Translated ['src/pentesting-cloud/azure-security/az-persistence/az-autom

src/SUMMARY.md

@@ -487,6 +487,7 @@
     - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md)
     - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md)
   - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md)
+    - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md)
     - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md)
     - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md)
     - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md)

src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md

@@ -0,0 +1,33 @@
+# Az - Automation Accounts Persistence
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## 存储权限提升
+
+有关自动化帐户的更多信息，请查看：
+
+{{#ref}}
+../az-services/az-automation-accounts.md
+{{#endref}}
+
+### 后门现有的运行簿
+
+如果攻击者访问了自动化帐户，他可以**向现有的运行簿添加后门**以**保持持久性**并**在每次执行运行簿时提取数据**，例如令牌。
+
+### 计划和 Webhook
+
+创建或修改现有的运行簿并向其添加计划或 webhook。这将允许攻击者**即使在失去对环境的访问后仍保持持久性**，通过执行后门在特定时间或随时通过向 webhook 发送请求来泄露 MI 的令牌。
+
+### 在混合工作组中使用的 VM 内的恶意软件
+
+如果 VM 被用作混合工作组，攻击者可以**在 VM 内安装恶意软件**以**保持持久性**并**提取数据**，例如分配给 VM 和使用该 VM 的自动化帐户的托管身份的令牌。
+
+### 自定义环境包
+
+如果自动化帐户在自定义环境中使用自定义包，攻击者可以**修改包**以**保持持久性**并**提取数据**，例如令牌。这也将是一种隐蔽的持久性方法，因为手动上传的自定义包很少检查恶意代码。
+
+### 破坏外部代码库
+
+如果自动化帐户使用外部代码库（如 Github）来存储代码，攻击者可以**破坏代码库**以**保持持久性**并**提取数据**，例如令牌。如果代码的最新版本与运行簿自动同步，这一点尤其有趣。
+
+{{#include ../../../banners/hacktricks-training.md}}