Az - VMs & Network Post Exploitation

Reading time: 5 minutes

VMs & Network

Para mais informações sobre Azure VMs e rede, consulte a página a seguir:

Az - Virtual Machines & Network

VM Application Pivoting

As aplicações VM podem ser compartilhadas com outras assinaturas e locatários. Se uma aplicação está sendo compartilhada, é provavelmente porque está sendo utilizada. Portanto, se o atacante conseguir comprometer a aplicação e enviar uma versão com backdoor, pode ser possível que ela seja executada em outro locatário ou assinatura.

Informações sensíveis em imagens

Pode ser possível encontrar informações sensíveis dentro de imagens tiradas de VMs no passado.

1. Listar imagens de galerias

# Get galleries
az sig list -o table

# List images inside gallery
az sig image-definition list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
-o table

# Get images versions
az sig image-version list \
--resource-group <RESOURCE_GROUP> \
--gallery-name <GALLERY_NAME> \
--gallery-image-definition <IMAGE_DEFINITION> \
-o table

2. Listar imagens personalizadas

az image list -o table

3. Criar VM a partir do ID da imagem e procurar informações sensíveis dentro dela

# Create VM from image
az vm create \
--resource-group <RESOURCE_GROUP> \
--name <VM_NAME> \
--image /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/galleries/<GALLERY_NAME>/images/<IMAGE_DEFINITION>/versions/<IMAGE_VERSION> \
--admin-username <ADMIN_USERNAME> \
--generate-ssh-keys

Informações sensíveis em pontos de restauração

Pode ser possível encontrar informações sensíveis dentro de pontos de restauração.

1. Listar pontos de restauração

az restore-point list \
--resource-group <RESOURCE_GROUP> \
--restore-point-collection-name <COLLECTION_NAME> \
-o table

2. Criar um disco a partir de um ponto de restauração

az disk create \
--resource-group <RESOURCE_GROUP> \
--name <NEW_DISK_NAME> \
--source /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Compute/restorePointCollections/<COLLECTION_NAME>/restorePoints/<RESTORE_POINT_NAME>

3. Anexar o disco a uma VM (o atacante precisa já ter comprometido uma VM dentro da conta)

az vm disk attach \
--resource-group <RESOURCE_GROUP> \
--vm-name <VM_NAME> \
--name <DISK_NAME>

4. Monte o disco e procure informações sensíveis

# List all available disks
sudo fdisk -l

# Check disk format
sudo file -s /dev/sdX

# Mount it
sudo mkdir /mnt/mydisk
sudo mount /dev/sdX1 /mnt/mydisk

Informações sensíveis em discos e snapshots

Pode ser possível encontrar informações sensíveis dentro de discos ou até mesmo snapshots antigos de discos.

1. Listar snapshots

az snapshot list \
--resource-group <RESOURCE_GROUP> \
-o table

2. Criar disco a partir do snapshot (se necessário)

az disk create \
--resource-group <RESOURCE_GROUP> \
--name <DISK_NAME> \
--source <SNAPSHOT_ID> \
--size-gb <DISK_SIZE>

3. Anexar e montar o disco a uma VM e procurar por informações sensíveis (verifique a seção anterior para ver como fazer isso)

Informações sensíveis em Extensões de VM e Aplicações de VM

Pode ser possível encontrar informações sensíveis dentro de extensões de VM e aplicações de VM.

1. Listar todos os aplicativos de VM

## List all VM applications inside a gallery
az sig gallery-application list --gallery-name <gallery-name> --resource-group <res-group> --output table

2. Instale a extensão em uma VM e procure por informações sensíveis

az vm application set \
--resource-group <rsc-group> \
--name <vm-name> \
--app-version-ids /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.Compute/galleries/myGallery/applications/myReverseShellApp/versions/1.0.2 \
--treat-deployment-as-failure true