From b18e0c24a9cc293114fe820fcc74e67a03d2a989 Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Mon, 17 Feb 2025 18:21:40 +0000
Subject: [PATCH] Translated
 ['src/pentesting-cloud/azure-security/az-persistence/az-autom

---
 src/SUMMARY.md                                |  1 +
 .../az-automation-accounts-persistence.md     | 33 +++++++++++++++++++
 2 files changed, 34 insertions(+)
 create mode 100644 src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md

diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index c53000a33..227605b06 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -487,6 +487,7 @@
     - [Az - SQL Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md)
     - [Az - Virtual Machines & Network Privesc](pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md)
   - [Az - Persistence](pentesting-cloud/azure-security/az-persistence/README.md)
+    - [Az - Automation Accounts Persistence](pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md)
     - [Az - Cloud Shell Persistence](pentesting-cloud/azure-security/az-persistence/az-cloud-shell-persistence.md)
     - [Az - Queue Storage Persistence](pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md)
     - [Az - VMs Persistence](pentesting-cloud/azure-security/az-persistence/az-vms-persistence.md)
diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md
new file mode 100644
index 000000000..253fc7fa3
--- /dev/null
+++ b/src/pentesting-cloud/azure-security/az-persistence/az-automation-accounts-persistence.md
@@ -0,0 +1,33 @@
+# Az - Automation Accounts Persistence
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## 存储权限提升
+
+有关自动化帐户的更多信息，请查看：
+
+{{#ref}}
+../az-services/az-automation-accounts.md
+{{#endref}}
+
+### 后门现有的运行簿
+
+如果攻击者访问了自动化帐户，他可以**向现有的运行簿添加后门**以**保持持久性**并**在每次执行运行簿时提取数据**，例如令牌。
+
+### 计划和 Webhook
+
+创建或修改现有的运行簿并向其添加计划或 webhook。这将允许攻击者**即使在失去对环境的访问后仍保持持久性**，通过执行后门在特定时间或随时通过向 webhook 发送请求来泄露 MI 的令牌。
+
+### 在混合工作组中使用的 VM 内的恶意软件
+
+如果 VM 被用作混合工作组，攻击者可以**在 VM 内安装恶意软件**以**保持持久性**并**提取数据**，例如分配给 VM 和使用该 VM 的自动化帐户的托管身份的令牌。
+
+### 自定义环境包
+
+如果自动化帐户在自定义环境中使用自定义包，攻击者可以**修改包**以**保持持久性**并**提取数据**，例如令牌。这也将是一种隐蔽的持久性方法，因为手动上传的自定义包很少检查恶意代码。
+
+### 破坏外部代码库
+
+如果自动化帐户使用外部代码库（如 Github）来存储代码，攻击者可以**破坏代码库**以**保持持久性**并**提取数据**，例如令牌。如果代码的最新版本与运行簿自动同步，这一点尤其有趣。
+
+{{#include ../../../banners/hacktricks-training.md}}