mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-01-27 07:14:20 -08:00
Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza
This commit is contained in:
Translator
@@ -12,21 +12,21 @@ Vir meer inligting, kyk:
|
||||
|
||||
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`
|
||||
|
||||
'n Aanvaller met hierdie toestemming kan boodskappe van 'n Azure Storage Queue afkyk. Dit stel die aanvaller in staat om die inhoud van boodskappe te sien sonder om hulle as verwerk te merk of hul toestand te verander. Dit kan lei tot ongemagtigde toegang tot sensitiewe inligting, wat data-exfiltrasie of die versameling van intelligensie vir verdere aanvalle moontlik maak.
|
||||
'n Aanvaller met hierdie toestemming kan boodskappe van 'n Azure Storage Queue afkyk. Dit stel die aanvaller in staat om die inhoud van boodskappe te sien sonder om dit as verwerk te merk of hul toestand te verander. Dit kan lei tot ongemagtigde toegang tot sensitiewe inligting, wat data-exfiltrasie of die insameling van intelligensie vir verdere aanvalle moontlik maak.
|
||||
```bash
|
||||
az storage message peek --queue-name <queue_name> --account-name <storage_account>
|
||||
```
|
||||
**Potensiële Impak**: Onbevoegde toegang tot die wag, boodskap blootstelling, of wag manipulasie deur onbevoegde gebruikers of dienste.
|
||||
**Potensiële Impak**: Onbevoegde toegang tot die wag, boodskapblootstelling, of wagmanipulasie deur onbevoegde gebruikers of dienste.
|
||||
|
||||
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
|
||||
|
||||
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot sensitiewe data wat blootgestel word, ontwrigtings in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
|
||||
Met hierdie toestemming kan 'n aanvaller boodskappe van 'n Azure Storage Queue onttrek en verwerk. Dit beteken hulle kan die boodskapinhoud lees en dit as verwerk merk, wat dit effektief verberg van wettige stelsels. Dit kan lei tot die blootstelling van sensitiewe data, ontwrigtings in hoe boodskappe hanteer word, of selfs die stop van belangrike werksvloei deur boodskappe onbeskikbaar te maak vir hul beoogde gebruikers.
|
||||
```bash
|
||||
az storage message get --queue-name <queue_name> --account-name <storage_account>
|
||||
```
|
||||
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`
|
||||
|
||||
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-geautoriseerde data in die queue in te spuit, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
|
||||
Met hierdie toestemming kan 'n aanvaller nuwe boodskappe by 'n Azure Storage Queue voeg. Dit stel hulle in staat om kwaadwillige of nie-gesagde data in die queue in te voeg, wat moontlik onbedoelde aksies kan ontketen of afgeleide dienste wat die boodskappe verwerk, kan ontwrig.
|
||||
```bash
|
||||
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
|
||||
```
|
||||
@@ -58,7 +58,7 @@ az storage message clear --queue-name <queue-name> --account-name <storage-accou
|
||||
```
|
||||
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`
|
||||
|
||||
Hierdie toestemming laat 'n aanvaller toe om rye te skep of te wysig en hul eienskappe binne die stoorrekening. Dit kan gebruik word om nie-gesagde rye te skep, metadata te wysig, of toegangbeheerlys (ACLs) te verander om toegang toe te laat of te beperk. Hierdie vermoë kan werksvloei ontwrig, kwaadwillige data in te voeg, sensitiewe inligting te eksfiltreer, of ryinstellings te manipuleer om verdere aanvalle moontlik te maak.
|
||||
Hierdie toestemming laat 'n aanvaller toe om rye te skep of te wysig en hul eienskappe binne die stoorrekening. Dit kan gebruik word om ongeoorloofde rye te skep, metadata te wysig, of toegangbeheerlys (ACLs) te verander om toegang toe te staan of te beperk. Hierdie vermoë kan werksvloei ontwrig, kwaadwillige data inspuit, sensitiewe inligting eksfiltreer, of ryinstellings manipuleer om verdere aanvalle moontlik te maak.
|
||||
```bash
|
||||
az storage queue create --name <new-queue-name> --account-name <storage-account>
|
||||
|
||||
|
||||
@@ -28,29 +28,29 @@ az servicebus topic delete --resource-group <ResourceGroupName> --namespace-name
|
||||
```bash
|
||||
az servicebus queue delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
|
||||
```
|
||||
### Aksies: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete`
|
||||
### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete`
|
||||
|
||||
'n Aanvaller met hierdie toestemming kan 'n Azure Service Bus-subskripsie verwyder. Hierdie aksie verwyder die subskripsie en al sy geassosieerde boodskappe, wat moontlik werksvloei, data verwerking en stelsels se bedrywighede wat op die subskripsie staatmaak, kan ontwrig.
|
||||
'n Aanvaller met hierdie toestemming kan 'n Azure Service Bus-subskripsie verwyder. Hierdie aksie verwyder die subskripsie en al sy geassosieerde boodskappe, wat moontlik werksvloei, dataverwerking en stelsels se bedrywighede wat op die subskripsie staatmaak, kan ontwrig.
|
||||
```bash
|
||||
az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
|
||||
```
|
||||
### Aksies: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`)
|
||||
|
||||
'n Aanvaller met regte om Azure Service Bus-rye te skep of te wysig (om die ry te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/queues/read` benodig) kan dit benut om data te onderskep, werksvloei te ontwrig, of ongeoorloofde toegang te verkry. Hulle kan kritieke konfigurasies verander, soos om boodskappe na kwaadwillige eindpunte te stuur, boodskap TTL aan te pas om data onregmatig te behou of te verwyder, of om dead-lettering in te skakel om met fouthantering te bemoei. Daarbenewens kan hulle ry-grootte, vergrendelingsduur of statusse manipuleer om diensfunksionaliteit te ontwrig of om opsporing te ontduik, wat dit 'n beduidende post-exploitatie risiko maak.
|
||||
'n Aanvaller met toestemmings om Azure Service Bus-rye te skep of te wysig (om die ry te wysig sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/queues/read` benodig) kan dit benut om data te onderskep, werksvloei te ontwrig, of ongeoorloofde toegang te verkry. Hulle kan kritieke konfigurasies verander soos om boodskappe na kwaadwillige eindpunte te stuur, boodskap TTL aan te pas om data onregmatig te behou of te verwyder, of om dead-lettering in te skakel om met fouthantering te bemoei. Daarbenewens kan hulle ry-grootte, vergrendelingsduur of statusse manipuleer om diensfunksionaliteit te ontwrig of om opsporing te ontduik, wat dit 'n beduidende post-exploitatie risiko maak.
|
||||
```bash
|
||||
az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
|
||||
az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
|
||||
```
|
||||
### Aksies: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`)
|
||||
|
||||
'n Aanvaller met toestemmings om onderwerpe te skep of te wysig (om die onderwerp te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/topics/read` benodig) binne 'n Azure Service Bus-namespace kan dit gebruik om boodskapwerkvloei te ontwrig, sensitiewe data bloot te stel, of ongeoorloofde aksies moontlik te maak. Deur opdragte soos az servicebus topic update te gebruik, kan hulle konfigurasies manipuleer soos om partitionering vir skaalbaarheid misbruik in te stel, TTL-instellings te verander om boodskappe onregmatig te behou of te verwerp, of om duplikaatdetectie te deaktiveer om kontroles te omseil. Daarbenewens kan hulle onderwerp groottegrense aanpas, status verander om beskikbaarheid te ontwrig, of ekspressonderwerpe konfigureer om tydelik onderskepte boodskappe te stoor, wat onderwerpbestuur 'n kritieke fokus vir post-exploitatie-mitigering maak.
|
||||
'n Aanvaller met toestemmings om onderwerpe te skep of te wysig (om die onderwerp te wysig, sal jy ook die Aksie:`Microsoft.ServiceBus/namespaces/topics/read` benodig) binne 'n Azure Service Bus-namespace kan dit benut om boodskapwerkvloei te ontwrig, sensitiewe data bloot te stel, of ongeoorloofde aksies moontlik te maak. Deur opdragte soos az servicebus topic update te gebruik, kan hulle konfigurasies manipuleer soos om partitionering vir skaalbaarheid misbruik in te stel, TTL-instellings te verander om boodskappe onregmatig te behou of te verwerp, of om duplikaatdetectie te deaktiveer om kontroles te omseil. Daarbenewens kan hulle onderwerp groottegrense aanpas, status verander om beskikbaarheid te ontwrig, of ekspressonderwerpe konfigureer om tydelik onderskepte boodskappe te stoor, wat onderwerp bestuur 'n kritieke fokus vir post-exploitatie-mitigasie maak.
|
||||
```bash
|
||||
az servicebus topic create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
|
||||
az servicebus topic update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <TopicName>
|
||||
```
|
||||
### Aksies: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`)
|
||||
|
||||
'n Aanvaller met toestemmings om subskripsies te skep of te wysig (om die subskripsie te wysig, sal jy ook die Aksie: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` benodig) binne 'n Azure Service Bus onderwerp kan dit gebruik om boodskapwerkvloei te onderskep, om te lei of te ontwrig. Deur opdragte soos az servicebus topic subscription update te gebruik, kan hulle konfigurasies manipuleer soos om doodbriefing in te skakel om boodskappe te lei, boodskappe na nie-geautoriseerde eindpunte te stuur, of TTL en vergrendelingsduur te wysig om boodskapaflewering te behou of te beïnvloed. Boonop kan hulle status of maksimum afleweringsgetal instellings verander om bedrywighede te ontwrig of opsporing te vermy, wat subskripsiebeheer 'n kritieke aspek van post-exploitasiestelsels maak.
|
||||
'n Aanvaller met toestemmings om subskripsies te skep of te wysig (om die subskripsie te wysig, sal jy ook die Aksie: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` benodig) binne 'n Azure Service Bus onderwerp kan dit gebruik om boodskapwerkvloei te onderskep, om te lei of te ontwrig. Deur opdragte soos az servicebus topic subscription update te gebruik, kan hulle konfigurasies manipuleer soos om doodbriefing in te skakel om boodskappe te lei, boodskappe na nie-geautoriseerde eindpunte te stuur, of TTL en slotduur te wysig om boodskapaflewering te behou of te beïnvloed. Daarbenewens kan hulle status of maksimum afleweringsgetal instellings verander om bedrywighede te ontwrig of opsporing te ontduik, wat subskripsiebeheer 'n kritieke aspek van post-exploitasiestelsels maak.
|
||||
```bash
|
||||
az servicebus topic subscription create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
|
||||
az servicebus topic subscription update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
|
||||
|
||||
@@ -12,7 +12,7 @@ Vir meer inligting oor SQL Databasis, kyk:
|
||||
|
||||
### `Microsoft.Sql/servers/databases/read`, `Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/databases/write`
|
||||
|
||||
Met hierdie toestemmings kan 'n aanvaller databasis binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
|
||||
Met hierdie toestemmings kan 'n aanvaller databasis skep en opdateer binne die gecompromitteerde omgewing. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
|
||||
```bash
|
||||
# Create Database
|
||||
az sql db create --resource-group <resource-group> --server <server-name> --name <new-database-name>
|
||||
@@ -32,7 +32,7 @@ az sql db restore \
|
||||
```
|
||||
### `Microsoft.Sql/servers/elasticPools/write` && `Microsoft.Sql/servers/elasticPools/read`
|
||||
|
||||
Met hierdie toestemmings kan 'n aanvaller elastiese poele binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitasiemaatreël kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
|
||||
Met hierdie toestemmings kan 'n aanvaller elastiese poele binne die gecompromitteerde omgewing skep en opdateer. Hierdie post-exploitatie aktiwiteit kan 'n aanvaller in staat stel om kwaadwillige data by te voeg, databasis konfigurasies te wysig, of agterdeure in te voeg vir verdere volharding, wat moontlik operasies kan ontwrig of addisionele kwaadwillige aksies kan moontlik maak.
|
||||
```bash
|
||||
# Create Elastic Pool
|
||||
az sql elastic-pool create \
|
||||
@@ -52,7 +52,7 @@ az sql elastic-pool update \
|
||||
```
|
||||
### `Microsoft.Sql/servers/auditingSettings/read` && `Microsoft.Sql/servers/auditingSettings/write`
|
||||
|
||||
Met hierdie toestemming kan jy ouditinstellings op 'n Azure SQL Server wysig of aktiveer. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om ouditkonfigurasies te manipuleer, wat moontlik spore kan bedek of ouditlogs na 'n plek onder hul beheer kan herlei. Dit kan sekuriteitsmonitering belemmer of dit in staat stel om die aksies op te volg. LET WEL: Om ouditering vir 'n Azure SQL Server met Blob Storage te aktiveer, moet jy 'n stoorrekening koppel waar die ouditlogs gestoor kan word.
|
||||
Met hierdie toestemming kan jy ouditinstellings op 'n Azure SQL Server wysig of aktiveer. Dit kan 'n aanvaller of gemagtigde gebruiker in staat stel om ouditkonfigurasies te manipuleer, wat moontlik spore kan bedek of ouditlogs na 'n plek onder hul beheer kan herlei. Dit kan sekuriteitsmonitering hindern of dit in staat stel om die aksies op te volg. LET WEL: Om ouditering vir 'n Azure SQL Server met Blob Storage te aktiveer, moet jy 'n stoorrekening koppel waar die ouditlogs gestoor kan word.
|
||||
```bash
|
||||
az sql server audit-policy update \
|
||||
--server <server_name> \
|
||||
@@ -63,7 +63,7 @@ az sql server audit-policy update \
|
||||
```
|
||||
### `Microsoft.Sql/locations/connectionPoliciesAzureAsyncOperation/read`, `Microsoft.Sql/servers/connectionPolicies/read` && `Microsoft.Sql/servers/connectionPolicies/write`
|
||||
|
||||
Met hierdie toestemming kan jy die verbindsbeleid van 'n Azure SQL Server wysig. Hierdie vermoë kan benut word om bediener-vlak verbinsettings te aktiveer of te verander.
|
||||
Met hierdie toestemming kan jy die verbintningsbeleide van 'n Azure SQL Server wysig. Hierdie vermoë kan benut word om bediener-vlak verbintningsinstellings in te skakel of te verander.
|
||||
```bash
|
||||
az sql server connection-policy update \
|
||||
--server <server_name> \
|
||||
@@ -86,7 +86,7 @@ az sql db export \
|
||||
```
|
||||
### `Microsoft.Sql/servers/databases/import/action`
|
||||
|
||||
Met hierdie toestemming kan jy 'n databasis in 'n Azure SQL Server invoer. 'n Aanvaller of gemagtigde gebruiker met hierdie toestemming kan potensieel kwaadwillige of gemanipuleerde databasisse oplaai. Dit kan lei tot die verkryging van beheer oor sensitiewe data of deur skadelike skripte of triggers binne die ingevoerde databasis in te sluit. Boonop kan jy dit na jou eie bediener in Azure invoer. Let wel: Die bediener moet Azure-dienste en -hulpbronne toelaat om toegang tot die bediener te verkry.
|
||||
Met hierdie toestemming kan jy 'n databasis in 'n Azure SQL Server invoer. 'n Aanvaller of gemagtigde gebruiker met hierdie toestemming kan moontlik kwaadwillige of gemanipuleerde databasisse oplaai. Dit kan lei tot die verkryging van beheer oor sensitiewe data of deur skadelike skripte of triggers binne die ingevoerde databasis in te sluit. Boonop kan jy dit na jou eie bediener in Azure invoer. Let wel: Die bediener moet Azure-dienste en -hulpbronne toelaat om toegang tot die bediener te verkry.
|
||||
```bash
|
||||
az sql db import --admin-user <admin-user> \
|
||||
--admin-password <admin-password> \
|
||||
@@ -108,7 +108,7 @@ az sql server conn-policy update \
|
||||
```
|
||||
### `Microsoft.Sql/servers/keys/write` && `Microsoft.Sql/servers/keys/read`
|
||||
|
||||
Met hierdie toestemmings kan 'n gebruiker enkripsiesleutels wat met 'n Azure SQL Server geassosieer is, opdateer en terughaal. Hierdie sleutels word dikwels gebruik om sensitiewe data deur enkripsie te beveilig, so om hulle te manipuleer kan datasekuriteit in gevaar stel deur ongeoorloofde ontsleuteling of sleuteldraaiingsveranderinge toe te laat.
|
||||
Met hierdie toestemmings kan 'n gebruiker versleuteling sleutels wat met 'n Azure SQL Server geassosieer is, opdateer en terughaal. Hierdie sleutels word dikwels gebruik om sensitiewe data deur middel van versleuteling te beveilig, so om hulle te manipuleer kan datasekuriteit in gevaar stel deur ongeoorloofde ontsleuteling of sleutelrotasie veranderinge toe te laat.
|
||||
```bash
|
||||
az sql server key create \
|
||||
--resource-group MyResourceGroup \
|
||||
@@ -117,7 +117,7 @@ az sql server key create \
|
||||
```
|
||||
### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read`
|
||||
|
||||
Hierdie toestemmings toelaat die deaktivering van Ledger Digest vir 'n Azure SQL Database, wat die periodieke opgradering van kriptografiese digestrekords na Azure Blob Storage stop wat die integriteit van data verifieer.
|
||||
Hierdie toestemmings toelaat die deaktivering van Ledger Digest vir 'n Azure SQL-databasis, wat die periodieke opgradering van kriptografiese digestrekords na Azure Blob Storage stop wat die integriteit van data verifieer.
|
||||
```bash
|
||||
az sql db ledger-digest-uploads disable \
|
||||
--name ledgerDB \
|
||||
|
||||
Reference in New Issue
Block a user