lunes, 29 de agosto de 2022

De paso por Azure con nuestro Hound: Recolección de información para BloodHound

 Estimados amigos de Inseguros !!!

Hace muchos post que empezamos a dar tips para el uso de la herramienta BloodHound. No será este el post de inicio, aunque este me gusta mucho. De mi amigo el dragón...

La cuestión es que desde hace varias versiones tenemos la posibilidad de realizar búsquedas sobre objetos de Azure. Para ello, usaremos la versión más reciente de BloodHound y el "ingestor" el "recolector" de datos de Azure, AzureHound.

El proceso de instalación es tan sencillo como bajar la aplicación "Collector" al igual que hacemos con BloodHound para "on-premise".

Los procesos de recolección están muy bien recogidos en el manual, pero hacemos hincapie en el caso de que la cuenta de Azure que le proporcionemos tenga el MFA activado, vamos a tener que hacer uso de un "viejo" amigo que hemos visto aquí, el Refresh Token y el proceso de Device Auth para autenticar nuestra máquina, pasarle el token y con esto evitar tener que autenticar el MFA en la ejecución de la tool. Lo hacemos antes. 

Lo que hacemos es, generar la petición de Device Auth. Nos pide Code, se lo damos ( nos pedirá nuestro mfa) y con el token que nos devuelve, nos logueamos desde Azure Hound. Mejor explicado aquí.

La cuestión es lanzar la herramienta, recopilar la información de Azure, y en un solo "jota-son" importamos. Una campana de satisfacción suena en nuestra cabeza.


Y ya podemos hacer la magia de las consultas para ver pertenencias, permisos, etc.



La potencia de enumerar los objetos es la de usar el lenguaje de consultas Cypher para realizar eso, precisamente nuestras búsquedas, ya sea defensivas u ofensivas.

Este recurso tiene buenas búsquedas. 

Como siempre, espero que os sirve y que os guste el post, gracias por leerme !!!