From b4fd3f2f86ee77704f3671aef4dc1fcdc8fe799f Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 8 Feb 2025 13:48:13 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-privilege-escalation --- .../az-storage-privesc.md | 16 ++++++++-------- 1 file changed, 8 insertions(+), 8 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md index 8ac11ec7c..00dcb87ad 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md @@ -18,9 +18,9 @@ az storage account keys list --account-name ``` ### Microsoft.Storage/storageAccounts/regenerateKey/action -Un principal con este permiso podrá renovar y obtener el nuevo valor secreto de las **claves de acceso** de las cuentas de almacenamiento. Permitiendo al principal escalar sus privilegios sobre las cuentas de almacenamiento. +Un principal con este permiso podrá renovar y obtener el nuevo valor secreto de las **access keys** de las cuentas de almacenamiento. Permitiendo al principal escalar sus privilegios sobre las cuentas de almacenamiento. -Además, en la respuesta, el usuario obtendrá el valor de la clave renovada y también de la no renovada: +Además, en la respuesta, el usuario recibirá el valor de la clave renovada y también de la no renovada: ```bash az storage account keys renew --account-name --key key2 ``` @@ -58,19 +58,19 @@ az storage container immutability-policy update \ ### Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action -Esto debería permitir a un usuario que tenga este permiso tomar la propiedad de archivos dentro del sistema de archivos compartido. +Esto debería permitir a un usuario que tenga este permiso poder tomar la propiedad de archivos dentro del sistema de archivos compartido. ### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action -Esto debería permitir a un usuario que tenga este permiso modificar los permisos de los archivos dentro del sistema de archivos compartido. +Esto debería permitir a un usuario que tenga este permiso poder modificar los permisos de archivos dentro del sistema de archivos compartido. ### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action -Esto debería permitir a un usuario que tenga este permiso realizar acciones dentro de un sistema de archivos como superusuario. +Esto debería permitir a un usuario que tenga este permiso poder realizar acciones dentro de un sistema de archivos como superusuario. ### Microsoft.Storage/storageAccounts/localusers/write (Microsoft.Storage/storageAccounts/localusers/read) -Con este permiso, un atacante puede crear y actualizar (si tiene el permiso `Microsoft.Storage/storageAccounts/localusers/read`) un nuevo usuario local para una cuenta de Azure Storage (configurada con un espacio de nombres jerárquico), incluyendo la especificación de los permisos y el directorio de inicio del usuario. Este permiso es significativo porque permite al atacante otorgarse acceso a una cuenta de almacenamiento con permisos específicos como lectura (r), escritura (w), eliminación (d) y listado (l) y más. Adicionalmente, los métodos de autenticación que utiliza pueden ser contraseñas generadas por Azure y pares de claves SSH. No hay verificación de si un usuario ya existe, por lo que se puede sobrescribir a otros usuarios que ya están allí. El atacante podría escalar sus privilegios y obtener acceso SSH a la cuenta de almacenamiento, exponiendo o comprometiendo potencialmente datos sensibles. +Con este permiso, un atacante puede crear y actualizar (si tiene el permiso `Microsoft.Storage/storageAccounts/localusers/read`) un nuevo usuario local para una cuenta de Azure Storage (configurada con un espacio de nombres jerárquico), incluyendo la especificación de los permisos y el directorio de inicio del usuario. Este permiso es significativo porque permite al atacante otorgarse a sí mismo acceso a una cuenta de almacenamiento con permisos específicos como lectura (r), escritura (w), eliminación (d) y listado (l) y más. Adicionalmente, los métodos de autenticación que utiliza pueden ser contraseñas generadas por Azure y pares de claves SSH. No hay verificación de si un usuario ya existe, por lo que se puede sobrescribir a otros usuarios que ya están allí. El atacante podría escalar sus privilegios y obtener acceso SSH a la cuenta de almacenamiento, exponiendo o comprometiendo potencialmente datos sensibles. ```bash az storage account local-user create \ --account-name \ @@ -89,9 +89,9 @@ az storage account local-user regenerate-password \ --resource-group \ --name ``` -Para acceder a Azure Blob Storage a través de SFTP utilizando un usuario local a través de SFTP, puedes (también puedes usar una clave ssh para conectarte): +Para acceder a Azure Blob Storage a través de SFTP (is_hns_enabled debe ser verdadero) utilizando un usuario local a través de SFTP, puedes (también puedes usar una clave ssh para conectarte): ```bash -sftp @.blob.core.windows.net +sftp .@.blob.core.windows.net #regenerated-password ``` ### Microsoft.Storage/storageAccounts/restoreBlobRanges/action, Microsoft.Storage/storageAccounts/blobServices/containers/read, Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action