Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md

@@ -4,7 +4,7 @@
 
 ## SQL Database Privesc
 
-For more information about SQL Database check:
+Для отримання додаткової інформації про SQL Database дивіться:
 
 {{#ref}}
 ../az-services/az-sql.md
@@ -12,104 +12,88 @@ For more information about SQL Database check:
 
 ### "Microsoft.Sql/servers/read" && "Microsoft.Sql/servers/write"
 
-With these permissions, a user can perform privilege escalation by updating or creating Azure SQL servers and modifying critical configurations, including administrative credentials. This permission allows the user to update server properties, including the SQL server admin password, enabling unauthorized access or control over the server. They can also create new servers, potentially introducing shadow infrastructure for malicious purposes. This becomes particularly critical in environments where "Microsoft Entra Authentication Only" is disabled, as they can exploit SQL-based authentication to gain unrestricted access.
-
+З цими дозволами користувач може виконати ескалацію привілеїв, оновлюючи або створюючи Azure SQL сервери та змінюючи критичні конфігурації, включаючи адміністративні облікові дані. Цей дозвіл дозволяє користувачу оновлювати властивості сервера, включаючи пароль адміністратора SQL сервера, що дозволяє несанкціонований доступ або контроль над сервером. Вони також можуть створювати нові сервери, потенційно вводячи тіньову інфраструктуру для зловмисних цілей. Це стає особливо критичним у середовищах, де "Microsoft Entra Authentication Only" вимкнено, оскільки вони можуть експлуатувати SQL-автентифікацію для отримання необмеженого доступу.
 ```bash
 # Change the server password
 az sql server update \
-  --name <server_name> \
-  --resource-group <resource_group_name> \
-  --admin-password <new_password>
+--name <server_name> \
+--resource-group <resource_group_name> \
+--admin-password <new_password>
 
 # Create a new server
 az sql server create \
-  --name <new_server_name> \
-  --resource-group <resource_group_name> \
-  --location <location> \
-  --admin-user <admin_username> \
-  --admin-password <admin_password>
+--name <new_server_name> \
+--resource-group <resource_group_name> \
+--location <location> \
+--admin-user <admin_username> \
+--admin-password <admin_password>
 ```
-
-Additionally it is necesary to have the public access enabled if you want to access from a non private endpoint, to enable it:
-
+Додатково необхідно увімкнути публічний доступ, якщо ви хочете отримати доступ з непри приватного кінцевого пункту, щоб увімкнути це:
 ```bash
 az sql server update \
-  --name <server-name> \
-  --resource-group <resource-group> \
-  --enable-public-network true
+--name <server-name> \
+--resource-group <resource-group> \
+--enable-public-network true
 ```
-
 ### "Microsoft.Sql/servers/firewallRules/write"
 
-An attacker can manipulate firewall rules on Azure SQL servers to allow unauthorized access. This can be exploited to open up the server to specific IP addresses or entire IP ranges, including public IPs, enabling access for malicious actors. This post-exploitation activity can be used to bypass existing network security controls, establish persistence, or facilitate lateral movement within the environment by exposing sensitive resources.
-
+Зловмисник може маніпулювати правилами брандмауера на Azure SQL серверах, щоб дозволити несанкціонований доступ. Це можна використати для відкриття сервера для конкретних IP-адрес або цілих діапазонів IP, включаючи публічні IP, що дозволяє доступ для зловмисників. Ця діяльність після експлуатації може бути використана для обходу існуючих мережевих засобів безпеки, встановлення стійкості або полегшення бічного переміщення в середовищі шляхом відкриття чутливих ресурсів.
 ```bash
 # Create Firewall Rule
 az sql server firewall-rule create \
-    --name <new-firewall-rule-name> \
-    --server <server-name> \
-    --resource-group <resource-group> \
-    --start-ip-address <start-ip-address> \
-    --end-ip-address <end-ip-address>
+--name <new-firewall-rule-name> \
+--server <server-name> \
+--resource-group <resource-group> \
+--start-ip-address <start-ip-address> \
+--end-ip-address <end-ip-address>
 
 # Update Firewall Rule
 az sql server firewall-rule update \
-    --name <firewall-rule-name> \
-    --server <server-name> \
-    --resource-group <resource-group> \
-    --start-ip-address <new-start-ip-address> \
-    --end-ip-address <new-end-ip-address>
+--name <firewall-rule-name> \
+--server <server-name> \
+--resource-group <resource-group> \
+--start-ip-address <new-start-ip-address> \
+--end-ip-address <new-end-ip-address>
 ```
-
-Additionally, `Microsoft.Sql/servers/outboundFirewallRules/delete` permission lets you delete a Firewall Rule.
-NOTE: It is necesary to have the public access enabled
+Додатково, `Microsoft.Sql/servers/outboundFirewallRules/delete` дозволяє вам видаляти правило брандмауера.  
+ПРИМІТКА: Необхідно мати увімкнений публічний доступ
 
 ### ""Microsoft.Sql/servers/ipv6FirewallRules/write"
 
-With this permission, you can create, modify, or delete IPv6 firewall rules on an Azure SQL Server. This could enable an attacker or authorized user to bypass existing network security configurations and gain unauthorized access to the server. By adding a rule that allows traffic from any IPv6 address, the attacker could open the server to external access."
-
+З цим дозволом ви можете створювати, змінювати або видаляти правила брандмауера IPv6 на Azure SQL Server. Це може дозволити зловмиснику або авторизованому користувачу обійти існуючі конфігурації мережевої безпеки та отримати несанкціонований доступ до сервера. Додавши правило, яке дозволяє трафік з будь-якої IPv6 адреси, зловмисник може відкрити сервер для зовнішнього доступу.
 ```bash
 az sql server firewall-rule create \
-  --server <server_name> \
-  --resource-group <resource_group_name> \
-  --name <rule_name> \
-  --start-ip-address <start_ipv6_address> \
-  --end-ip-address <end_ipv6_address>
+--server <server_name> \
+--resource-group <resource_group_name> \
+--name <rule_name> \
+--start-ip-address <start_ipv6_address> \
+--end-ip-address <end_ipv6_address>
 ```
-
-Additionally, `Microsoft.Sql/servers/ipv6FirewallRules/delete` permission lets you delete a Firewall Rule.
-NOTE: It is necesary to have the public access enabled
+Додатково, `Microsoft.Sql/servers/ipv6FirewallRules/delete` дозволяє вам видаляти правило брандмауера.  
+ПРИМІТКА: Необхідно, щоб публічний доступ був увімкнений
 
 ### "Microsoft.Sql/servers/administrators/write" && "Microsoft.Sql/servers/administrators/read"
 
-With this permissions you can privesc in an Azure SQL Server environment accessing to SQL databases and retrieven critical information. Using the the command below, an attacker or authorized user can set themselves or another account as the Azure AD administrator. If "Microsoft Entra Authentication Only" is enabled you are albe to access the server and its instances. Here's the command to set the Azure AD administrator for an SQL server:
-
+З цими дозволами ви можете підвищити привілеї в середовищі Azure SQL Server, отримуючи доступ до SQL баз даних і витягуючи критичну інформацію. Використовуючи команду нижче, зловмисник або авторизований користувач можуть встановити себе або інший обліковий запис як адміністратора Azure AD. Якщо "Microsoft Entra Authentication Only" увімкнено, ви можете отримати доступ до сервера та його екземплярів. Ось команда для встановлення адміністратора Azure AD для SQL сервера:
 ```bash
 az sql server ad-admin create \
-  --server <server_name> \
-  --resource-group <resource_group_name> \
-  --display-name <admin_display_name> \
-  --object-id <azure_subscribtion_id>
+--server <server_name> \
+--resource-group <resource_group_name> \
+--display-name <admin_display_name> \
+--object-id <azure_subscribtion_id>
 ```
-
 ### "Microsoft.Sql/servers/azureADOnlyAuthentications/write" && "Microsoft.Sql/servers/azureADOnlyAuthentications/read"
 
-With these permissions, you can configure and enforce "Microsoft Entra Authentication Only" on an Azure SQL Server, which could facilitate privilege escalation in certain scenarios. An attacker or an authorized user with these permissions can enable or disable Azure AD-only authentication.
-
+З цими дозволами ви можете налаштувати та забезпечити "Тільки автентифікацію Microsoft Entra" на Azure SQL Server, що може сприяти ескалації привілеїв у певних сценаріях. Зловмисник або авторизований користувач з цими дозволами можуть увімкнути або вимкнути автентифікацію лише для Azure AD.
 ```bash
 #Enable
 az sql server azure-ad-only-auth enable \
-  --server <server_name> \
-  --resource-group <resource_group_name>
+--server <server_name> \
+--resource-group <resource_group_name>
 
 #Disable
 az sql server azure-ad-only-auth disable \
-  --server <server_name> \
-  --resource-group <resource_group_name>
+--server <server_name> \
+--resource-group <resource_group_name>
 ```
-
 {{#include ../../../banners/hacktricks-training.md}}
-
-
-
-