From 0b987c6d4da9d7106248b4d0e1b6f646e523d419 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 18:21:41 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom --- src/SUMMARY.md | 1 + .../az-automation-accounts-persistence.md | 33 +++++++++++++++++++ 2 files changed, 34 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..e233dc3b7 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Automatiseringsrekening Volharding + +{{#include ../../../banners/hacktricks-training.md}} + +## Berging Privesc + +Vir meer inligting oor Automatiseringsrekeninge, kyk: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Agterdeur bestaande runbook + +As 'n aanvaller toegang tot die automatiseringsrekening het, kan hy **'n agterdeur byvoeg** aan 'n bestaande runbook om **volharding te handhaaf** en **data** soos tokens te **exfiltreer** elke keer wanneer die runbook uitgevoer word. + +### Skedules & Webhooks + +Skep of wysig 'n bestaande Runbook en voeg 'n skedule of webhook by. Dit sal 'n aanvaller in staat stel om **volharding te handhaaf selfs as toegang tot die omgewing verlore gegaan het** deur die agterdeur uit te voer wat dalk tokens van die MI op spesifieke tye of wanneer hy wil kan lek deur 'n versoek na die webhook te stuur. + +### Malware binne 'n VM wat in 'n hibriede werker groep gebruik word + +As 'n VM as 'n hibriede werker groep gebruik word, kan 'n aanvaller **malware installeer** binne die VM om **volharding te handhaaf** en **data** soos tokens te **exfiltreer** vir die bestuurde identiteite wat aan die VM en aan die automatiseringsrekening gegee word met behulp van die VM. + +### Pasgemaakte omgewing pakkette + +As die automatiseringsrekening pasgemaakte pakkette in pasgemaakte omgewings gebruik, kan 'n aanvaller **die pakket wysig** om **volharding te handhaaf** en **data** soos tokens te **exfiltreer**. Dit sal ook 'n stealth volhardingsmetode wees aangesien pasgemaakte pakkette wat handmatig opgelaai word selde vir kwaadwillige kode nagegaan word. + +### Kompromitteer eksterne repos + +As die automatiseringsrekening eksterne repos gebruik om die kode soos Github te stoor, kan 'n aanvaller die **repo kompromitteer** om **volharding te handhaaf** en **data** soos tokens te **exfiltreer**. Dit is veral interessant as die nuutste weergawe van die kode outomaties met die runbook gesinkroniseer word. + +{{#include ../../../banners/hacktricks-training.md}}