gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-13 13:26:31 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-misc.md'

Browse Source
This commit is contained in:
Translator
2025-05-20 15:18:26 +00:00
parent 187c6fecb3
commit 8422e2e485
1 changed files with 15 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

15
src/pentesting-cloud/azure-security/az-services/az-misc.md Normal file
View File

@@ -0,0 +1,15 @@
# Az - Grupos de Gestión, Suscripciones y Grupos de Recursos
{{#include ../../../banners/hacktricks-training.md}}
## Power Apps
Power Apps puede conectarse a servidores SQL locales, y aunque inicialmente inesperado, hay una manera de hacer que esta conexión ejecute consultas SQL arbitrarias que podrían permitir a los atacantes comprometer servidores SQL locales.
Este es el resumen de la publicación [https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers](https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers) donde puedes encontrar una explicación detallada de cómo abusar de Power Apps para comprometer servidores SQL locales:
- Un usuario crea una aplicación que utiliza una **conexión SQL local y la comparte con todos**, ya sea a propósito o inadvertidamente.
- Un atacante crea un nuevo flujo y agrega una **acción “Transformar datos con Power Query” utilizando la conexión SQL existente**.
- Si el usuario conectado es un administrador de SQL o tiene privilegios de suplantación, o hay enlaces SQL privilegiados o credenciales en texto claro en las bases de datos, o has obtenido otras credenciales privilegiadas en texto claro, ahora puedes pivotar a un servidor SQL local.
{{#include ../../../banners/hacktricks-training.md}}