HackTricks CloudAz - Front Door
Reading time: 5 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
RemoteAddr Bypass
This blog post пояснює, що під час налаштування деяких мережевих обмежень з Azure Front Door ви можете фільтрувати на основі RemoteAddr або SocketAddr. Головна різниця в тому, що RemoteAddr фактично використовує значення з HTTP-заголовка X-Forwarded-For, що робить його дуже простим для обходу.
Щоб обійти це правило, можна використовувати автоматизовані інструменти, які виконують brute-force IP addresses доти, доки не знайдуть дійсну адресу.
Про це згадується в Microsoft documentation.
Credential Skimming via WAF Custom Rules + Log Analytics
Зловживання Azure Front Door (AFD) WAF Custom Rules у поєднанні з Log Analytics для перехоплення cleartext credentials (або інших секретів), що проходять через WAF. Це не CVE; це неправильне використання легітимних функцій будь-ким, хто може змінити WAF policy і читати її logs.
Ключові поведінкові моменти, що дозволяють це:
- AFD WAF Custom Rules можуть матчитись по елементах запиту, включаючи headers та POST parameters.
- Коли Custom Rule використовує дію Log traffic only, оцінка продовжується і трафік проходить далі (немає short-circuit), зберігаючи нормальний/прихований потік.
- AFD записує докладну діагностику в Log Analytics під Category FrontDoorWebApplicationFirewallLog. Деталі співпадінь payload включені в details_matches_s разом з іменем правила в ruleName_s.
Повний робочий процес
- Identify target POST parameters
- Перегляньте форму входу і запишіть імена параметрів (наприклад, username, password).
- Enable diagnostics to Log Analytics
- У вашому Front Door profile > Monitoring > Diagnostic settings надішліть логи до Log Analytics workspace.
- Як мінімум, увімкніть категорію: FrontDoorWebApplicationFirewallLog.
- Create a malicious Custom Rule
- Front Door WAF Policy > Custom rules > New rule:
- Name: innocuous name, e.g., PasswordCapture
- Priority: low number (e.g., 5) so it evaluates early
- Match: POST arguments username and password with Operator = Any (match any value)
- Action: Log traffic only
- Generate events
curl -i -X POST https://example.com/login \
-H "Content-Type: application/x-www-form-urlencoded" \
--data "username=alice&password=S3cret!"
- Витягти облікові дані з Log Analytics (KQL)
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where ruleName_s == "PasswordCapture"
| project TimeGenerated, ruleName_s, details_matches_s
| order by TimeGenerated desc
Будь ласка, вставте вміст файлу src/pentesting-cloud/azure-security/az-services/az-front-door.md, який потрібно перекласти. Я перекладу весь англійський текст українською, зберігши незмінними код, теги, посилання, шляхи та синтаксис markdown/html.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog" and ruleName_s == "PasswordCapture"
| extend m = parse_json(details_matches_s)
| mv-expand match = m.matches
| project TimeGenerated, ruleName_s, match.matchVariableName, match.matchVariableValue
| order by TimeGenerated desc
Збіги значень відображаються в details_matches_s і містять cleartext значення, що співпали з вашим правилом.
Чому Front Door WAF, а не Application Gateway WAF?
- Логи custom-rule для Application Gateway WAF не включають проблемні значення POST/заголовків так само; діагностика AFD WAF включає співпавший вміст у details, що дозволяє захоплювати облікові дані.
Прихованість і варіанти
- Встановіть Action на Log traffic only, щоб уникнути порушення запитів і дозволити іншим правилам оцінюватися нормально.
- Задайте невисокий числовий Priority, щоб ваше правило логування виконувалося перед пізнішими правилами Block/Allow.
- Ви можете націлювати будь-які чутливі імена/розташування, не лише POST params (наприклад, заголовки типу Authorization або API tokens у полях тіла).
Передумови
- Існуючий екземпляр Azure Front Door.
- Дозволи на редагування політики AFD WAF та читання пов'язаного Log Analytics workspace.
Посилання
- https://trustedsec.com/blog/azures-front-door-waf-wtf-ip-restriction-bypass
- Skimming Credentials with Azure's Front Door WAF
- Azure WAF on Front Door monitoring and logging
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.