gdy runbook jest wykonywany.

Harmonogramy i Webhooki

Utwórz lub zmodyfikuj istniejący Runbook i dodaj do niego harmonogram lub webhook. To pozwoli atakującemu utrzymać persistencję, nawet jeśli dostęp do środowiska został utracony, wykonując backdoor, który może wykradać tokeny z MI w określonych porach lub kiedykolwiek chce, wysyłając żądanie do webhooka.

Złośliwe oprogramowanie wewnątrz VM używanej w grupie roboczej hybrydowej

Jeśli VM jest używana jako grupa robocza hybrydowa, atakujący może zainstalować złośliwe oprogramowanie wewnątrz VM, aby utrzymać persistencję i wykradać dane takie jak tokeny dla zarządzanych tożsamości przypisanych do VM i do konta automatyzacji korzystającego z VM.

Niestandardowe pakiety środowiskowe

Jeśli konto automatyzacji korzysta z niestandardowych pakietów w niestandardowych środowiskach, atakujący może zmodyfikować pakiet, aby utrzymać persistencję i wykradać dane takie jak tokeny. To byłby również sposób na utrzymanie persistencji w sposób ukryty, ponieważ niestandardowe pakiety przesyłane ręcznie rzadko są sprawdzane pod kątem złośliwego kodu.

Kompromitacja zewnętrznych repozytoriów

Jeśli konto automatyzacji korzysta z zewnętrznych repozytoriów do przechowywania kodu, takich jak Github, atakujący może skompromitować repozytorium, aby utrzymać persistencję i wykradać dane takie jak tokeny. Jest to szczególnie interesujące, jeśli najnowsza wersja kodu jest automatycznie synchronizowana z runbookiem.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.