gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-27 13:13:06 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

Browse Source
This commit is contained in:
Translator
2025-02-17 17:15:27 +00:00
parent d55558d20e
commit 41dde23ed0
11 changed files with 96 additions and 96 deletions
Download Patch File Download Diff File Expand all files Collapse all files

2
src/pentesting-cloud/aws-security/aws-services/aws-sqs-and-sns-enum.md
View File

@@ -4,7 +4,7 @@
## SQS
Amazon Simple Queue Service (SQS) word aangebied as 'n **volledig bestuurde boodskapkwotasie-diens**. Die hooffunksie is om te help met die skaal en ontkoppeling van mikrodiens, verspreide stelsels en serverlose toepassings. Die diens is ontwerp om die behoefte aan die bestuur en werking van boodskap-georiënteerde middleware te verwyder, wat dikwels kompleks en hulpbron-intensief kan wees. Hierdie verwydering van kompleksiteit stel ontwikkelaars in staat om hul pogings te rig op meer innoverende en differensierende aspekte van hul werk.
Amazon Simple Queue Service (SQS) word aangebied as 'n **volledig bestuurde boodskapkwotasie-diens**. Die hooffunksie is om te help met die skaal en ontkoppeling van mikrodiens, verspreide stelsels en serverless toepassings. Die diens is ontwerp om die behoefte aan die bestuur en werking van boodskap-georiënteerde middleware te verwyder, wat dikwels kompleks en hulpbron-intensief kan wees. Hierdie verwydering van kompleksiteit stel ontwikkelaars in staat om hul pogings te rig op meer innoverende en differensierende aspekte van hul werk.
### Enumeration
```bash

10
src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md
View File

@@ -12,21 +12,21 @@ Vir meer inligting, kyk:
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
'n Aanvaller met hierdie toestemming kan boodskappe van 'n Azure Storage Queue afkyk. Dit stel die aanvaller in staat om die inhoud van boodskappe te sien sonder om hulle as verwerk te merk of hul toestand te verander. Dit kan lei tot ongemagtigde toegang tot sensitiewe inligting, wat data-exfiltrasie of die versameling van intelligensie vir verdere aanvalle moontlik maak.
'n Aanvaller met hierdie toestemming kan boodskappe van 'n Azure Storage Queue afkyk. Dit stel die aanvaller in staat om die inhoud van boodskappe te sien sonder om dit as verwerk te merk of hul toestand te verander. Dit kan lei tot ongemagtigde toegang tot sensitiewe inligting, wat data-exfiltrasie of die insameling van intelligensie vir verdere aanvalle moontlik maak.
```bash
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
**Potensiële Impak**: Onbevoegde toegang tot die wag, boodskap blootstelling, of wag manipulasie deur onbevoegde gebruikers of dienste.
**Potensiële Impak**: Onbevoegde toegang tot die wag, boodskapblootstelling, of wagmanipulasie deur onbevoegde gebruikers of dienste.
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot sensitiewe data wat blootgestel word, ontwrigtings in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot die blootstelling van sensitiewe data, ontwrigtings in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
```bash
az storage message get --queue-name <queue_name> --account-name <storage_account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-geautoriseerde data in die queue in te spuit, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-gesagde data in die queue in te voeg, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
```
@@ -58,7 +58,7 @@ az storage message clear --queue-name <queue-name> --account-name <storage-accou
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
Hierdie toestemming laat 'n aanvaller toe om rye te skep of te wysig en hul eienskappe binne die stoorrekening. Dit kan gebruik word om nie-gesagde rye te skep, metadata te wysig, of toegangbeheerlys (ACLs) te verander om toegang toe te laat of te beperk. Hierdie vermoë kan werksvloei ontwrig, kwaadwillige data in te voeg, sensitiewe inligting te eksfiltreer, of ryinstellings te manipuleer om verdere aanvalle moontlik te maak.
Hierdie toestemming laat 'n aanvaller toe om rye te skep of te wysig en hul eienskappe binne die stoorrekening. Dit kan gebruik word om ongeoorloofde rye te skep, metadata te wysig, of toegangbeheerlys (ACLs) te verander om toegang toe te staan of te beperk. Hierdie vermoë kan werksvloei ontwrig, kwaadwillige data inspuit, sensitiewe inligting eksfiltreer, of ryinstellings manipuleer om verdere aanvalle moontlik te maak.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>

10
src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md
View File

@@ -28,29 +28,29 @@ az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name
```bash
az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
### Aksies: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete`
### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete`
'n Aanvaller met hierdie toestemming kan 'n Azure Service Bus-subskripsie verwyder. Hierdie aksie verwyder die subskripsie en al sy geassosieerde boodskappe, wat moontlik werksvloei, data verwerking en stelsels se bedrywighede wat op die subskripsie staatmaak, kan ontwrig.
'n Aanvaller met hierdie toestemming kan 'n Azure Service Bus-subskripsie verwyder. Hierdie aksie verwyder die subskripsie en al sy geassosieerde boodskappe, wat moontlik werksvloei, dataverwerking en stelsels se bedrywighede wat op die subskripsie staatmaak, kan ontwrig.
```bash
az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
```
### Aksies: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`)
'n Aanvaller met regte om Azure Service Bus-rye te skep of te wysig (om die ry te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/queues/read` benodig) kan dit benut om data te onderskep, werksvloei te ontwrig, of ongeoorloofde toegang te verkry. Hulle kan kritieke konfigurasies verander, soos om boodskappe na kwaadwillige eindpunte te stuur, boodskap TTL aan te pas om data onregmatig te behou of te verwyder, of om dead-lettering in te skakel om met fouthantering te bemoei. Daarbenewens kan hulle ry-grootte, vergrendelingsduur of statusse manipuleer om diensfunksionaliteit te ontwrig of om opsporing te ontduik, wat dit 'n beduidende post-exploitatie risiko maak.
'n Aanvaller met toestemmings om Azure Service Bus-rye te skep of te wysig (om die ry te wysig sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/queues/read` benodig) kan dit benut om data te onderskep, werksvloei te ontwrig, of ongeoorloofde toegang te verkry. Hulle kan kritieke konfigurasies verander soos om boodskappe na kwaadwillige eindpunte te stuur, boodskap TTL aan te pas om data onregmatig te behou of te verwyder, of om dead-lettering in te skakel om met fouthantering te bemoei. Daarbenewens kan hulle ry-grootte, vergrendelingsduur of statusse manipuleer om diensfunksionaliteit te ontwrig of om opsporing te ontduik, wat dit 'n beduidende post-exploitatie risiko maak.
```bash
az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
```
### Aksies: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`)
'n Aanvaller met toestemmings om onderwerpe te skep of te wysig (om die onderwerp te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/topics/read` benodig) binne 'n Azure Service Bus-namespace kan dit gebruik om boodskapwerkvloei te ontwrig, sensitiewe data bloot te stel, of ongeoorloofde aksies moontlik te maak. Deur opdragte soos az servicebus topic update te gebruik, kan hulle konfigurasies manipuleer soos om partitionering vir skaalbaarheid misbruik in te stel, TTL-instellings te verander om boodskappe onregmatig te behou of te verwerp, of om duplikaatdetectie te deaktiveer om kontroles te omseil. Daarbenewens kan hulle onderwerp groottegrense aanpas, status verander om beskikbaarheid te ontwrig, of ekspressonderwerpe konfigureer om tydelik onderskepte boodskappe te stoor, wat onderwerpbestuur 'n kritieke fokus vir post-exploitatie-mitigering maak.
'n Aanvaller met toestemmings om onderwerpe te skep of te wysig (om die onderwerp te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/topics/read` benodig) binne 'n Azure Service Bus-namespace kan dit benut om boodskapwerkvloei te ontwrig, sensitiewe data bloot te stel, of ongeoorloofde aksies moontlik te maak. Deur opdragte soos az servicebus topic update te gebruik, kan hulle konfigurasies manipuleer soos om partitionering vir skaalbaarheid misbruik in te stel, TTL-instellings te verander om boodskappe onregmatig te behou of te verwerp, of om duplikaatdetectie te deaktiveer om kontroles te omseil. Daarbenewens kan hulle onderwerp groottegrense aanpas, status verander om beskikbaarheid te ontwrig, of ekspressonderwerpe konfigureer om tydelik onderskepte boodskappe te stoor, wat onderwerp bestuur 'n kritieke fokus vir post-exploitatie-mitigasie maak.
```bash
az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
```
### Aksies: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`)
'n Aanvaller met toestemmings om subskripsies te skep of te wysig (om die subskripsie te wysig, sal jy ook die Aksie: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` benodig) binne 'n Azure Service Bus onderwerp kan dit gebruik om boodskapwerkvloei te onderskep, om te lei of te ontwrig. Deur opdragte soos az servicebus topic subscription update te gebruik, kan hulle konfigurasies manipuleer soos om doodbriefing in te skakel om boodskappe te lei, boodskappe na nie-geautoriseerde eindpunte te stuur, of TTL en vergrendelingsduur te wysig om boodskapaflewering te behou of te beïnvloed. Boonop kan hulle status of maksimum afleweringsgetal instellings verander om bedrywighede te ontwrig of opsporing te vermy, wat subskripsiebeheer 'n kritieke aspek van post-exploitasiestelsels maak.
'n Aanvaller met toestemmings om subskripsies te skep of te wysig (om die subskripsie te wysig, sal jy ook die Aksie: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` benodig) binne 'n Azure Service Bus onderwerp kan dit gebruik om boodskapwerkvloei te onderskep, om te lei of te ontwrig. Deur opdragte soos az servicebus topic subscription update te gebruik, kan hulle konfigurasies manipuleer soos om doodbriefing in te skakel om boodskappe te lei, boodskappe na nie-geautoriseerde eindpunte te stuur, of TTL en slotduur te wysig om boodskapaflewering te behou of te beïnvloed. Daarbenewens kan hulle status of maksimum afleweringsgetal instellings verander om bedrywighede te ontwrig of opsporing te ontduik, wat subskripsiebeheer 'n kritieke aspek van post-exploitasiestelsels maak.
```bash
az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>

14
src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md
View File

@@ -12,7 +12,7 @@ Vir meer inligting oor SQL Databasis, kyk:
### `Microsoft.Sql/servers/databases/read`, `Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/databases/write`
Met hierdie toestemmings kan 'n aanvaller databasis binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
Met hierdie toestemmings kan 'n aanvaller databasis skep en opdateer binne die gecompromitteerde omgewing. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
```bash
# Create Database
az sql db create --resource-group <resource-group> --server <server-name> --name <new-database-name>
@@ -32,7 +32,7 @@ az sql db restore \
```
### `Microsoft.Sql/servers/elasticPools/write` && `Microsoft.Sql/servers/elasticPools/read`
Met hierdie toestemmings kan 'n aanvaller elastiese poele binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitasiemaatreël kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
Met hierdie toestemmings kan 'n aanvaller elastiese poele binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
```bash
# Create Elastic Pool
az sql elastic-pool create \
@@ -52,7 +52,7 @@ az sql elastic-pool update \
```
### `Microsoft.Sql/servers/auditingSettings/read` && `Microsoft.Sql/servers/auditingSettings/write`
Met hierdie toestemming kan jy ouditinstellings op 'n Azure SQL Server wysig of aktiveer. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om ouditkonfigurasies te manipuleer, wat moontlik spore kan bedek of ouditlogs na 'n plek onder hul beheer kan herlei. Dit kan sekuriteitsmonitering belemmer of dit in staat stel om die aksies op te volg. LET WEL: Om ouditering vir 'n Azure SQL Server met Blob Storage te aktiveer, moet jy 'n stoorrekening koppel waar die ouditlogs gestoor kan word.
Met hierdie toestemming kan jy ouditinstellings op 'n Azure SQL Server wysig of aktiveer. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om ouditkonfigurasies te manipuleer, wat moontlik spore kan bedek of ouditlogs na 'n plek onder hul beheer kan herlei. Dit kan sekuriteitsmonitering hindern of dit in staat stel om die aksies op te volg. LET WEL: Om ouditering vir 'n Azure SQL Server met Blob Storage te aktiveer, moet jy 'n stoorrekening koppel waar die ouditlogs gestoor kan word.
```bash
az sql server audit-policy update \
--server <server_name> \
@@ -63,7 +63,7 @@ az sql server audit-policy update \
```
### `Microsoft.Sql/locations/connectionPoliciesAzureAsyncOperation/read`, `Microsoft.Sql/servers/connectionPolicies/read` && `Microsoft.Sql/servers/connectionPolicies/write`
Met hierdie toestemming kan jy die verbindsbeleid van 'n Azure SQL Server wysig. Hierdie vermoë kan benut word om bediener-vlak verbinsettings te aktiveer of te verander.
Met hierdie toestemming kan jy die verbintningsbeleide van 'n Azure SQL Server wysig. Hierdie vermoë kan benut word om bediener-vlak verbintningsinstellings in te skakel of te verander.
```bash
az sql server connection-policy update \
--server <server_name> \
@@ -86,7 +86,7 @@ az sql db export \
```
### `Microsoft.Sql/servers/databases/import/action`
Met hierdie toestemming kan jy 'n databasis in 'n Azure SQL Server invoer. 'n Aanvaller of gemagtigde gebruiker met hierdie toestemming kan potensieel kwaadwillige of gemanipuleerde databasisse oplaai. Dit kan lei tot die verkryging van beheer oor sensitiewe data of deur skadelike skripte of triggers binne die ingevoerde databasis in te sluit. Boonop kan jy dit na jou eie bediener in Azure invoer. Let wel: Die bediener moet Azure-dienste en -hulpbronne toelaat om toegang tot die bediener te verkry.
Met hierdie toestemming kan jy 'n databasis in 'n Azure SQL Server invoer. 'n Aanvaller of gemagtigde gebruiker met hierdie toestemming kan moontlik kwaadwillige of gemanipuleerde databasisse oplaai. Dit kan lei tot die verkryging van beheer oor sensitiewe data of deur skadelike skripte of triggers binne die ingevoerde databasis in te sluit. Boonop kan jy dit na jou eie bediener in Azure invoer. Let wel: Die bediener moet Azure-dienste en -hulpbronne toelaat om toegang tot die bediener te verkry.
```bash
az sql db import --admin-user <admin-user> \
--admin-password <admin-password> \
@@ -108,7 +108,7 @@ az sql server conn-policy update \
```
### `Microsoft.Sql/servers/keys/write` && `Microsoft.Sql/servers/keys/read`
Met hierdie toestemmings kan 'n gebruiker enkripsiesleutels wat met 'n Azure SQL Server geassosieer is, opdateer en terughaal. Hierdie sleutels word dikwels gebruik om sensitiewe data deur enkripsie te beveilig, so om hulle te manipuleer kan datasekuriteit in gevaar stel deur ongeoorloofde ontsleuteling of sleuteldraaiingsveranderinge toe te laat.
Met hierdie toestemmings kan 'n gebruiker versleuteling sleutels wat met 'n Azure SQL Server geassosieer is, opdateer en terughaal. Hierdie sleutels word dikwels gebruik om sensitiewe data deur middel van versleuteling te beveilig, so om hulle te manipuleer kan datasekuriteit in gevaar stel deur ongeoorloofde ontsleuteling of sleutelrotasie veranderinge toe te laat.
```bash
az sql server key create \
--resource-group MyResourceGroup \
@@ -117,7 +117,7 @@ az sql server key create \
```
### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read`
Hierdie toestemmings toelaat die deaktivering van Ledger Digest vir 'n Azure SQL Database, wat die periodieke opgradering van kriptografiese digestrekords na Azure Blob Storage stop wat die integriteit van data verifieer.
Hierdie toestemmings toelaat die deaktivering van Ledger Digest vir 'n Azure SQL-databasis, wat die periodieke opgradering van kriptografiese digestrekords na Azure Blob Storage stop wat die integriteit van data verifieer.
```bash
az sql db ledger-digest-uploads disable \
--name ledgerDB \

6
src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
View File

@@ -20,13 +20,13 @@ az storage message peek --queue-name <queue_name> --account-name <storage_accoun
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot die blootstelling van sensitiewe data, ontwrigting in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot die blootstelling van sensitiewe data, ontwrigtings in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
```bash
az storage message get --queue-name <queue_name> --account-name <storage_account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-gesagde data in die lys in te voeg, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-gesagde data in die queue in te voeg, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
```
@@ -46,7 +46,7 @@ az storage message update --queue-name <queue-name> \
```
### Action: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
Hierdie toestemming laat 'n aanvaller toe om rye en hul eienskappe binne die stoorrekening te skep of te wysig. Dit kan gebruik word om ongeoorloofde rye te skep, metadata te wysig, of toegangbeheerlys (ACLs) te verander om toegang toe te laat of te beperk. Hierdie vermoë kan werksvloei onderbreek, kwaadwillige data inspuit, sensitiewe inligting eksfiltreer, of ryinstellings manipuleer om verdere aanvalle moontlik te maak.
Hierdie toestemming laat 'n aanvaller toe om rye en hul eienskappe binne die stoorrekening te skep of te wysig. Dit kan gebruik word om ongeoorloofde rye te skep, metadata te wysig, of toegangbeheerlyste (ACL's) te verander om toegang toe te staan of te beperk. Hierdie vermoë kan werksvloei's ontwrig, kwaadwillige data inspuit, sensitiewe inligting eksfiltreer, of ryinstellings manipuleer om verdere aanvalle moontlik te maak.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>

14
src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
View File

@@ -12,9 +12,9 @@ Vir meer inligting, kyk:
### Microsoft.ServiceBus/namespaces/authorizationrules/listKeys/action OF Microsoft.ServiceBus/namespaces/authorizationrules/regenerateKeys/action
Hierdie toestemmings laat jou toe om die sleutels vir plaaslike magtigingsreëls binne 'n Service Bus-namespace te verkry of te hernu. Deur hierdie sleutels te gebruik, is dit moontlik om as die Service Bus-namespace te autentiseer, wat jou in staat stel om boodskappe na enige wachtrij of onderwerp te stuur, boodskappe van enige wachtrij of subskripsie te ontvang, of moontlik met die stelsel te interaksie op maniere wat operasies kan ontwrig, geldige gebruikers kan naboots, of kwaadwillige data in die boodskapwerkvloei kan inspuit.
Hierdie toestemmings laat jou toe om die sleutels vir plaaslike magtigingsreëls binne 'n Service Bus-namespace te verkry of te hergenerer. Deur hierdie sleutels te gebruik, is dit moontlik om as die Service Bus-namespace te autentiseer, wat jou in staat stel om boodskappe na enige wachtrij of onderwerp te stuur, boodskappe van enige wachtrij of subskripsie te ontvang, of moontlik met die stelsel te kommunikeer op maniere wat operasies kan ontwrig, geldige gebruikers kan naboots, of kwaadwillige data in die boodskapwerkvloei kan inspuit.
Let daarop dat die **`RootManageSharedAccessKey`-reël standaard volle beheer** oor die Service Bus-namespace het en dit deur die `az` cli gebruik word, egter kan daar ander reëls met ander sleutelwaardes bestaan.
Let daarop dat die **`RootManageSharedAccessKey`-reël standaard volle beheer** oor die Service Bus-namespace het en dit deur die `az` cli gebruik word; egter, ander reëls met ander sleutelwaardes mag bestaan.
```bash
# List keys
az servicebus namespace authorization-rule keys list --resource-group <res-group> --namespace-name <namespace-name> --authorization-rule-name RootManageSharedAccessKey [--authorization-rule-name RootManageSharedAccessKey]
@@ -82,9 +82,9 @@ Met hierdie toestemmings **kan 'n aanvaller "lokale outentisering" heraktiveer**
```bash
az servicebus namespace update --disable-local-auth false -n <namespace-name> --resource-group <res-group>
```
### Stuur boodskappe met sleutels (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OF Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action)
### Stuur Berigte met sleutels (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OF Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action)
Jy kan die `PrimaryConnectionString` verkry, wat as 'n geloofsbrief vir die Service Bus-namespace optree. Met hierdie verbindingsstring kan jy ten volle outentiseer as die Service Bus-namespace, wat jou in staat stel om boodskappe na enige wachtrij of onderwerp te stuur en moontlik met die stelsel te kommunikeer op maniere wat operasies kan ontwrig, geldige gebruikers kan naboots, of kwaadwillige data in die boodskapwerkvloei kan inspuit. Hierdie metode werk as `--disable-local-auth` op vals gestel is.
Jy kan die `PrimaryConnectionString` verkry, wat as 'n geloofsbrief vir die Service Bus-namespace optree. Met hierdie verbindingsstring kan jy ten volle autentiseer as die Service Bus-namespace, wat jou in staat stel om berigte na enige wachtrij of onderwerp te stuur en moontlik met die stelsel te kommunikeer op maniere wat operasies kan ontwrig, geldige gebruikers kan naboots, of kwaadwillige data in die boodskapwerkvloei kan inspuit. Hierdie metode werk as `--disable-local-auth` op vals gestel is.
```python
import asyncio
from azure.servicebus.aio import ServiceBusClient
@@ -131,7 +131,7 @@ az rest --method post \
```
### Ontvang met sleutels (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OF Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action)
Jy kan die PrimaryConnectionString verkry, wat as 'n geloofsbrief vir die Service Bus-namespace dien. Met hierdie verbindingsstring kan jy boodskappe ontvang van enige wachtrij of subskripsie binne die namespace, wat toegang tot potensieel sensitiewe of kritieke data moontlik maak, data-exfiltrasie moontlik maak, of inmeng met boodskapverwerking en toepassingswerkvloei. Hierdie metode werk as `--disable-local-auth` op vals gestel is.
Jy kan die PrimaryConnectionString verkry, wat as 'n geloofsbrief vir die Service Bus-namespace dien. Met hierdie verbindingsstring kan jy boodskappe van enige wachtrij of subskripsie binne die namespace ontvang, wat toegang tot potensieel sensitiewe of kritieke data moontlik maak, data-uitvloeiing moontlik maak, of inmeng met boodskapverwerking en toepassingswerkvloei. Hierdie metode werk as `--disable-local-auth` op vals gestel is.
```python
import asyncio
from azure.servicebus.aio import ServiceBusClient
@@ -182,7 +182,7 @@ sas_token = generate_sas_token(resource_uri, "<KEYNAME>", "<PRIMARY_KEY>")
print(sas_token)
```
Vir 'n wachtrij kan jy die boodskap kry of kyk (om 'n boodskap te kry, sal dit verwyder word, terwyl kyk dit nie sal doen):
Vir 'n wachtrij kan jy die boodskap kry of 'n blik daarop neem (om 'n boodskap te kry, sal dit dit verwyder, terwyl 'n blik daarop nie sal):
```bash
#Get a message
az rest --method post \
@@ -199,7 +199,7 @@ az rest --method get \
--uri "https://<NAMESPACE>.servicebus.windows.net/<ENTITY>/messages?timeout=60&PreviousSequenceNumber=<LAST_SEQUENCE_NUMBER>&api-version=2017-04" \
--headers "Authorization=SharedAccessSignature sr=<URI_ENCODED_RESOURCE>&sig=<SIGNATURE>&se=<EXPIRY>&skn=<KEYNAME>"
```
Please provide the text you would like translated to Afrikaans.
Please provide the text you would like me to translate to Afrikaans.
```bash
#Get a message
az rest --method post \

16
src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
View File

@@ -1,10 +1,10 @@
# Az - SQL Database Privesc
# Az - SQL Databasis Privesc
{{#include ../../../banners/hacktricks-training.md}}
## SQL Database Privesc
## SQL Databasis Privesc
Vir meer inligting oor SQL Database, kyk:
Vir meer inligting oor SQL Databasis, kyk:
{{#ref}}
../az-services/az-sql.md
@@ -12,7 +12,7 @@ Vir meer inligting oor SQL Database, kyk:
### `Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/write`
Met hierdie toestemmings kan 'n gebruiker privilige-eskalasie uitvoer deur Azure SQL-bedieners op te dateer of te skep en kritieke konfigurasies, insluitend administratiewe akrediteer, te wysig. Hierdie toestemming laat die gebruiker toe om bediener eienskappe op te dateer, insluitend die SQL-bediener admin wagwoord, wat ongeoorloofde toegang of beheer oor die bediener moontlik maak. Hulle kan ook nuwe bedieners skep, wat potensieel skadu-infrastruktuur vir kwaadwillige doeleindes kan inbring. Dit word veral krities in omgewings waar "Microsoft Entra Authentication Only" gedeaktiveer is, aangesien hulle SQL-gebaseerde autentisering kan benut om onbeperkte toegang te verkry.
Met hierdie toestemmings kan 'n gebruiker privilige-eskalasie uitvoer deur Azure SQL bedieners op te dateer of te skep en kritieke konfigurasies te wysig, insluitend administratiewe akrediteer. Hierdie toestemming stel die gebruiker in staat om bediener eienskappe op te dateer, insluitend die SQL bediener admin wagwoord, wat ongeoorloofde toegang of beheer oor die bediener moontlik maak. Hulle kan ook nuwe bedieners skep, wat potensieel skadu-infrastruktuur vir kwaadwillige doeleindes kan inbring. Dit word veral krities in omgewings waar "Microsoft Entra Authentication Only" gedeaktiveer is, aangesien hulle SQL-gebaseerde verifikasie kan benut om onbeperkte toegang te verkry.
```bash
# Change the server password
az sql server update \
@@ -35,7 +35,7 @@ az sql server update \
--resource-group <resource-group> \
--enable-public-network true
```
Verder, met die toestemmings kan jy die toegewyde identiteit aktiveer, en werk met die bestuurde identiteit wat aan die bediener geheg is. Byvoorbeeld hier met 'n bestuurde identiteit wat toegang tot Azure Storage kan verkry:
Verder, met die regte kan jy die toegewyde identiteit aktiveer, en werk met die bestuurde identiteit wat aan die bediener geheg is. Byvoorbeeld hier met 'n bestuurde identiteit wat toegang tot Azure Storage kan verkry:
```bash
az sql server update \
--name <server-name> \
@@ -85,7 +85,7 @@ LET WEL: Dit is nodig om die publieke toegang geaktiveer te hê.
### `Microsoft.Sql/servers/ipv6FirewallRules/write`
Met hierdie toestemming kan jy IPv6-firewallreëls op 'n Azure SQL Server skep, wysig of verwyder. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om bestaande netwerkveiligheidskonfigurasies te omseil en ongemagtigde toegang tot die bediener te verkry. Deur 'n reël toe te voeg wat verkeer van enige IPv6-adres toelaat, kan die aanvaller die bediener oopmaak vir eksterne toegang.
Met hierdie toestemming kan jy IPv6 firewall reëls op 'n Azure SQL Server skep, wysig of verwyder. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om bestaande netwerk sekuriteitskonfigurasies te omseil en ongemagtigde toegang tot die bediener te verkry. Deur 'n reël toe te voeg wat verkeer van enige IPv6 adres toelaat, kan die aanvaller die bediener oopmaak vir eksterne toegang.
```bash
az sql server firewall-rule create \
--server <server_name> \
@@ -99,7 +99,7 @@ LET WEL: Dit is nodig om die publieke toegang geaktiveer te hê.
### `Microsoft.Sql/servers/administrators/write` && `Microsoft.Sql/servers/administrators/read`
Met hierdie toestemmings kan jy privesc in 'n Azure SQL Server omgewing deur toegang te verkry tot SQL databasisse en kritieke inligting te onttrek. Met die onderstaande opdrag kan 'n aanvaller of gemagtigde gebruiker hulself of 'n ander rekening as die Azure AD administrateur stel. As "Microsoft Entra Authentication Only" geaktiveer is, kan jy toegang tot die bediener en sy instansies verkry. Hier is die opdrag om die Azure AD administrateur vir 'n SQL bediener in te stel:
Met hierdie toestemmings kan jy privesc in 'n Azure SQL Server omgewing deur toegang te verkry tot SQL databasisse en kritieke inligting te onttrek. Deur die onderstaande opdrag te gebruik, kan 'n aanvaller of gemagtigde gebruiker hulself of 'n ander rekening as die Azure AD administrateur stel. As "Microsoft Entra Authentication Only" geaktiveer is, kan jy toegang tot die bediener en sy instansies verkry. Hier is die opdrag om die Azure AD administrateur vir 'n SQL bediener in te stel:
```bash
az sql server ad-admin create \
--server <server_name> \
@@ -109,7 +109,7 @@ az sql server ad-admin create \
```
### `Microsoft.Sql/servers/azureADOnlyAuthentications/write` && `Microsoft.Sql/servers/azureADOnlyAuthentications/read`
Met hierdie toestemmings kan jy "Microsoft Entra Authentication Only" op 'n Azure SQL Server konfigureer en afdwing, wat privilige-escalasie in sekere scenario's kan fasiliteer. 'n Aanvaller of 'n gemagtigde gebruiker met hierdie toestemmings kan Azure AD-slegs autentisering aktiveer of deaktiveer.
Met hierdie toestemmings kan jy "Microsoft Entra Authentication Only" op 'n Azure SQL Server konfigureer en afdwing, wat privilige-escalasie in sekere scenario's kan vergemaklik. 'n Aanvaller of 'n gemagtigde gebruiker met hierdie toestemmings kan Azure AD-slegs autentisering aktiveer of deaktiveer.
```bash
#Enable
az sql server azure-ad-only-auth enable \

2
src/pentesting-cloud/azure-security/az-services/az-queue-enum.md
View File

@@ -4,7 +4,7 @@
## Basiese Inligting
Azure Queue Storage is 'n diens in Microsoft se Azure wolkplatform wat ontwerp is vir boodskapkwotering tussen toepassingskomponente, **wat asynchrone kommunikasie en ontkoppeling moontlik maak**. Dit laat jou toe om 'n onbeperkte aantal boodskappe te stoor, elk tot 64 KB in grootte, en ondersteun operasies soos die skep en verwyder van kwotasies, die toevoeging, opvraging, opdatering en verwydering van boodskappe, sowel as die bestuur van metadata en toegangbeleide. Terwyl dit tipies boodskappe in 'n eerste-in-eerste-uit (FIFO) manier verwerk, word strikte FIFO nie gewaarborg nie.
Azure Queue Storage is 'n diens in Microsoft se Azure wolkplatform wat ontwerp is vir boodskapkwotering tussen toepassingskomponente, **wat asynchrone kommunikasie en ontkoppeling moontlik maak**. Dit stel jou in staat om 'n onbeperkte aantal boodskappe te stoor, elk tot 64 KB in grootte, en ondersteun operasies soos die skep en verwyder van kwotasies, die toevoeging, opvraging, opdatering en verwydering van boodskappe, sowel as die bestuur van metadata en toegangbeleide. Terwyl dit tipies boodskappe in 'n eerste-in-eerste-uit (FIFO) manier verwerk, word strikte FIFO nie gewaarborg nie.
### Enumerasie

12
src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md
View File

@@ -4,7 +4,7 @@
## Service Bus
Azure Service Bus is 'n wolk-gebaseerde **boodskapdiens** wat ontwerp is om betroubare **kommunikasie tussen verskillende dele van 'n toepassing of aparte toepassings** moontlik te maak. Dit dien as 'n veilige tussenganger, wat verseker dat boodskappe veilig afgelewer word, selfs al werk die sender en ontvanger nie gelyktydig nie. Deur stelsels te ontkoppel, laat dit toepassings toe om onafhanklik te werk terwyl hulle steeds data of instruksies uitruil. Dit is veral nuttig vir scenario's wat laaibelasting oor verskeie werkers vereis, betroubare boodskapaflewering, of komplekse koördinering, soos die verwerking van take in volgorde of die veilige bestuur van toegang.
Azure Service Bus is 'n wolk-gebaseerde **boodskapdiens** wat ontwerp is om betroubare **kommunikasie tussen verskillende dele van 'n toepassing of geskeide toepassings** moontlik te maak. Dit dien as 'n veilige tussenganger, wat verseker dat boodskappe veilig afgelewer word, selfs al werk die sender en ontvanger nie gelyktydig nie. Deur stelsels te ontkoppel, laat dit toepassings toe om onafhanklik te werk terwyl hulle steeds data of instruksies uitruil. Dit is veral nuttig vir scenario's wat laaibelasting oor verskeie werkers vereis, betroubare boodskapaflewering, of komplekse koördinering, soos om take in volgorde te verwerk of toegang veilig te bestuur.
### Sleutelkonsepte
@@ -30,18 +30,18 @@ Sommige gevorderde kenmerke is:
- **Outomatiese Oorgang**: Oordra boodskappe tussen rye of onderwerpe in dieselfde naamruimte.
- **Doodbrief**: Vang onaflewerbare boodskappe vir hersiening.
- **Geskeduleerde Aflewering**: Vertraag boodskapverwerking vir toekomstige take.
- **Boodskap Uitstel**: Stel boodskapontvangs uit totdat gereed.
- **Boodskap Uitstel**: Stel boodskaponttrekking uit totdat gereed.
- **Transaksies**: Groepeer operasies in atomiese uitvoering.
- **Filters & Aksies**: Pas reëls toe om boodskappe te filter of te annotiseer.
- **Outomatiese Verwydering by Inaktiwiteit**: Verwyder rye na inaktiwiteit (min: 5 minute).
- **Outo-verwydering op Inaktiwiteit**: Verwyder rye na inaktiwiteit (min: 5 minute).
- **Dubbele Opsporing**: Verwyder dubbele boodskappe tydens herstuur.
- **Batch Verwydering**: Grootskaalse verwydering van vervalde of onnodige boodskappe.
### Magtiging-Reël / SAS Beleid
SAS Beleide definieer die toegangstoestemmings vir Azure Service Bus entiteite naamruimte (Die Mees Belangrike Een), rye en onderwerpe. Elke beleid het die volgende komponente:
SAS Beleide definieer die toegangstoestemmings vir Azure Service Bus entiteite naamruimte (Die Belangrikste Een), rye en onderwerpe. Elke beleid het die volgende komponente:
- **Toestemmings**: Aankruisvakke om toegangsvlakke spesifiseer:
- **Toestemmings**: Aankruisvakke om toegangsvlakke spesifiek te maak:
- Bestuur: Gee volle beheer oor die entiteit, insluitend konfigurasie en toestemmingsbestuur.
- Stuur: Laat toe om boodskappe na die entiteit te stuur.
- Luister: Laat toe om boodskappe van die entiteit te ontvang.
@@ -49,7 +49,7 @@ SAS Beleide definieer die toegangstoestemmings vir Azure Service Bus entiteite n
- **Primêre en Sekondêre Verbindingstrings**: Vooraf geconfigureerde verbindingstrings wat die eindpunt en sleutel insluit vir maklike gebruik in toepassings.
- **SAS Beleid ARM ID**: Die Azure Resource Manager (ARM) pad na die beleid vir programmatiese identifikasie.
Dit is belangrik om te noem dat 'n naamruimte 'n enkele SAS beleid het wat elke entiteit binne dit beïnvloed, terwyl rye en onderwerpe hul eie individuele SAS beleide kan hê vir meer fynbeheer.
Dit is belangrik om te noem dat 'n naamruimte 'n enkele SAS beleid het wat elke entiteit binne dit beïnvloed, terwyl rye en onderwerpe hul eie individuele SAS beleide kan hê vir meer fynbeheerde beheer.
### "--disable-local-auth"

82
src/pentesting-cloud/azure-security/az-services/az-sql.md
View File

@@ -4,41 +4,41 @@
## Azure SQL
Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasisengine in die Azure-wolk** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data.
Azure SQL is 'n familie van bestuurde, veilige en intelligente produkte wat die **SQL Server-databasisengine in die Azure-cloud** gebruik. Dit beteken jy hoef nie bekommerd te wees oor die fisiese administrasie van jou bedieners nie, en jy kan fokus op die bestuur van jou data.
Azure SQL bestaan uit vier hoofaanbiedinge:
1. **Azure SQL Server**: Azure SQL Server is 'n bestuurde relationele databasisdiens wat die ontplooiing en bestuur van SQL Server-databasisse vereenvoudig, met ingeboude sekuriteit en prestasiekenmerke.
2. **Azure SQL Database**: Dit is 'n **volledig bestuurde databasisdiens**, wat jou toelaat om individuele databasisse in die Azure-wolk te huisves. Dit bied ingeboude intelligensie wat jou unieke databasispatrone leer en aangepaste aanbevelings en outomatiese afstemming bied.
2. **Azure SQL Database**: Dit is 'n **volledig bestuurde databasisdiens**, wat jou toelaat om individuele databasisse in die Azure-cloud te huisves. Dit bied ingeboude intelligensie wat jou unieke databasispatrone leer en aangepaste aanbevelings en outomatiese afstemming bied.
3. **Azure SQL Managed Instance**: Dit is vir groter skaal, hele SQL Server-instantie-geskepte ontplooiings. Dit bied byna 100% kompatibiliteit met die nuutste SQL Server op-premises (Enterprise Edition) Databasisengine, wat 'n inheemse virtuele netwerk (VNet) implementering bied wat algemene sekuriteitskwessies aanspreek, en 'n besigheidsmodel wat gunstig is vir op-premises SQL Server-klante.
4. **Azure SQL Server op Azure VMs**: Dit is Infrastruktur as 'n Diens (IaaS) en is die beste vir migrasies waar jy **beheer oor die bedryfstelsel en SQL Server-instantie** wil hê, soos dit 'n bediener was wat op-premises gedraai het.
4. **Azure SQL Server op Azure VMs**: Dit is Infrastruktur as 'n Diens (IaaS) en is die beste vir migrasies waar jy **beheer oor die bedryfstelsel en SQL Server-instantie** wil hê, soos dit 'n bediener was wat op-premises loop.
### Azure SQL Server
Azure SQL Server is 'n relationele databasisbestuurstelsel (RDBMS) wat Transact-SQL vir data-operasies gebruik en is gebou om ondernemingsvlak stelsels te hanteer. Dit bied robuuste kenmerke vir prestasie, sekuriteit, skaalbaarheid, en integrasie met verskeie Microsoft-toepassings. Azure SQL-databasisse is afhanklik van hierdie bediener, aangesien dit op hierdie bedieners gebou is en dit is die toegangspunt vir gebruikers om toegang tot die databasisse te verkry.
#### Network
#### Netwerk
**Netwerkverbinding**: Kies of jy toegang via 'n openbare eindpunt of private eindpunt wil inskakel. As jy Geen toegang kies, word geen eindpunte geskep totdat dit handmatig gekonfigureer is:
- Geen toegang: Geen eindpunte is gekonfigureer nie, wat inkomende verbindings blokkeer totdat dit handmatig opgestel is.
- Publieke eindpunt: Laat direkte verbindings oor die openbare internet toe, onderhewig aan firewallreëls en ander sekuriteitskonfigurasies.
- Private eindpunt: Beperk verbinding tot 'n private netwerk.
**Verbindingsbeleid**: Definieer hoe kliënte met die SQL-databaserver kommunikeer:
**Verbindingsbeleid**: Definieer hoe kliënte met die SQL-databasisbediener kommunikeer:
- Standaard: Gebruik 'n Oorplasing-beleid vir alle kliëntverbindinge van binne Azure (behalwe dié wat Private Eindpunte gebruik) en 'n Proxy-beleid vir verbindings van buite Azure.
- Proxy: Lei alle kliëntverbindinge deur die Azure SQL Database-gateway.
- Oorplasing: Kliënte verbind direk met die node wat die databasis huisves.
#### Authentication Methods
Azure SQL ondersteun verskeie autentikasie metodes om databasis toegang te beveilig:
#### Verifikasiemetodes
Azure SQL ondersteun verskeie verifikasiemetodes om databasis toegang te beveilig:
- **Microsoft Entra-slegs autentikasie**: Gebruik Microsoft Entra (voorheen Azure AD) vir gesentraliseerde identiteitsbestuur en enkele aanmelding.
- **Sowel SQL as Microsoft Entra autentikasie**: Laat jou toe om tradisionele SQL-autentikasie saam met Microsoft Entra te gebruik.
- **SQL-autentikasie**: Vertrou slegs op SQL Server gebruikersname en wagwoorde.
- **Microsoft Entra-slegs verifikasie**: Gebruik Microsoft Entra (voorheen Azure AD) vir gesentraliseerde identiteitsbestuur en enkele aanmelding.
- **Sowel SQL as Microsoft Entra verifikasie**: Laat jou toe om tradisionele SQL-verifikasie saam met Microsoft Entra te gebruik.
- **SQL-verifikasie**: Vertrou slegs op SQL Server gebruikersname en wagwoorde.
#### Security features
#### Sekuriteitskenmerke
SQL-bedieners het **Bestuurde Identiteite**. Bestuurde identiteite laat jou bediener toe om veilig met ander Azure-dienste te autentiseer sonder om akrediteer te stoor. Dit laat toegang tot ander dienste toe wat 'n Stelsel-toegewyde bestuurde identiteit sou wees en deur ander dienste met ander identiteite wat 'n Gebruiker-toegewyde bestuurde identiteit is, toeganklik gemaak kan word. Sommige van die dienste wat SQL kan toegang is Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB of Cosmos DB API vir MongoDB, Generiese ODBC, Bulk Operasies en S3-compatibele objekberging.
SQL-bedieners het **Bestuurde Identiteite**. Bestuurde identiteite laat jou bediener toe om veilig met ander Azure-dienste te verifieer sonder om akrediteer te stoor. Dit laat toegang tot ander dienste toe wat 'n Stelsels toegewyde bestuurde identiteit sou wees en deur ander dienste met ander identiteite wat 'n Gebruiker toegewyde identiteit is, verkry kan word. Sommige van die dienste wat SQL kan toegang, is Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB of Cosmos DB API vir MongoDB, Generiese ODBC, Bulk Operasies en S3-compatibele objekberging.
Ander sekuriteitskenmerke wat SQL-server het, is:
@@ -46,7 +46,7 @@ Ander sekuriteitskenmerke wat SQL-server het, is:
- **Deursigtige Data-enkripsie (TDE)**: TDE enkripteer jou databasisse, rugsteun, en logs in rus om jou data te beskerm selfs as die berging gecompromitteer is. Dit kan gedoen word met 'n diens-bestuurde sleutel of 'n kliënt-bestuurde sleutel.
- **Microsoft Defender vir SQL**: Microsoft Defender vir SQL kan geaktiveer word wat kwesbaarheidsassessering en gevorderde bedreigingsbeskerming vir 'n bediener bied.
#### Deployment Models
#### Ontplooiingsmodelle
Azure SQL Database ondersteun buigsame ontplooiingsopsies om aan verskeie behoeftes te voldoen:
@@ -61,93 +61,93 @@ Azure SQL Database ondersteun buigsame ontplooiingsopsies om aan verskeie behoef
**Azure SQL Database** is 'n **volledig bestuurde databasisplatform as 'n diens (PaaS)** wat skaalbare en veilige relationele databasisoplossings bied. Dit is gebou op die nuutste SQL Server-tegnologieë en elimineer die behoefte aan infrastruktuurbestuur, wat dit 'n gewilde keuse vir wolk-gebaseerde toepassings maak.
#### Key Features
#### Sleutelkenmerke
- **Altijd Opdaterend**: Loop op die nuutste stabiele weergawe van SQL Server en ontvang nuwe kenmerke en regstellings outomaties.
- **Altijd Opdatering**: Loop op die nuutste stabiele weergawe van SQL Server en ontvang nuwe kenmerke en regstellings outomaties.
- **PaaS Vermoëns**: Ingeboude hoë beskikbaarheid, rugsteun, en opdaterings.
- **Data Buigsaamheid**: Ondersteun relationele en nie-relationele data (bv. grafieke, JSON, ruimtelike, en XML).
#### Network
#### Netwerk
**Netwerkverbinding**: Kies of jy toegang via 'n openbare eindpunt of private eindpunt wil inskakel. As jy Geen toegang kies, word geen eindpunte geskep totdat dit handmatig gekonfigureer is:
- Geen toegang: Geen eindpunte is gekonfigureer nie, wat inkomende verbindings blokkeer totdat dit handmatig opgestel is.
- Publieke eindpunt: Laat direkte verbindings oor die openbare internet toe, onderhewig aan firewallreëls en ander sekuriteitskonfigurasies.
- Private eindpunt: Beperk verbinding tot 'n private netwerk.
**Verbindingsbeleid**: Definieer hoe kliënte met die SQL-databaserver kommunikeer:
**Verbindingsbeleid**: Definieer hoe kliënte met die SQL-databasisbediener kommunikeer:
- Standaard: Gebruik 'n Oorplasing-beleid vir alle kliëntverbindinge van binne Azure (behalwe dié wat Private Eindpunte gebruik) en 'n Proxy-beleid vir verbindings van buite Azure.
- Proxy: Lei alle kliëntverbindinge deur die Azure SQL Database-gateway.
- Oorplasing: Kliënte verbind direk met die node wat die databasis huisves.
#### Security Features
#### Sekuriteitskenmerke
- **Microsoft Defender vir SQL**: kan geaktiveer word wat kwesbaarheidsassessering en gevorderde bedreigingsbeskerming bied.
- **Ledger**: kriptografies verifieer die integriteit van data, wat verseker dat enige vervalsing opgespoor word.
- **Bediener Identiteit**: gebruik stelsel-toegewyde en gebruiker-toegewyde bestuurde identiteite om gesentraliseerde toegang moontlik te maak.
- **Bediener Identiteit**: gebruik stelsels-toegewyde en gebruiker-toegewyde bestuurde identiteite om gesentraliseerde toegang moontlik te maak.
- **Deursigtige Data-enkripsie Sleutelbestuur**: enkripteer databasisse, rugsteun, en logs in rus sonder om enige veranderinge aan die toepassing te vereis. Enkripsie kan op elke databasis geaktiveer word, en as dit op databasisvlak gekonfigureer is, oorskry hierdie instellings die bediener-niveau konfigurasie.
- **Altijd Geënkripteer**: is 'n suite van gevorderde databeskeringskenmerke wat data-eienaarskap van databasemanagement skei. Dit verseker dat administrateurs of operateurs met hoë voorregte nie toegang tot sensitiewe data kan verkry nie.
#### Purchasing Models / Service Tiers
#### Aankoopmodelle / Diens Tiers
- **vCore-gebaseer**: Kies rekenaar, geheue, en berging onafhanklik. Vir Algemene Doel, Besigheids Krities (met hoë veerkragtigheid en prestasie vir OLTP-toepassings), en skaal tot 128 TB berging.
- **DTU-gebaseer**: Bundel rekenaar, geheue, en I/O in vaste vlakke. Gebalanseerde hulpbronne vir algemene take.
- **DTU-gebaseer**: Bundel rekenaar, geheue, en I/O in vaste tipes. Gebalanseerde hulpbronne vir algemene take.
- Standaard: Gebalanseerde hulpbronne vir algemene take.
- Premium: Hoë prestasie vir veeleisende werklas.
#### Scalable performance and pools
#### Skaalbare prestasie en poele
- **Enkel Databasisse**: Elke databasis is geïsoleer en het sy eie toegewyde rekenaar, geheue, en berging hulpbronne. Hulpbronne kan dinamies geskaal word (op of af) sonder stilstand (1128 vCores, 32 GB4 TB berging, en tot 128 TB).
- **Elastiese Poele**: Deel hulpbronne oor verskeie databasisse in 'n poel om doeltreffendheid te maksimeer en koste te bespaar. Hulpbronne kan ook dinamies geskaal word vir die hele poel.
- **Diensvlak Buigsaamheid**: Begin klein met 'n enkele databasis in die Algemene Doelvlak. Opgradeer na Besigheids Krities of Hyperscale vlakke soos behoeftes groei.
- **Diens Tiers Buigsaamheid**: Begin klein met 'n enkele databasis in die Algemene Doel-tiers. Opgradeer na Besigheids Krities of Hyperscale tiers soos behoeftes groei.
- **Skaalopsies**: Dinamiese Skaal of Outoskaal Alternatiewe.
#### Built-In Monitoring & Optimization
#### Ingeboude Monitering & Optimalisering
- **Query Store**: Volg prestasieprobleme, identifiseer top hulpbronverbruikers, en bied uitvoerbare aanbevelings.
- **Outomatiese Afstemming**: Proaktief optimaliseer prestasie met kenmerke soos outomatiese indeksering en vraeplan regstellings.
- **Telemetry Integrasie**: Ondersteun monitering deur Azure Monitor, Event Hubs, of Azure Storage vir op maat gemaakte insigte.
- **Outomatiese Afstemming**: Proaktief optimaliseer prestasie met kenmerke soos outomatiese indeksering en queryplan regstellings.
- **Telemetrie Integrasie**: Ondersteun monitering deur Azure Monitor, Event Hubs, of Azure Storage vir op maat gemaakte insigte.
#### Disaster Recovery & Availavility
#### Ramp Herstel & Beschikbaarheid
- **Outomatiese rugsteun**: SQL Database voer outomaties volledige, differensiële, en transaksielog rugsteun van databasisse uit.
- **Punt-in-Tyd Herstel**: Herstel databasisse na enige vorige toestand binne die rugsteunretensieperiode.
- **Geo-Retensie**
- **Punt-in-Tyd Herstel**: Herstel databasisse na enige vorige toestand binne die rugsteunbehoud tydperk.
- **Geo-Roerende**
- **Failover Groepe**: Vereenvoudig ramp herstel deur databasisse te groepeer vir outomatiese failover oor streke.
### Azure SQL Managed Instance
**Azure SQL Managed Instance** is 'n Platform as 'n Diens (PaaS) databasisengine wat byna 100% kompatibiliteit met SQL Server bied en die meeste bestuurs take (bv. opgradering, regstelling, rugsteun, monitering) outomaties hanteer. Dit bied 'n wolkoplossing vir die migrasie van op-premises SQL Server databasisse met minimale veranderinge.
#### Service Tiers
#### Diens Tiers
- **Algemene Doel**: Kostedoeltreffende opsie vir toepassings met standaard I/O en latensie vereistes.
- **Besigheids Krities**: Hoë-prestasie opsie met lae I/O latensie vir kritieke werklas.
#### Advanced Security Features
#### Gevorderde Sekuriteitskenmerke
* **Bedreigingsbeskerming**: Gevorderde Bedreigingsbeskerming waarsku vir verdagte aktiwiteite en SQL-inspuitaanvalle. Oudits om databasisgebeurtenisse te volg en te log vir nakoming.
* **Toegangbeheer**: Microsoft Entra autentikasie vir gesentraliseerde identiteitsbestuur. Ry-Vlak Sekuriteit en Dinamiese Data Maskering vir granular toegangbeheer.
* **Rugsteun**: Geoutomatiseerde en handmatige rugsteun met punt-in-tyd herstel vermoë.
* **Toegangbeheer**: Microsoft Entra-verifikasie vir gesentraliseerde identiteitsbestuur. Ry-Vlak Sekuriteit en Dinamiese Data Maskering vir fyn toegangbeheer.
* **Rugsteun**: Outomatiese en handmatige rugsteun met punt-in-tyd herstel vermoë.
### Azure SQL Virtual Machines
### Azure SQL Virtuele Masjiene
**Azure SQL Virtual Machines** is die beste vir migrasies waar jy **beheer oor die bedryfstelsel en SQL Server-instantie** wil hê, soos dit 'n bediener was wat op-premises gedraai het. Dit kan verskillende masjien groottes hê, en 'n wye seleksie van SQL Server weergawes en edisies.
**Azure SQL Virtuele Masjiene** is die beste vir migrasies waar jy **beheer oor die bedryfstelsel en SQL Server-instantie** wil hê, soos dit 'n bediener was wat op-premises loop. Dit kan verskillende masjien groottes hê, en 'n wye seleksie van SQL Server weergawes en edisies.
#### Key Features
#### Sleutelkenmerke
**Outomatiese Rugsteun**: Skedule rugsteun vir SQL databasisse.
**Outomatiese Regstelling**: Automatiseer die installasie van Windows en SQL Server opdaterings tydens 'n onderhoudsvenster.
**Azure Key Vault Integrasie**: Konfigureer outomaties Key Vault vir SQL Server VMs.
**Defender vir Wolk Integrasie**: Beskou Defender vir SQL aanbevelings in die portaal.
**Defender vir Cloud Integrasie**: Beskou Defender vir SQL aanbevelings in die portaal.
**Weergawe/Edisie Buigsaamheid**: Verander SQL Server weergawe of edisie metadata sonder om die VM te herontplooi.
#### Security Features
#### Sekuriteitskenmerke
**Microsoft Defender vir SQL**: Sekuriteitsinsigte en waarskuwings.
**Azure Key Vault Integrasie**: Veilige berging van akrediteer en enkripsiesleutels.
**Microsoft Entra (Azure AD)**: Autentikasie en toegangbeheer.
**Microsoft Entra (Azure AD)**: Verifikasie en toegangbeheer.
## Enumeration
## Enumerasie
{{#tabs}}
{{#tab name="az cli"}}
@@ -262,7 +262,7 @@ Get-AzSqlVM
### Verbind en voer SQL-navrae uit
Jy kan 'n verbindsstring (wat akrediteerbesonderhede bevat) vind van byvoorbeeld [die opnoem van 'n Az WebApp](az-app-services.md):
Jy kan 'n verbindsstring (wat akrediteerbesonderhede bevat) vind van voorbeeld [opnoem van 'n Az WebApp](az-app-services.md):
```bash
function invoke-sql{
param($query)

24
src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md
View File

@@ -4,27 +4,27 @@
## Basic Information
Google Cloud Compute Instances is **pasgemaakte virtuele masjiene op Google se wolkinfrastruktuur**, wat skaalbare en op aanvraag rekenaarkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied funksies soos globale ontplooiing, volhoubare berging, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, verwerking van data, en doeltreffende uitvoering van toepassings in die wolk.
Google Cloud Compute Instances is **pasgemaakte virtuele masjiene op Google se wolkinfrastruktuur**, wat skaalbare en op aanvraag rekenkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied funksies soos globale ontplooiing, volhoubare berging, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, verwerking van data, en doeltreffende uitvoering van toepassings in die wolk.
### Confidential VM
Confidential VMs gebruik **hardeware-gebaseerde sekuriteitskenmerke** wat aangebied word deur die nuutste generasie van AMD EPYC verwerkers, wat geheue-enkripsie en veilige geënkripteerde virtualisering insluit. Hierdie kenmerke stel die VM in staat om die data wat verwerk en gestoor word binne-in dit te beskerm teen selfs die gasheerbedryfstelsel en hypervisor.
Om 'n Confidential VM te laat loop, mag dit nodig wees om **te verander** dinge soos die **tipe** van die **masjien**, netwerk **koppelvlak**, **opstartskyfbeeld**.
Om 'n Confidential VM te laat loop, mag dit nodig wees om **dinge** soos die **tipe** van die **masjien**, netwerk **koppelvlak**, **opstartskyfbeeld** te **verander**.
### Disk & Disk Encryption
Dit is moontlik om die **skyf** te kies om te gebruik of **'n nuwe een te skep**. As jy 'n nuwe een kies, kan jy:
Dit is moontlik om die **skyf** te **kies** om te gebruik of **'n nuwe een te skep**. As jy 'n nuwe een kies, kan jy:
- Die **grootte** van die skyf kies
- Die **OS** kies
- Aangee of jy die **skyf wil verwyder wanneer die instansie verwyder word**
- **Enkripsie**: Deur **verstek** sal 'n **Google bestuurde sleutel** gebruik word, maar jy kan ook **'n sleutel van KMS kies** of 'n **rawe sleutel om te gebruik** aandui.
- **Enkripsie**: Deur **verstek** sal 'n **Google bestuurde sleutel** gebruik word, maar jy kan ook 'n sleutel van KMS **kies** of 'n **rauwe sleutel om te gebruik** aandui.
### Deploy Container
Dit is moontlik om 'n **houer** binne die virtuele masjien te ontplooi.\
Dit is moontlik om die **beeld** te konfigureer om te gebruik, die **opdrag** in te stel om binne-in te loop, **argumente**, 'n **volume** te monteer, en **omgewingsveranderlikes** (sensitiewe inligting?) en verskeie opsies vir hierdie houer te konfigureer soos om as **bevoorregte** uit te voer, stdin en pseudo TTY.
Dit is moontlik om die **beeld** te konfigureer om te gebruik, die **opdrag** in te stel om binne-in te loop, **argumente**, 'n **volume** te monteer, en **omgewingsveranderlikes** (sensitiewe inligting?) en verskeie opsies vir hierdie houer te konfigureer soos om as **privilegied** uit te voer, stdin en pseudo TTY.
### Service Account
@@ -58,25 +58,25 @@ Dit is moontlik om HTTP en HTTPS verkeer toe te laat.
### Extra Security
Hierdie opsies sal **die sekuriteit** van die VM verhoog en word aanbeveel:
Hierdie opsies sal **die sekuriteit** van die VM **verhoog** en word aanbeveel:
- **Secure boot:** Secure boot help om jou VM instansies teen opstart- en kernvlak malware en rootkits te beskerm.
- **Enable vTPM:** Virtual Trusted Platform Module (vTPM) valideer jou gas VM se pre-boot en boot integriteit, en bied sleutelgenerasie en beskerming.
- **Integrity supervision:** Integriteit monitering laat jou toe om die runtime boot integriteit van jou beskermde VM instansies te monitor en te verifieer met behulp van Stackdriver verslae. Vereis dat vTPM geaktiveer moet wees.
- **Integrity supervision:** Integriteitsmonitering laat jou toe om die tydelike opstartintegriteit van jou beskermde VM instansies te monitor en te verifieer met behulp van Stackdriver-verslae. Vereis dat vTPM geaktiveer moet wees.
### VM Access
Die algemene manier om toegang tot die VM te aktiveer, is deur **sekere SSH publieke sleutels** toe te laat om toegang tot die VM te verkry.\
Dit is egter ook moontlik om **die toegang tot die VM via `os-config` diens met IAM te aktiveer**. Boonop is dit moontlik om 2FA te aktiveer om toegang tot die VM te verkry met hierdie diens.\
Die algemene manier om toegang tot die VM te verkry, is deur **sekere SSH publieke sleutels** toe te laat om toegang tot die VM te verkry.\
Dit is egter ook moontlik om **die toegang tot die VM via `os-config` diens met IAM in te skakel**. Boonop is dit moontlik om 2FA in te skakel om toegang tot die VM te verkry met behulp van hierdie diens.\
Wanneer hierdie **diens** geaktiveer is, is die toegang via **SSH sleutels gedeaktiveer.**
<figure><img src="../../../../images/image (328).png" alt=""><figcaption></figcaption></figure>
### Metadata
Dit is moontlik om **outomatisering** (userdata in AWS) te definieer wat **skulpopdragte** is wat elke keer uitgevoer sal word wanneer die masjien aanskakel of herbegin.
Dit is moontlik om **outomatisering** (userdata in AWS) te definieer wat **shell-opdragte** is wat elke keer uitgevoer sal word wanneer die masjien aanskakel of herbegin.
Dit is ook moontlik om **bykomende metadata sleutel-waarde waardes** by te voeg wat vanaf die metadata eindpunt toeganklik gaan wees. Hierdie inligting word algemeen gebruik vir omgewingsveranderlikes en opstart/afskakel skripte. Dit kan verkry word met behulp van die **`describe` metode** van 'n opdrag in die enumerasie afdeling, maar dit kan ook van binne die instansie verkry word deur die metadata eindpunt te benader.
Dit is ook moontlik om **bykomende metadata sleutel-waarde waardes** toe te voeg wat vanaf die metadata eindpunt toeganklik gaan wees. Hierdie inligting word algemeen gebruik vir omgewingsveranderlikes en opstart/afskakel skripte. Dit kan verkry word met behulp van die **`describe` metode** van 'n opdrag in die enumerasie afdeling, maar dit kan ook van binne die instansie verkry word deur die metadata eindpunt te benader.
```bash
# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
@@ -86,7 +86,7 @@ curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?rec
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"
```
Boonop, **auth token vir die aangehegte diensrekening** en **algemene inligting** oor die instansie, netwerk en projek is ook beskikbaar vanaf die **metadata eindpunt**. Vir meer inligting, kyk:
Boonop is die **auth token vir die aangehegte diensrekening** en **algemene inligting** oor die instansie, netwerk en projek ook beskikbaar vanaf die **metadata-eindpunt**. Vir meer inligting, kyk:
{{#ref}}
https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html#gcp