Translated ['src/pentesting-cloud/azure-security/az-services/az-misc.md'

src/pentesting-cloud/azure-security/az-services/az-misc.md

@@ -0,0 +1,15 @@
+# Az - 管理グループ、サブスクリプション & リソースグループ
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## Power Apps
+
+Power AppsはオンプレミスのSQLサーバーに接続でき、最初は予期しないことかもしれませんが、この接続を利用して攻撃者がオンプレSQLサーバーを侵害する可能性のある任意のSQLクエリを実行する方法があります。
+
+これは、オンプレSQLサーバーを侵害するためにPower Appsを悪用する方法の詳細な説明が記載されている投稿の要約です [https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers](https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers):
+
+- ユーザーが**オンプレSQL接続を使用するアプリケーションを作成し、それを全員と共有する**（意図的または偶然に）。
+- 攻撃者が新しいフローを作成し、**既存のSQL接続を使用して「Power Queryでデータを変換」アクションを追加する**。
+- 接続されたユーザーがSQL管理者であるか、なりすまし権限を持っている場合、またはデータベースに特権SQLリンクや平文の資格情報がある場合、または他の特権の平文資格情報を取得している場合、オンプレミスのSQLサーバーにピボットすることができます。
+
+{{#include ../../../banners/hacktricks-training.md}}