From 8eebb833a0b0b62c248b52b32e04288c185737df Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 18:21:43 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom --- src/SUMMARY.md | 1 + .../az-automation-accounts-persistence.md | 33 +++++++++++++++++++ 2 files changed, 34 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index c53000a33..227605b06 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -487,6 +487,7 @@ - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md) - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md) - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md) + - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md) - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md) - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md) - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md new file mode 100644 index 000000000..de40ccf25 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md @@ -0,0 +1,33 @@ +# Az - Automation Accounts Persistence + +{{#include ../../../banners/hacktricks-training.md}} + +## Storage Privesc + +Automation Accounts hakkında daha fazla bilgi için kontrol edin: + +{{#ref}} +../az-services/az-automation-accounts.md +{{#endref}} + +### Mevcut runbook'a backdoor ekleme + +Eğer bir saldırgan otomasyon hesabına erişim sağlarsa, mevcut bir runbook'a **backdoor ekleyebilir** ve runbook her çalıştırıldığında **kalıcılığı sağlamak** ve **veri sızdırmak** için token'lar gibi verileri dışarı aktarabilir. + +### Programlar & Webhook'lar + +Mevcut bir Runbook oluşturun veya değiştirin ve ona bir program veya webhook ekleyin. Bu, bir saldırgana **ortam üzerindeki erişim kaybolsa bile kalıcılığı sağlama** imkanı verecektir; backdoor'u çalıştırarak belirli zamanlarda veya istediği zaman webhok'a bir istek göndererek MI'den token'ları sızdırabilir. + +### Hibrit işçi grubunda kullanılan bir VM içindeki kötü amaçlı yazılım + +Eğer bir VM hibrit işçi grubu olarak kullanılıyorsa, bir saldırgan **kötü amaçlı yazılım** yükleyerek **kalıcılığı sağlamak** ve VM'ye ve otomasyon hesabına verilen yönetilen kimlikler için token'lar gibi verileri dışarı aktarmak için VM içinde **kötü amaçlı yazılım** kurabilir. + +### Özel ortam paketleri + +Eğer otomasyon hesabı özel ortamlarda özel paketler kullanıyorsa, bir saldırgan **paketi değiştirebilir** ve **kalıcılığı sağlamak** ve **veri sızdırmak** için token'lar gibi verileri dışarı aktarabilir. Bu, manuel olarak yüklenen özel paketlerin kötü amaçlı kod için nadiren kontrol edilmesi nedeniyle gizli bir kalıcılık yöntemi olacaktır. + +### Harici reposları tehlikeye atma + +Eğer otomasyon hesabı kodu depolamak için harici reposlar kullanıyorsa, bir saldırgan **repo'yu tehlikeye atabilir** ve **kalıcılığı sağlamak** ve **veri sızdırmak** için token'lar gibi verileri dışarı aktarabilir. Bu, kodun en son versiyonunun otomatik olarak runbook ile senkronize edilmesi durumunda özellikle ilginçtir. + +{{#include ../../../banners/hacktricks-training.md}}