From c46eac12edb385015ae3fb2dd683f1fde57f2491 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 17 Feb 2025 17:15:44 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza --- .../az-queue-post-exploitation.md | 4 +- .../az-servicebus-post-exploitation.md | 6 +-- .../az-sql-post-exploitation.md | 10 ++-- .../az-queue-privesc.md | 4 +- .../az-servicebus-privesc.md | 18 ++++---- .../az-privilege-escalation/az-sql-privesc.md | 8 ++-- .../az-services/az-servicebus-enum.md | 8 ++-- .../azure-security/az-services/az-sql.md | 46 +++++++++---------- .../gcp-compute-instance.md | 18 ++++---- 9 files changed, 61 insertions(+), 61 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md index d96f3f492..671081eeb 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md @@ -46,7 +46,7 @@ az storage message update --queue-name \ ``` ### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/delete` -यह अनुमति एक हमलावर को स्टोरेज अकाउंट के भीतर कतारों को हटाने की अनुमति देती है। इस क्षमता का लाभ उठाकर, एक हमलावर कतारों और उनके सभी संबंधित संदेशों को स्थायी रूप से हटा सकता है, जिससे कार्यप्रवाह में महत्वपूर्ण व्यवधान उत्पन्न होता है और प्रभावित कतारों पर निर्भर करने वाले अनुप्रयोगों के लिए महत्वपूर्ण डेटा हानि होती है। इस क्रिया का उपयोग सेवाओं को बाधित करने के लिए भी किया जा सकता है, जिससे सिस्टम के आवश्यक घटकों को हटाया जा सकता है। +यह अनुमति एक हमलावर को स्टोरेज खाते के भीतर कतारों को हटाने की अनुमति देती है। इस क्षमता का लाभ उठाकर, एक हमलावर कतारों और उनके सभी संबंधित संदेशों को स्थायी रूप से हटा सकता है, जिससे कार्यप्रवाह में महत्वपूर्ण व्यवधान उत्पन्न होता है और प्रभावित कतारों पर निर्भर करने वाले अनुप्रयोगों के लिए महत्वपूर्ण डेटा हानि होती है। इस क्रिया का उपयोग सेवाओं को बाधित करने के लिए भी किया जा सकता है, जिससे प्रणाली के आवश्यक घटकों को हटाया जा सकता है। ```bash az storage queue delete --name --account-name ``` @@ -58,7 +58,7 @@ az storage message clear --queue-name --account-name --account-name diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md index 3f5328d25..59f6ee8b4 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md @@ -24,7 +24,7 @@ az servicebus topic delete --resource-group --namespace-name ``` ### Actions: `Microsoft.ServiceBus/namespaces/queues/Delete` -इस अनुमति के साथ एक हमलावर Azure Service Bus कतार को हटा सकता है। यह क्रिया कतार और इसके भीतर सभी संदेशों को हटा देती है, जिससे महत्वपूर्ण डेटा का नुकसान और कतार पर निर्भर सिस्टम और कार्यप्रवाहों में बाधा उत्पन्न हो सकती है। +इस अनुमति के साथ एक हमलावर Azure Service Bus कतार को हटा सकता है। यह क्रिया कतार और इसके भीतर सभी संदेशों को हटा देती है, जिससे महत्वपूर्ण डेटा का नुकसान और कतार पर निर्भर सिस्टम और कार्यप्रवाह में बाधा उत्पन्न हो सकती है। ```bash az servicebus queue delete --resource-group --namespace-name --name ``` @@ -43,14 +43,14 @@ az servicebus queue update --resource-group --namespace-name ``` ### Actions: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`) -एक हमलावर जिसके पास Azure Service Bus namespace के भीतर विषय बनाने या संशोधित करने की अनुमति है (विषय को संशोधित करने के लिए आपको Action:`Microsoft.ServiceBus/namespaces/topics/read` की भी आवश्यकता होगी) इसका उपयोग संदेश कार्यप्रवाहों को बाधित करने, संवेदनशील डेटा को उजागर करने, या अनधिकृत क्रियाओं को सक्षम करने के लिए कर सकता है। az servicebus topic update जैसे कमांड का उपयोग करके, वे कॉन्फ़िगरेशन को इस तरह से हेरफेर कर सकते हैं जैसे कि स्केलेबिलिटी दुरुपयोग के लिए विभाजन को सक्षम करना, संदेशों को अनुचित रूप से बनाए रखने या त्यागने के लिए TTL सेटिंग्स को बदलना, या नियंत्रणों को बायपास करने के लिए डुप्लिकेट पहचान को अक्षम करना। इसके अतिरिक्त, वे विषय आकार सीमाओं को समायोजित कर सकते हैं, उपलब्धता को बाधित करने के लिए स्थिति बदल सकते हैं, या अस्थायी रूप से इंटरसेप्टेड संदेशों को स्टोर करने के लिए एक्सप्रेस विषयों को कॉन्फ़िगर कर सकते हैं, जिससे विषय प्रबंधन पोस्ट-एक्सप्लॉइटेशन शमन के लिए एक महत्वपूर्ण ध्यान केंद्र बन जाता है। +एक हमलावर जिसके पास Azure Service Bus namespace के भीतर विषय बनाने या संशोधित करने की अनुमति है (विषय को संशोधित करने के लिए आपको Action:`Microsoft.ServiceBus/namespaces/topics/read` की भी आवश्यकता होगी) इसका उपयोग संदेश कार्यप्रवाहों को बाधित करने, संवेदनशील डेटा को उजागर करने, या अनधिकृत क्रियाओं को सक्षम करने के लिए कर सकता है। az servicebus topic update जैसे कमांड का उपयोग करके, वे कॉन्फ़िगरेशन में हेरफेर कर सकते हैं जैसे कि स्केलेबिलिटी दुरुपयोग के लिए विभाजन को सक्षम करना, संदेशों को अनुचित रूप से बनाए रखने या त्यागने के लिए TTL सेटिंग्स को बदलना, या नियंत्रणों को बायपास करने के लिए डुप्लिकेट पहचान को अक्षम करना। इसके अतिरिक्त, वे विषय आकार सीमाओं को समायोजित कर सकते हैं, उपलब्धता को बाधित करने के लिए स्थिति बदल सकते हैं, या अस्थायी रूप से इंटरसेप्ट किए गए संदेशों को संग्रहीत करने के लिए एक्सप्रेस विषयों को कॉन्फ़िगर कर सकते हैं, जिससे विषय प्रबंधन पोस्ट-एक्सप्लॉइटेशन शमन के लिए एक महत्वपूर्ण ध्यान केंद्र बन जाता है। ```bash az servicebus topic create --resource-group --namespace-name --name az servicebus topic update --resource-group --namespace-name --name ``` ### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) -एक हमलावर जिसके पास Azure Service Bus टॉपिक के भीतर सब्सक्रिप्शन बनाने या संशोधित करने की अनुमति है (सब्सक्रिप्शन को संशोधित करने के लिए आपको Action: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` की भी आवश्यकता होगी) इसका उपयोग संदेश कार्यप्रवाहों को इंटरसेप्ट, रीरूट या बाधित करने के लिए कर सकता है। az servicebus topic subscription update जैसे कमांड का उपयोग करके, वे संदेशों को मोड़ने के लिए डेड लेटरिंग सक्षम करने, संदेशों को अनधिकृत एंडपॉइंट्स पर अग्रेषित करने, या संदेश वितरण को बनाए रखने या बाधित करने के लिए TTL और लॉक अवधि को संशोधित करने जैसी कॉन्फ़िगरेशन में हेरफेर कर सकते हैं। इसके अतिरिक्त, वे संचालन को बाधित करने या पहचान से बचने के लिए स्थिति या अधिकतम वितरण गणना सेटिंग्स को भी बदल सकते हैं, जिससे सब्सक्रिप्शन नियंत्रण पोस्ट-एक्सप्लॉइटेशन परिदृश्यों का एक महत्वपूर्ण पहलू बन जाता है। +एक हमलावर जिसके पास Azure Service Bus टॉपिक के भीतर सब्सक्रिप्शन बनाने या संशोधित करने की अनुमति है (सब्सक्रिप्शन को संशोधित करने के लिए आपको Action: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read` की भी आवश्यकता होगी) इसका उपयोग संदेश कार्यप्रवाहों को इंटरसेप्ट, रीरूट या बाधित करने के लिए कर सकता है। az servicebus topic subscription update जैसे कमांड का उपयोग करके, वे संदेशों को मोड़ने के लिए डेड लेटरिंग सक्षम करने, संदेशों को अनधिकृत एंडपॉइंट्स पर अग्रेषित करने, या संदेश वितरण को बनाए रखने या हस्तक्षेप करने के लिए TTL और लॉक अवधि को संशोधित करने जैसी कॉन्फ़िगरेशन में हेरफेर कर सकते हैं। इसके अतिरिक्त, वे संचालन को बाधित करने या पहचान से बचने के लिए स्थिति या अधिकतम वितरण गणना सेटिंग्स को भी बदल सकते हैं, जिससे सब्सक्रिप्शन नियंत्रण पोस्ट-एक्सप्लॉइटेशन परिदृश्यों का एक महत्वपूर्ण पहलू बन जाता है। ```bash az servicebus topic subscription create --resource-group --namespace-name --topic-name --name az servicebus topic subscription update --resource-group --namespace-name --topic-name --name diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md index a1fc0992b..047a5e2b6 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md @@ -32,7 +32,7 @@ az sql db restore \ ``` ### `Microsoft.Sql/servers/elasticPools/write` && `Microsoft.Sql/servers/elasticPools/read` -इन अनुमतियों के साथ, एक हमलावर समझौता किए गए वातावरण में elasticPools बना और अपडेट कर सकता है। यह पोस्ट-एक्सप्लॉइटेशन गतिविधि एक हमलावर को दुर्भावनापूर्ण डेटा जोड़ने, डेटाबेस कॉन्फ़िगरेशन को संशोधित करने, या आगे की स्थिरता के लिए बैकडोर डालने की अनुमति दे सकती है, संभावित रूप से संचालन को बाधित करने या अतिरिक्त दुर्भावनापूर्ण क्रियाओं को सक्षम करने के लिए। +इन अनुमतियों के साथ, एक हमलावर समझौता किए गए वातावरण में elasticPools बना और अपडेट कर सकता है। यह पोस्ट-एक्सप्लॉइटेशन गतिविधि एक हमलावर को दुर्भावनापूर्ण डेटा जोड़ने, डेटाबेस कॉन्फ़िगरेशन को संशोधित करने, या आगे की स्थिरता के लिए बैकडोर डालने की अनुमति दे सकती है, जो संभावित रूप से संचालन को बाधित कर सकती है या अतिरिक्त दुर्भावनापूर्ण क्रियाओं को सक्षम कर सकती है। ```bash # Create Elastic Pool az sql elastic-pool create \ @@ -72,7 +72,7 @@ az sql server connection-policy update \ ``` ### `Microsoft.Sql/servers/databases/export/action` -इस अनुमति के साथ, आप Azure SQL Server से एक डेटाबेस को एक स्टोरेज अकाउंट में निर्यात कर सकते हैं। एक हमलावर या अधिकृत उपयोगकर्ता जिसके पास यह अनुमति है, वह डेटाबेस से संवेदनशील डेटा को एक ऐसी जगह पर निर्यात करके निकाल सकता है जिसे वह नियंत्रित करता है, जिससे डेटा लीक का महत्वपूर्ण जोखिम होता है। इसे करने के लिए स्टोरेज कुंजी जानना महत्वपूर्ण है। +इस अनुमति के साथ, आप Azure SQL Server से एक डेटाबेस को एक स्टोरेज अकाउंट में निर्यात कर सकते हैं। एक हमलावर या अधिकृत उपयोगकर्ता जिसके पास यह अनुमति है, वह डेटाबेस से संवेदनशील डेटा को एक ऐसी जगह पर निर्यात करके निकाल सकता है जिसे वह नियंत्रित करता है, जिससे डेटा लीक का एक महत्वपूर्ण जोखिम उत्पन्न होता है। इसे करने के लिए स्टोरेज कुंजी जानना महत्वपूर्ण है। ```bash az sql db export \ --server \ @@ -86,7 +86,7 @@ az sql db export \ ``` ### `Microsoft.Sql/servers/databases/import/action` -इस अनुमति के साथ, आप Azure SQL Server में एक डेटाबेस आयात कर सकते हैं। एक हमलावर या अधिकृत उपयोगकर्ता जिसके पास यह अनुमति है, संभावित रूप से दुर्भावनापूर्ण या हेरफेर किए गए डेटाबेस अपलोड कर सकता है। इससे संवेदनशील डेटा पर नियंत्रण प्राप्त करने या आयातित डेटाबेस के भीतर हानिकारक स्क्रिप्ट या ट्रिगर्स को एम्बेड करने की संभावना हो सकती है। अतिरिक्त रूप से, आप इसे अपने स्वयं के सर्वर में Azure में आयात कर सकते हैं। नोट: सर्वर को Azure सेवाओं और संसाधनों को सर्वर तक पहुंचने की अनुमति देनी चाहिए। +इस अनुमति के साथ, आप Azure SQL Server में एक डेटाबेस आयात कर सकते हैं। एक हमलावर या अधिकृत उपयोगकर्ता जिसके पास यह अनुमति है, संभावित रूप से दुर्भावनापूर्ण या हेरफेर किए गए डेटाबेस अपलोड कर सकता है। इससे संवेदनशील डेटा पर नियंत्रण प्राप्त करने या आयातित डेटाबेस के भीतर हानिकारक स्क्रिप्ट या ट्रिगर्स को एम्बेड करने की संभावना हो सकती है। इसके अतिरिक्त, आप इसे अपने स्वयं के सर्वर में Azure में आयात कर सकते हैं। नोट: सर्वर को Azure सेवाओं और संसाधनों को सर्वर तक पहुंचने की अनुमति देनी चाहिए। ```bash az sql db import --admin-user \ --admin-password \ @@ -99,7 +99,7 @@ az sql db import --admin-user \ ``` ### `Microsoft.Sql/servers/connectionPolicies/write` && `Microsoft.Sql/servers/connectionPolicies/read` -इन अनुमतियों के साथ, एक उपयोगकर्ता Azure SQL सर्वर की कनेक्शन नीतियों को संशोधित और प्राप्त कर सकता है। ये अनुमतियाँ किसी को सर्वर से कनेक्ट करने के तरीके को बदलने की अनुमति देती हैं—जैसे कि रीडायरेक्ट या प्रॉक्सी के बीच चयन करना—जो सुरक्षा को कमजोर करने, ट्रैफ़िक को रीडायरेक्ट करने, या संवेदनशील डेटा को इंटरसेप्ट करने के लिए शोषित किया जा सकता है यदि इसे गलत तरीके से कॉन्फ़िगर किया गया हो। +इन अनुमतियों के साथ, एक उपयोगकर्ता Azure SQL सर्वर की कनेक्शन नीतियों को संशोधित और प्राप्त कर सकता है। ये अनुमतियाँ किसी को सर्वर से कनेक्ट करने के तरीके को बदलने की अनुमति देती हैं—जैसे कि रीडायरेक्ट या प्रॉक्सी के बीच चयन करना—जिसका दुरुपयोग सुरक्षा को कमजोर करने, ट्रैफ़िक को रीडायरेक्ट करने, या संवेदनशील डेटा को इंटरसेप्ट करने के लिए किया जा सकता है यदि इसे गलत तरीके से कॉन्फ़िगर किया गया हो। ```bash az sql server conn-policy update \ --resource-group \ @@ -117,7 +117,7 @@ az sql server key create \ ``` ### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read` -यह अनुमति Azure SQL Database के लिए Ledger Digest को निष्क्रिय करने की अनुमति देती है, जो Azure Blob Storage पर डेटा की अखंडता की पुष्टि करने वाले क्रिप्टोग्राफिक डाइजेस्ट रिकॉर्ड के आवधिक अपलोड को रोकती है। +यह अनुमति Azure SQL Database के लिए Ledger Digest को निष्क्रिय करने की अनुमति देती है, जो डेटा की अखंडता की पुष्टि करने वाले क्रिप्टोग्राफिक डाइजेस्ट रिकॉर्ड को Azure Blob Storage में आवधिक रूप से अपलोड करने को रोकती है। ```bash az sql db ledger-digest-uploads disable \ --name ledgerDB \ diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md index f5d49c05a..ef983844c 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md @@ -32,7 +32,7 @@ az storage message put --queue-name --content "Injected malicious m ``` ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` -यह अनुमति एक हमलावर को Azure Storage Queue में नए संदेश जोड़ने या मौजूदा संदेशों को अपडेट करने की अनुमति देती है। इसका उपयोग करके, वे हानिकारक सामग्री डाल सकते हैं या मौजूदा संदेशों को बदल सकते हैं, जिससे अनुप्रयोगों को भ्रामक जानकारी मिल सकती है या उन सिस्टमों में अवांछित व्यवहार उत्पन्न हो सकता है जो कतार पर निर्भर करते हैं। +यह अनुमति एक हमलावर को Azure Storage Queue में नए संदेश जोड़ने या मौजूदा संदेशों को अपडेट करने की अनुमति देती है। इसका उपयोग करके, वे हानिकारक सामग्री डाल सकते हैं या मौजूदा संदेशों को बदल सकते हैं, जो संभावित रूप से अनुप्रयोगों को भ्रामक बना सकता है या उन सिस्टमों में अवांछित व्यवहार पैदा कर सकता है जो कतार पर निर्भर करते हैं। ```bash az storage message put --queue-name --content "Injected malicious message" --account-name @@ -46,7 +46,7 @@ az storage message update --queue-name \ ``` ### Action: `Microsoft.Storage/storageAccounts/queueServices/queues/write` -यह अनुमति एक हमलावर को स्टोरेज खाते के भीतर कतारें और उनकी विशेषताओं को बनाने या संशोधित करने की अनुमति देती है। इसका उपयोग अनधिकृत कतारें बनाने, मेटाडेटा को संशोधित करने, या एक्सेस कंट्रोल सूचियों (ACLs) को बदलने के लिए किया जा सकता है ताकि पहुँच को प्रदान या प्रतिबंधित किया जा सके। यह क्षमता कार्यप्रवाहों को बाधित कर सकती है, दुर्भावनापूर्ण डेटा इंजेक्ट कर सकती है, संवेदनशील जानकारी को बाहर निकाल सकती है, या आगे के हमलों को सक्षम करने के लिए कतार सेटिंग्स में हेरफेर कर सकती है। +यह अनुमति एक हमलावर को स्टोरेज अकाउंट के भीतर कतारें और उनकी विशेषताओं को बनाने या संशोधित करने की अनुमति देती है। इसका उपयोग अनधिकृत कतारें बनाने, मेटाडेटा को संशोधित करने, या एक्सेस कंट्रोल सूचियों (ACLs) को बदलने के लिए किया जा सकता है ताकि पहुँच को प्रदान या प्रतिबंधित किया जा सके। यह क्षमता कार्यप्रवाहों को बाधित कर सकती है, दुर्भावनापूर्ण डेटा इंजेक्ट कर सकती है, संवेदनशील जानकारी को एक्सफिल्ट्रेट कर सकती है, या आगे के हमलों को सक्षम करने के लिए कतार सेटिंग्स में हेरफेर कर सकती है। ```bash az storage queue create --name --account-name diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md index 363ad6521..9cc55a4df 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md @@ -12,7 +12,7 @@ ### Microsoft.ServiceBus/namespaces/authorizationrules/listKeys/action OR Microsoft.ServiceBus/namespaces/authorizationrules/regenerateKeys/action -ये अनुमतियाँ आपको एक Service Bus namespace के भीतर स्थानीय प्राधिकरण नियमों के लिए कुंजी प्राप्त करने या पुनः उत्पन्न करने की अनुमति देती हैं। इन कुंजियों का उपयोग करके Service Bus namespace के रूप में प्रमाणीकरण करना संभव है, जिससे आप किसी भी कतार या विषय को संदेश भेज सकते हैं, किसी भी कतार या सदस्यता से संदेश प्राप्त कर सकते हैं, या संभावित रूप से सिस्टम के साथ ऐसे तरीकों से इंटरैक्ट कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। +ये अनुमतियाँ आपको एक Service Bus namespace के भीतर स्थानीय प्राधिकरण नियमों के लिए कुंजी प्राप्त करने या पुनः उत्पन्न करने की अनुमति देती हैं। इन कुंजियों का उपयोग करके Service Bus namespace के रूप में प्रमाणित होना संभव है, जिससे आप किसी भी कतार या विषय को संदेश भेज सकते हैं, किसी भी कतार या सदस्यता से संदेश प्राप्त कर सकते हैं, या संभावित रूप से सिस्टम के साथ ऐसे तरीकों से इंटरैक्ट कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। ध्यान दें कि डिफ़ॉल्ट रूप से **`RootManageSharedAccessKey` नियम का Service Bus namespace पर पूर्ण नियंत्रण है** और इसका उपयोग `az` cli द्वारा किया जाता है, हालाँकि, अन्य कुंजी मानों के साथ अन्य नियम भी हो सकते हैं। ```bash @@ -29,9 +29,9 @@ az servicebus namespace authorization-rule keys renew --key [PrimaryKey|Secondar az servicebus namespace authorization-rule create --authorization-rule-name "myRule" --namespace-name mynamespacespdemo --resource-group Resource_Group_1 --rights Manage Listen Send ``` >[!WARNING] ->यह कमांड कुंजी के साथ प्रतिक्रिया नहीं करता है, इसलिए आपको उन्हें पिछले कमांड (और अनुमतियों) के साथ प्राप्त करना होगा ताकि विशेषाधिकार बढ़ाए जा सकें। +>यह कमांड कुंजियों के साथ प्रतिक्रिया नहीं करता है, इसलिए आपको विशेषाधिकार बढ़ाने के लिए उन्हें पिछले कमांड (और अनुमतियों) के साथ प्राप्त करना होगा। -इसके अलावा, उस कमांड (और `Microsoft.ServiceBus/namespaces/authorizationRules/read`) के साथ, यदि आप Azure CLI के माध्यम से यह क्रिया करते हैं, तो एक मौजूदा प्राधिकरण नियम को अपडेट करना संभव है और इसे अधिक अनुमतियाँ देना (यदि यह कुछ की कमी थी) निम्नलिखित कमांड के साथ: +इसके अलावा, उस कमांड (और `Microsoft.ServiceBus/namespaces/authorizationRules/read`) के साथ, यदि आप Azure CLI के माध्यम से यह क्रिया करते हैं, तो एक मौजूदा प्राधिकरण नियम को अपडेट करना और उसे अधिक अनुमतियाँ देना संभव है (यदि इसमें कुछ की कमी थी) निम्नलिखित कमांड के साथ: ```bash az servicebus namespace authorization-rule update \ --resource-group \ @@ -41,7 +41,7 @@ az servicebus namespace authorization-rule update \ ``` ### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/ListKeys/action OR Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/regenerateKeys/action -एक Service Bus namespace के अंदर विशिष्ट विषय और कतारें अपनी स्वयं की प्राधिकरण नियमों को रख सकती हैं, जिन्हें इकाई तक पहुँच को नियंत्रित करने के लिए उपयोग किया जा सकता है। इन अनुमतियों के होने से, आप **इन स्थानीय प्राधिकरण नियमों के लिए कुंजी प्राप्त या पुन: उत्पन्न कर सकते हैं**, जिससे आप इकाई के रूप में प्रमाणीकरण कर सकते हैं और संभावित रूप से संदेश भेजने या प्राप्त करने, सदस्यता प्रबंधित करने, या सिस्टम के साथ ऐसे तरीकों से बातचीत कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। +एक Service Bus namespace के भीतर विशिष्ट विषयों और कतारों के अपने स्वयं के प्राधिकरण नियम हो सकते हैं, जिन्हें इकाई तक पहुँच को नियंत्रित करने के लिए उपयोग किया जा सकता है। इन अनुमतियों के साथ, आप **इन स्थानीय प्राधिकरण नियमों के लिए कुंजी प्राप्त या पुन: उत्पन्न कर सकते हैं**, जिससे आप इकाई के रूप में प्रमाणीकरण कर सकते हैं और संभावित रूप से संदेश भेजने या प्राप्त करने, सदस्यता प्रबंधित करने, या सिस्टम के साथ ऐसे तरीकों से बातचीत कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। ```bash # List keys (topics) az servicebus topic authorization-rule keys list --resource-group --namespace-name --topic-name --name @@ -57,7 +57,7 @@ az servicebus queue authorization-rule keys renew --key [PrimaryKey|SecondaryKey ``` ### Microsoft.ServiceBus/namespaces/[queues|topics]/authorizationRules/write -इस अनुमति के साथ, यह संभव है कि **एक नई प्राधिकरण नियम** सभी अनुमतियों और अपनी कुंजियों के साथ बनाई जाए: +इस अनुमति के साथ, यह संभव है कि **एक नई प्राधिकरण नियम** सभी अनुमतियों और इसके अपने कुंजियों के साथ बनाया जाए: ```bash # In a topic az servicebus topic authorization-rule create --resource-group --namespace-name --topic-name --name --rights Manage Listen Send @@ -84,7 +84,7 @@ az servicebus namespace update --disable-local-auth false -n -- ``` ### Send Messages with keys (Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action OR Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action) -आप `PrimaryConnectionString` प्राप्त कर सकते हैं, जो Service Bus namespace के लिए एक क्रेडेंशियल के रूप में कार्य करता है। इस कनेक्शन स्ट्रिंग के साथ, आप Service Bus namespace के रूप में पूरी तरह से प्रमाणीकरण कर सकते हैं, जिससे आप किसी भी कतार या विषय में संदेश भेजने में सक्षम होते हैं और संभावित रूप से सिस्टम के साथ ऐसे तरीकों से इंटरैक्ट कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। यह विधि काम करती है यदि `--disable-local-auth` को false पर सेट किया गया है। +आप `PrimaryConnectionString` प्राप्त कर सकते हैं, जो Service Bus namespace के लिए एक क्रेडेंशियल के रूप में कार्य करता है। इस कनेक्शन स्ट्रिंग के साथ, आप Service Bus namespace के रूप में पूरी तरह से प्रमाणीकरण कर सकते हैं, जिससे आप किसी भी कतार या विषय पर संदेश भेजने में सक्षम होते हैं और संभावित रूप से सिस्टम के साथ ऐसे तरीकों से इंटरैक्ट कर सकते हैं जो संचालन को बाधित कर सकते हैं, वैध उपयोगकर्ताओं का अनुकरण कर सकते हैं, या संदेश प्रवाह में दुर्भावनापूर्ण डेटा इंजेक्ट कर सकते हैं। यह विधि काम करती है यदि `--disable-local-auth` को false पर सेट किया गया है। ```python import asyncio from azure.servicebus.aio import ServiceBusClient @@ -162,7 +162,7 @@ await receiver.complete_message(msg) asyncio.run(receive()) print("Done receiving messages") ``` -इसके अतिरिक्त, आप az rest के साथ संदेश भेज सकते हैं, इस मामले में आपको उपयोग करने के लिए एक sas टोकन उत्पन्न करने की आवश्यकता है। +इसके अलावा, आप az rest के साथ संदेश भेज सकते हैं, इस मामले में आपको उपयोग करने के लिए एक sas टोकन उत्पन्न करने की आवश्यकता है। ```python import time, urllib.parse, hmac, hashlib, base64 @@ -182,7 +182,7 @@ sas_token = generate_sas_token(resource_uri, "", "") print(sas_token) ``` -क्यू के लिए आप संदेश को प्राप्त कर सकते हैं या उसे देख सकते हैं (संदेश प्राप्त करने से उन्हें हटा दिया जाएगा, जबकि देखने से ऐसा नहीं होगा): +क्यू के लिए आप संदेश को प्राप्त कर सकते हैं या उसे देख सकते हैं (संदेश प्राप्त करने से वे हटा दिए जाएंगे, जबकि देखने से ऐसा नहीं होगा): ```bash #Get a message az rest --method post \ @@ -216,7 +216,7 @@ az rest --method get \ --uri "https://.servicebus.windows.net//subscriptions//messages?timeout=60&PreviousSequenceNumber=&api-version=2017-04" \ --headers "Authorization=SharedAccessSignature sr=&sig=&se=&skn=" ``` -### संदेश भेजें। DataActions: `Microsoft.ServiceBus/namespaces/messages/send/action` +### Send Messages. DataActions: `Microsoft.ServiceBus/namespaces/messages/send/action` आप इस अनुमति का उपयोग संदेश भेजने के लिए कर सकते हैं, भले ही `--disable-local-auth` को सत्य पर सेट किया गया हो। ```python diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md index 660935652..5e6ec6b90 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md @@ -35,7 +35,7 @@ az sql server update \ --resource-group \ --enable-public-network true ``` -इसके अलावा, अनुमतियों के साथ आप असाइन पहचान सक्षम कर सकते हैं, जो सर्वर से जुड़े प्रबंधित पहचान के साथ कार्य करता है। उदाहरण के लिए, यहां एक प्रबंधित पहचान है जो Azure Storage तक पहुंच सकता है: +इसके अलावा, अनुमतियों के साथ आप असाइन पहचान सक्षम कर सकते हैं, जो सर्वर से जुड़े प्रबंधित पहचान के साथ कार्य कर सकता है। उदाहरण के लिए, यहाँ एक प्रबंधित पहचान के साथ जो Azure Storage तक पहुँच सकता है: ```bash az sql server update \ --name \ @@ -62,7 +62,7 @@ GO ``` ### `Microsoft.Sql/servers/firewallRules/write` -एक हमलावर Azure SQL सर्वरों पर फ़ायरवॉल नियमों में हेरफेर कर सकता है ताकि अनधिकृत पहुँच की अनुमति मिल सके। इसका उपयोग सर्वर को विशिष्ट IP पते या पूरे IP रेंज, जिसमें सार्वजनिक IP शामिल हैं, के लिए खोलने के लिए किया जा सकता है, जिससे दुर्भावनापूर्ण अभिनेताओं के लिए पहुँच सक्षम होती है। यह पोस्ट-एक्सप्लॉइटेशन गतिविधि मौजूदा नेटवर्क सुरक्षा नियंत्रणों को बायपास करने, स्थिरता स्थापित करने, या संवेदनशील संसाधनों को उजागर करके वातावरण के भीतर पार्श्व आंदोलन को सुविधाजनक बनाने के लिए उपयोग की जा सकती है। +एक हमलावर Azure SQL सर्वरों पर फ़ायरवॉल नियमों में हेरफेर कर सकता है ताकि अनधिकृत पहुँच की अनुमति मिल सके। इसका उपयोग विशिष्ट IP पते या पूरे IP रेंज, जिसमें सार्वजनिक IP शामिल हैं, के लिए सर्वर को खोलने के लिए किया जा सकता है, जिससे दुर्भावनापूर्ण अभिनेताओं के लिए पहुँच सक्षम होती है। यह पोस्ट-एक्सप्लॉइटेशन गतिविधि मौजूदा नेटवर्क सुरक्षा नियंत्रणों को बायपास करने, स्थिरता स्थापित करने, या संवेदनशील संसाधनों को उजागर करके वातावरण के भीतर पार्श्व आंदोलन को सुविधाजनक बनाने के लिए उपयोग की जा सकती है। ```bash # Create Firewall Rule az sql server firewall-rule create \ @@ -80,7 +80,7 @@ az sql server firewall-rule update \ --start-ip-address \ --end-ip-address ``` -इसके अलावा, `Microsoft.Sql/servers/outboundFirewallRules/delete` अनुमति आपको एक फ़ायरवॉल नियम को हटाने की अनुमति देती है। +अतिरिक्त रूप से, `Microsoft.Sql/servers/outboundFirewallRules/delete` अनुमति आपको एक फ़ायरवॉल नियम को हटाने की अनुमति देती है। नोट: सार्वजनिक पहुंच सक्षम होना आवश्यक है ### `Microsoft.Sql/servers/ipv6FirewallRules/write` @@ -99,7 +99,7 @@ az sql server firewall-rule create \ ### `Microsoft.Sql/servers/administrators/write` && `Microsoft.Sql/servers/administrators/read` -इन अनुमतियों के साथ आप Azure SQL Server वातावरण में SQL डेटाबेस तक पहुंचकर महत्वपूर्ण जानकारी प्राप्त कर सकते हैं। नीचे दिए गए कमांड का उपयोग करके, एक हमलावर या अधिकृत उपयोगकर्ता खुद को या किसी अन्य खाते को Azure AD प्रशासक के रूप में सेट कर सकता है। यदि "Microsoft Entra Authentication Only" सक्षम है, तो आप सर्वर और इसके उदाहरणों तक पहुंच सकते हैं। यहाँ SQL सर्वर के लिए Azure AD प्रशासक सेट करने का कमांड है: +इन अनुमतियों के साथ आप Azure SQL Server वातावरण में SQL डेटाबेस तक पहुंच प्राप्त कर सकते हैं और महत्वपूर्ण जानकारी प्राप्त कर सकते हैं। नीचे दिए गए कमांड का उपयोग करके, एक हमलावर या अधिकृत उपयोगकर्ता खुद को या किसी अन्य खाते को Azure AD प्रशासक के रूप में सेट कर सकता है। यदि "Microsoft Entra Authentication Only" सक्षम है, तो आप सर्वर और इसके उदाहरणों तक पहुंच प्राप्त कर सकते हैं। यहाँ एक SQL सर्वर के लिए Azure AD प्रशासक सेट करने का कमांड है: ```bash az sql server ad-admin create \ --server \ diff --git a/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md b/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md index 07cc55890..12ff6e652 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md +++ b/src/pentesting-cloud/azure-security/az-services/az-servicebus-enum.md @@ -4,7 +4,7 @@ ## Service Bus -Azure Service Bus एक क्लाउड-आधारित **मैसेजिंग सेवा** है जिसे विभिन्न भागों के बीच विश्वसनीय **संचार सक्षम करने के लिए डिज़ाइन किया गया है या अलग-अलग अनुप्रयोगों** के बीच। यह एक सुरक्षित मध्यस्थ के रूप में कार्य करता है, यह सुनिश्चित करता है कि संदेश सुरक्षित रूप से वितरित किए जाएं, भले ही प्रेषक और प्राप्तकर्ता एक साथ काम न कर रहे हों। सिस्टम को अलग करके, यह अनुप्रयोगों को स्वतंत्र रूप से काम करने की अनुमति देता है जबकि डेटा या निर्देशों का आदान-प्रदान करते हुए। यह विशेष रूप से उन परिदृश्यों के लिए उपयोगी है जो कई श्रमिकों के बीच लोड संतुलन, विश्वसनीय संदेश वितरण, या जटिल समन्वय की आवश्यकता होती है, जैसे कि कार्यों को क्रम में संसाधित करना या सुरक्षित रूप से पहुंच प्रबंधित करना। +Azure Service Bus एक क्लाउड-आधारित **मैसेजिंग सेवा** है जिसे विभिन्न भागों के बीच विश्वसनीय **संचार सक्षम करने के लिए डिज़ाइन किया गया है या अलग-अलग अनुप्रयोगों** के बीच। यह एक सुरक्षित मध्यस्थ के रूप में कार्य करता है, यह सुनिश्चित करते हुए कि संदेश सुरक्षित रूप से वितरित किए जाते हैं, भले ही प्रेषक और प्राप्तकर्ता एक साथ काम न कर रहे हों। सिस्टम को अलग करके, यह अनुप्रयोगों को स्वतंत्र रूप से काम करने की अनुमति देता है जबकि डेटा या निर्देशों का आदान-प्रदान करते हैं। यह विशेष रूप से उन परिदृश्यों के लिए उपयोगी है जो कई श्रमिकों के बीच लोड संतुलन, विश्वसनीय संदेश वितरण, या जटिल समन्वय की आवश्यकता होती है, जैसे कि कार्यों को क्रम में संसाधित करना या सुरक्षित रूप से पहुंच प्रबंधित करना। ### Key Concepts @@ -46,7 +46,7 @@ SAS नीतियाँ Azure Service Bus संस्थाओं के न - Send: संस्थान को संदेश भेजने की अनुमति देता है। - Listen: संस्थान से संदेश प्राप्त करने की अनुमति देता है। - **Primary and Secondary Keys**: ये क्रिप्टोग्राफिक कुंजी हैं जो पहुँच को प्रमाणित करने के लिए सुरक्षित टोकन उत्पन्न करने के लिए उपयोग की जाती हैं। -- **Primary and Secondary Connection Strings**: पूर्व-निर्धारित कनेक्शन स्ट्रिंग्स जो एप्लिकेशनों में उपयोग के लिए एंडपॉइंट और कुंजी शामिल करती हैं। +- **Primary and Secondary Connection Strings**: पूर्व-निर्धारित कनेक्शन स्ट्रिंग्स जो एप्लिकेशन में उपयोग के लिए एंडपॉइंट और कुंजी शामिल करती हैं। - **SAS Policy ARM ID**: नीति के लिए प्रोग्रामेटिक पहचान के लिए Azure Resource Manager (ARM) पथ। यह ध्यान रखना महत्वपूर्ण है कि एक नामस्थान में एकल SAS नीति होती है जो इसके भीतर हर संस्थान को प्रभावित करती है, जबकि कतारें और विषय अपनी व्यक्तिगत SAS नीतियाँ रख सकते हैं ताकि अधिक सूक्ष्म नियंत्रण हो सके। @@ -55,8 +55,8 @@ SAS नीतियाँ Azure Service Bus संस्थाओं के न --disable-local-auth पैरामीटर का उपयोग यह नियंत्रित करने के लिए किया जाता है कि क्या आपके Service Bus नामस्थान के लिए स्थानीय प्रमाणीकरण (यानी, Shared Access Signature (SAS) कुंजी का उपयोग करना) सक्षम है। यहाँ आपको जो जानने की आवश्यकता है: -- जब इसे true पर सेट किया जाता है: SAS कुंजी का उपयोग करके स्थानीय प्रमाणीकरण अक्षम होता है और azure Active Directory (Azure AD) प्रमाणीकरण की अनुमति होती है। -- जब इसे false पर सेट किया जाता है: SAS (स्थानीय) प्रमाणीकरण और Azure AD प्रमाणीकरण दोनों उपलब्ध होते हैं और आप अपने Service Bus संसाधनों तक पहुँचने के लिए SAS कुंजी के साथ कनेक्शन स्ट्रिंग्स का उपयोग कर सकते हैं। +- जब इसे true पर सेट किया जाता है: SAS कुंजी का उपयोग करके स्थानीय प्रमाणीकरण अक्षम होता है और Azure Active Directory (Azure AD) प्रमाणीकरण की अनुमति होती है। +- जब इसे false पर सेट किया जाता है: दोनों SAS (स्थानीय) प्रमाणीकरण और Azure AD प्रमाणीकरण उपलब्ध हैं और आप अपने Service Bus संसाधनों तक पहुँचने के लिए SAS कुंजी के साथ कनेक्शन स्ट्रिंग्स का उपयोग कर सकते हैं। ### Enumeration diff --git a/src/pentesting-cloud/azure-security/az-services/az-sql.md b/src/pentesting-cloud/azure-security/az-services/az-sql.md index 25bd66432..c4affa73b 100644 --- a/src/pentesting-cloud/azure-security/az-services/az-sql.md +++ b/src/pentesting-cloud/azure-security/az-services/az-sql.md @@ -10,7 +10,7 @@ Azure SQL में चार मुख्य पेशकशें शामि 1. **Azure SQL Server**: Azure SQL Server एक प्रबंधित संबंधपरक डेटाबेस सेवा है जो SQL Server डेटाबेस के तैनाती और प्रबंधन को सरल बनाती है, जिसमें अंतर्निहित सुरक्षा और प्रदर्शन सुविधाएँ हैं। 2. **Azure SQL Database**: यह एक **पूर्ण-प्रबंधित डेटाबेस सेवा** है, जो आपको Azure क्लाउड में व्यक्तिगत डेटाबेस होस्ट करने की अनुमति देती है। यह अंतर्निहित बुद्धिमत्ता प्रदान करती है जो आपके अद्वितीय डेटाबेस पैटर्न को सीखती है और अनुकूलित सिफारिशें और स्वचालित ट्यूनिंग प्रदान करती है। -3. **Azure SQL Managed Instance**: यह बड़े पैमाने पर, पूरे SQL Server इंस्टेंस-स्कोप्ड तैनातियों के लिए है। यह नवीनतम SQL Server ऑन-प्रिमाइसेस (Enterprise Edition) डेटाबेस इंजन के साथ लगभग 100% संगतता प्रदान करता है, जो सामान्य सुरक्षा चिंताओं को संबोधित करने के लिए एक स्वदेशी वर्चुअल नेटवर्क (VNet) कार्यान्वयन प्रदान करता है, और ऑन-प्रिमाइसेस SQL Server ग्राहकों के लिए एक व्यावसायिक मॉडल अनुकूल है। +3. **Azure SQL Managed Instance**: यह बड़े पैमाने पर, पूरे SQL Server इंस्टेंस-स्कोप्ड तैनातियों के लिए है। यह नवीनतम SQL Server ऑन-प्रिमाइसेस (Enterprise Edition) डेटाबेस इंजन के साथ लगभग 100% संगतता प्रदान करता है, जो सामान्य सुरक्षा चिंताओं को संबोधित करने के लिए एक स्वदेशी वर्चुअल नेटवर्क (VNet) कार्यान्वयन प्रदान करता है, और ऑन-प्रिमाइसेस SQL Server ग्राहकों के लिए अनुकूल व्यावसायिक मॉडल। 4. **Azure SQL Server on Azure VMs**: यह इन्फ्रास्ट्रक्चर एज़ अ सर्विस (IaaS) है और उन माइग्रेशनों के लिए सबसे अच्छा है जहाँ आप **ऑपरेटिंग सिस्टम और SQL Server इंस्टेंस पर नियंत्रण** चाहते हैं, जैसे कि यह एक ऑन-प्रिमाइसेस सर्वर पर चल रहा हो। ### Azure SQL Server @@ -20,7 +20,7 @@ Azure SQL Server एक संबंधपरक डेटाबेस प्र #### Network **Network Connectivity**: सार्वजनिक अंत बिंदु या निजी अंत बिंदु के माध्यम से पहुँच सक्षम करने का चयन करें। यदि आप कोई पहुँच नहीं चुनते हैं, तो कोई अंत बिंदु तब तक नहीं बनाए जाते जब तक कि इसे मैन्युअल रूप से कॉन्फ़िगर नहीं किया जाता: -- No access: कोई अंत बिंदु कॉन्फ़िगर नहीं किए जाते, मैन्युअल रूप से सेट किए जाने तक आने वाले कनेक्शनों को अवरुद्ध करते हैं। +- No access: कोई अंत बिंदु कॉन्फ़िगर नहीं किए जाते, मैन्युअल रूप से सेट होने तक आने वाले कनेक्शनों को अवरुद्ध करते हैं। - Public endpoint: सार्वजनिक इंटरनेट के माध्यम से सीधे कनेक्शनों की अनुमति देता है, फ़ायरवॉल नियमों और अन्य सुरक्षा कॉन्फ़िगरेशन के अधीन। - Private endpoint: एक निजी नेटवर्क के लिए कनेक्टिविटी को प्रतिबंधित करता है। @@ -38,13 +38,13 @@ Azure SQL विभिन्न प्रमाणीकरण विधिय #### Security features -SQL सर्वरों में **Managed Identities** होती हैं। प्रबंधित पहचानें आपके सर्वर को अन्य Azure सेवाओं के साथ सुरक्षित रूप से प्रमाणीकरण करने की अनुमति देती हैं बिना क्रेडेंशियल्स को संग्रहीत किए। यह अन्य सेवाओं तक पहुँच की अनुमति देती है जो सिस्टम असाइन की गई प्रबंधित पहचान होगी और अन्य पहचान के साथ अन्य सेवाओं द्वारा पहुँची जा सकती है जो उपयोगकर्ता असाइन की गई प्रबंधित पहचान है। SQL द्वारा पहुँच की जा सकने वाली कुछ सेवाएँ हैं Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB या Cosmos DB API for MongoDB, Generic ODBC, Bulk Operations और S3-संगत वस्तु भंडारण। +SQL सर्वरों में **Managed Identities** होती हैं। प्रबंधित पहचानें आपके सर्वर को अन्य Azure सेवाओं के साथ सुरक्षित रूप से प्रमाणीकरण करने की अनुमति देती हैं बिना क्रेडेंशियल्स को संग्रहीत किए। यह अन्य सेवाओं तक पहुँचने की अनुमति देती है जो सिस्टम असाइन की गई प्रबंधित पहचान होगी और अन्य पहचान के साथ अन्य सेवाओं द्वारा पहुँची जा सकती है जो उपयोगकर्ता असाइन की गई प्रबंधित पहचान है। SQL द्वारा पहुँचने वाली कुछ सेवाएँ हैं Azure Storage Account(V2), Azure Data Lake Storage Gen2, SQL Server, Oracle, Teradata, MongoDB या Cosmos DB API for MongoDB, Generic ODBC, Bulk Operations और S3-संगत वस्तु भंडारण। SQL सर्वर की अन्य सुरक्षा सुविधाएँ हैं: - **Firewall Rules**: फ़ायरवॉल नियम आपके सर्वर तक पहुँच को नियंत्रित करते हैं, ट्रैफ़िक को प्रतिबंधित या अनुमति देकर। यह डेटाबेस की एक विशेषता भी है। -- **Transparent Data Encryption (TDE)**: TDE आपके डेटाबेस, बैकअप, और लॉग को विश्राम में एन्क्रिप्ट करता है ताकि आपके डेटा की सुरक्षा की जा सके, भले ही भंडारण से समझौता किया गया हो। इसे सेवा-प्रबंधित कुंजी या ग्राहक-प्रबंधित कुंजी के साथ किया जा सकता है। -- **Microsoft Defender for SQL**: Microsoft Defender for SQL को सक्षम किया जा सकता है जो एक सर्वर के लिए भेद्यता आकलन और उन्नत खतरा सुरक्षा प्रदान करता है। +- **Transparent Data Encryption (TDE)**: TDE आपके डेटाबेस, बैकअप और लॉग को विश्राम में एन्क्रिप्ट करता है ताकि आपके डेटा की सुरक्षा की जा सके, भले ही भंडारण से समझौता किया गया हो। इसे सेवा-प्रबंधित कुंजी या ग्राहक-प्रबंधित कुंजी के साथ किया जा सकता है। +- **Microsoft Defender for SQL**: Microsoft Defender for SQL को सक्षम किया जा सकता है जो सर्वर के लिए भेद्यता आकलन और उन्नत खतरे की सुरक्षा प्रदान करता है। #### Deployment Models @@ -63,14 +63,14 @@ Azure SQL Database विभिन्न आवश्यकताओं के #### Key Features -- **Always Up-to-Date**: नवीनतम स्थिर संस्करण पर चलता है और स्वचालित रूप से नए फीचर्स और पैच प्राप्त करता है। +- **Always Up-to-Date**: नवीनतम स्थिर संस्करण पर चलता है SQL Server और स्वचालित रूप से नए फीचर्स और पैच प्राप्त करता है। - **PaaS Capabilities**: अंतर्निहित उच्च उपलब्धता, बैकअप, और अपडेट। - **Data Flexibility**: संबंधपरक और गैर-संबंधपरक डेटा (जैसे, ग्राफ, JSON, स्थानिक, और XML) का समर्थन करता है। #### Network **Network Connectivity**: सार्वजनिक अंत बिंदु या निजी अंत बिंदु के माध्यम से पहुँच सक्षम करने का चयन करें। यदि आप कोई पहुँच नहीं चुनते हैं, तो कोई अंत बिंदु तब तक नहीं बनाए जाते जब तक कि इसे मैन्युअल रूप से कॉन्फ़िगर नहीं किया जाता: -- No access: कोई अंत बिंदु कॉन्फ़िगर नहीं किए जाते, मैन्युअल रूप से सेट किए जाने तक आने वाले कनेक्शनों को अवरुद्ध करते हैं। +- No access: कोई अंत बिंदु कॉन्फ़िगर नहीं किए जाते, मैन्युअल रूप से सेट होने तक आने वाले कनेक्शनों को अवरुद्ध करते हैं। - Public endpoint: सार्वजनिक इंटरनेट के माध्यम से सीधे कनेक्शनों की अनुमति देता है, फ़ायरवॉल नियमों और अन्य सुरक्षा कॉन्फ़िगरेशन के अधीन। - Private endpoint: एक निजी नेटवर्क के लिए कनेक्टिविटी को प्रतिबंधित करता है। @@ -81,30 +81,30 @@ Azure SQL Database विभिन्न आवश्यकताओं के #### Security Features -- **Microsoft Defender for SQL**: सक्षम किया जा सकता है जो भेद्यता आकलन और उन्नत खतरा सुरक्षा प्रदान करता है। -- **Ledger**: डेटा की अखंडता को क्रिप्टोग्राफिक रूप से सत्यापित करता है, यह सुनिश्चित करता है कि किसी भी छेड़छाड़ का पता लगाया जा सके। +- **Microsoft Defender for SQL**: सक्षम किया जा सकता है जो भेद्यता आकलन और उन्नत खतरे की सुरक्षा प्रदान करता है। +- **Ledger**: डेटा की अखंडता को क्रिप्टोग्राफिक रूप से सत्यापित करता है, यह सुनिश्चित करता है कि किसी भी छेड़छाड़ का पता लगाया जाए। - **Server Identity**: केंद्रीकृत पहुँच सक्षम करने के लिए सिस्टम-निर्धारित और उपयोगकर्ता-निर्धारित प्रबंधित पहचान का उपयोग करता है। - **Transparent Data Encryption Key Management**: बिना किसी परिवर्तन की आवश्यकता के डेटाबेस, बैकअप, और लॉग को विश्राम में एन्क्रिप्ट करता है। एन्क्रिप्शन को प्रत्येक डेटाबेस पर सक्षम किया जा सकता है, और यदि डेटाबेस स्तर पर कॉन्फ़िगर किया गया है, तो ये सेटिंग्स सर्वर-स्तरीय कॉन्फ़िगरेशन को ओवरराइड करती हैं। -- **Always Encrypted**: उन्नत डेटा सुरक्षा सुविधाओं का एक सूट है जो डेटा स्वामित्व को डेटा प्रबंधन से अलग करता है। यह सुनिश्चित करता है कि उच्च विशेषाधिकार वाले प्रशासक या ऑपरेटर संवेदनशील डेटा तक पहुँच नहीं प्राप्त कर सकते। +- **Always Encrypted**: उन्नत डेटा सुरक्षा सुविधाओं का एक सूट है जो डेटा स्वामित्व को डेटा प्रबंधन से अलग करता है। यह सुनिश्चित करता है कि उच्च विशेषाधिकार वाले प्रशासक या ऑपरेटर संवेदनशील डेटा तक पहुँच नहीं सकते। #### Purchasing Models / Service Tiers -- **vCore-based**: स्वतंत्र रूप से कंप्यूट, मेमोरी, और स्टोरेज चुनें। सामान्य उद्देश्य, व्यवसायिक महत्वपूर्ण (OLTP ऐप्स के लिए उच्च लचीलापन और प्रदर्शन के साथ), और 128 TB स्टोरेज तक स्केल करता है। -- **DTU-based**: कंप्यूट, मेमोरी, और I/O को निश्चित स्तरों में बंडल करता है। सामान्य कार्यों के लिए संतुलित संसाधन। +- **vCore-based**: स्वतंत्र रूप से कंप्यूट, मेमोरी, और स्टोरेज चुनें। सामान्य उद्देश्य, व्यवसायिक महत्वपूर्ण (OLTP ऐप्स के लिए उच्च लचीलापन और प्रदर्शन) के लिए, और 128 TB स्टोरेज तक स्केल करता है। +- **DTU-based**: निश्चित स्तरों में कंप्यूट, मेमोरी, और I/O को बंडल करता है। सामान्य कार्यों के लिए संतुलित संसाधन। - Standard: सामान्य कार्यों के लिए संतुलित संसाधन। - Premium: मांग वाले कार्यभार के लिए उच्च प्रदर्शन। #### Scalable performance and pools -- **Single Databases**: प्रत्येक डेटाबेस अलग है और इसके अपने समर्पित कंप्यूट, मेमोरी, और स्टोरेज संसाधन हैं। संसाधनों को बिना डाउनटाइम (1–128 vCores, 32 GB–4 TB स्टोरेज, और 128 TB तक) के गतिशील रूप से स्केल किया जा सकता है। +- **Single Databases**: प्रत्येक डेटाबेस अलग है और इसके अपने समर्पित कंप्यूट, मेमोरी, और स्टोरेज संसाधन होते हैं। संसाधनों को गतिशील रूप से (ऊपर या नीचे) बिना डाउनटाइम के स्केल किया जा सकता है (1–128 vCores, 32 GB–4 TB स्टोरेज, और 128 TB तक)। - **Elastic Pools**: अधिकतम दक्षता और लागत बचाने के लिए एक पूल में कई डेटाबेस के बीच संसाधनों को साझा करें। पूरे पूल के लिए संसाधनों को भी गतिशील रूप से स्केल किया जा सकता है। -- **Service Tier Flexibility**: सामान्य उद्देश्य स्तर में एकल डेटाबेस के साथ छोटे स्तर पर शुरू करें। आवश्यकताओं के बढ़ने पर व्यवसायिक महत्वपूर्ण या हाइपरस्केल स्तरों में अपग्रेड करें। +- **Service Tier Flexibility**: सामान्य उद्देश्य स्तर में एकल डेटाबेस के साथ छोटे स्तर से शुरू करें। आवश्यकताओं के बढ़ने पर व्यवसायिक महत्वपूर्ण या हाइपरस्केल स्तरों में अपग्रेड करें। - **Scaling Options**: गतिशील स्केलिंग या ऑटोस्केलिंग विकल्प। #### Built-In Monitoring & Optimization - **Query Store**: प्रदर्शन मुद्दों को ट्रैक करता है, शीर्ष संसाधन उपभोक्ताओं की पहचान करता है, और कार्यान्वयन योग्य सिफारिशें प्रदान करता है। -- **Automatic Tuning**: स्वचालित इंडेक्सिंग और क्वेरी योजना सुधार जैसे सुविधाओं के साथ प्रदर्शन को सक्रिय रूप से अनुकूलित करता है। +- **Automatic Tuning**: स्वचालित इंडेक्सिंग और क्वेरी योजना सुधार जैसी सुविधाओं के साथ प्रदर्शन को सक्रिय रूप से अनुकूलित करता है। - **Telemetry Integration**: अनुकूलित अंतर्दृष्टि के लिए Azure Monitor, Event Hubs, या Azure Storage के माध्यम से निगरानी का समर्थन करता है। #### Disaster Recovery & Availability @@ -116,7 +116,7 @@ Azure SQL Database विभिन्न आवश्यकताओं के ### Azure SQL Managed Instance -**Azure SQL Managed Instance** एक प्लेटफ़ॉर्म एज़ अ सर्विस (PaaS) डेटाबेस इंजन है जो SQL Server के साथ लगभग 100% संगतता प्रदान करता है और अधिकांश प्रबंधन कार्यों (जैसे, अपग्रेडिंग, पैचिंग, बैकअप, निगरानी) को स्वचालित रूप से संभालता है। यह ऑन-प्रिमाइसेस SQL Server डेटाबेस को न्यूनतम परिवर्तनों के साथ माइग्रेट करने के लिए एक क्लाउड समाधान प्रदान करता है। +**Azure SQL Managed Instance** एक प्लेटफ़ॉर्म एज़ अ सर्विस (PaaS) डेटाबेस इंजन है जो SQL Server के साथ लगभग 100% संगतता प्रदान करता है और अधिकांश प्रबंधन कार्यों (जैसे, अपग्रेडिंग, पैचिंग, बैकअप, निगरानी) को स्वचालित रूप से संभालता है। यह न्यूनतम परिवर्तनों के साथ ऑन-प्रिमाइसेस SQL Server डेटाबेस को माइग्रेट करने के लिए एक क्लाउड समाधान प्रदान करता है। #### Service Tiers @@ -125,13 +125,13 @@ Azure SQL Database विभिन्न आवश्यकताओं के #### Advanced Security Features -* **Threat Protection**: संदिग्ध गतिविधियों और SQL इंजेक्शन हमलों के लिए उन्नत खतरा सुरक्षा अलर्ट। अनुपालन के लिए डेटाबेस घटनाओं को ट्रैक और लॉग करने के लिए ऑडिटिंग। +* **Threat Protection**: संदिग्ध गतिविधियों और SQL इंजेक्शन हमलों के लिए उन्नत खतरे की सुरक्षा अलर्ट। अनुपालन के लिए डेटाबेस घटनाओं को ट्रैक और लॉग करने के लिए ऑडिटिंग। * **Access Control**: केंद्रीकृत पहचान प्रबंधन के लिए Microsoft Entra प्रमाणीकरण। ग्रैन्युलर एक्सेस नियंत्रण के लिए रो-लेवल सुरक्षा और डायनामिक डेटा मास्किंग। * **Backups**: बिंदु-इन-टाइम पुनर्स्थापना क्षमता के साथ स्वचालित और मैन्युअल बैकअप। ### Azure SQL Virtual Machines -**Azure SQL Virtual Machines** उन माइग्रेशनों के लिए सबसे अच्छा है जहाँ आप **ऑपरेटिंग सिस्टम और SQL Server इंस्टेंस पर नियंत्रण** चाहते हैं, जैसे कि यह एक ऑन-प्रिमाइसेस सर्वर पर चल रहा हो। इसमें विभिन्न मशीन आकार हो सकते हैं, और SQL Server के संस्करणों और संपादनों का एक विस्तृत चयन हो सकता है। +**Azure SQL Virtual Machines** उन माइग्रेशनों के लिए सबसे अच्छा है जहाँ आप **ऑपरेटिंग सिस्टम और SQL Server इंस्टेंस पर नियंत्रण** चाहते हैं, जैसे कि यह एक ऑन-प्रिमाइसेस सर्वर पर चल रहा हो। इसमें विभिन्न मशीन आकार हो सकते हैं, और SQL Server के संस्करणों और संस्करणों का एक विस्तृत चयन हो सकता है। #### Key Features @@ -262,7 +262,7 @@ Get-AzSqlVM ### कनेक्ट करें और SQL क्वेरी चलाएँ -आप एक कनेक्शन स्ट्रिंग (जो क्रेडेंशियल्स शामिल करता है) उदाहरण [एक Az WebApp की गणना करना](az-app-services.md) से पा सकते हैं: +आप एक कनेक्शन स्ट्रिंग (जिसमें क्रेडेंशियल्स शामिल हैं) उदाहरण [एक Az WebApp की गणना करना](az-app-services.md) से पा सकते हैं: ```bash function invoke-sql{ param($query) @@ -281,24 +281,24 @@ $Connection.Close() invoke-sql 'Select Distinct TABLE_NAME From information_schema.TABLES;' ``` -आप sqlcmd का उपयोग करके डेटाबेस तक भी पहुँच सकते हैं। यह जानना महत्वपूर्ण है कि क्या सर्वर सार्वजनिक कनेक्शन की अनुमति देता है `az sql server show --name --resource-group ` और यह भी कि क्या फ़ायरवॉल नियम हमारे IP को पहुँचने की अनुमति देता है: +आप sqlcmd का उपयोग करके डेटाबेस तक भी पहुँच सकते हैं। यह जानना महत्वपूर्ण है कि क्या सर्वर सार्वजनिक कनेक्शनों की अनुमति देता है `az sql server show --name --resource-group ` और यह भी कि क्या फ़ायरवॉल नियम हमारे IP को पहुँचने की अनुमति देता है: ```bash sqlcmd -S .database.windows.net -U -P -d ``` -## संदर्भ +## References - [https://learn.microsoft.com/en-us/azure/azure-sql/azure-sql-iaas-vs-paas-what-is-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/azure-sql-iaas-vs-paas-what-is-overview?view=azuresql) - [https://learn.microsoft.com/en-us/azure/azure-sql/database/single-database-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/database/single-database-overview?view=azuresql) - [https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/sql-managed-instance-paas-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/managed-instance/sql-managed-instance-paas-overview?view=azuresql) - [https://learn.microsoft.com/en-us/azure/azure-sql/virtual-machines/windows/sql-server-on-azure-vm-iaas-what-is-overview?view=azuresql](https://learn.microsoft.com/en-us/azure/azure-sql/virtual-machines/windows/sql-server-on-azure-vm-iaas-what-is-overview?view=azuresql) -## विशेषाधिकार वृद्धि +## Privilege Escalation {{#ref}} ../az-privilege-escalation/az-sql-privesc.md {{#endref}} -## पोस्ट एक्सप्लोइटेशन +## Post Exploitation {{#ref}} ../az-post-exploitation/az-sql-post-exploitation.md diff --git a/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md b/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md index fa9a52642..5a746eee7 100644 --- a/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md +++ b/src/pentesting-cloud/gcp-security/gcp-services/gcp-compute-instances-enum/gcp-compute-instance.md @@ -14,21 +14,21 @@ Confidential VM चलाने के लिए इसे **बदलने** ### Disk & Disk Encryption -आप **डिस्क का चयन** कर सकते हैं या **एक नई बना सकते हैं**। यदि आप एक नई चुनते हैं तो आप: +आप **डिस्क का चयन** कर सकते हैं या **एक नई डिस्क बना सकते हैं**। यदि आप एक नई डिस्क का चयन करते हैं तो आप: -- **डिस्क का आकार** चुन सकते हैं -- **OS** चुन सकते हैं +- डिस्क का **आकार** चुन सकते हैं +- **OS** का चयन कर सकते हैं - संकेत कर सकते हैं कि आप **इंस्टेंस के हटाए जाने पर डिस्क को हटाना चाहते हैं** -- **एन्क्रिप्शन**: **डिफ़ॉल्ट** के रूप में एक **गूगल प्रबंधित कुंजी** का उपयोग किया जाएगा, लेकिन आप **KMS से एक कुंजी चुन सकते हैं** या **उपयोग करने के लिए कच्ची कुंजी** निर्दिष्ट कर सकते हैं। +- **एन्क्रिप्शन**: **डिफ़ॉल्ट** रूप से एक **गूगल प्रबंधित कुंजी** का उपयोग किया जाएगा, लेकिन आप **KMS से एक कुंजी का चयन** भी कर सकते हैं या **उपयोग करने के लिए कच्ची कुंजी** का संकेत कर सकते हैं। ### Deploy Container यह वर्चुअल मशीन के अंदर एक **कंटेनर** तैनात करना संभव है।\ -आप उपयोग करने के लिए **इमेज** कॉन्फ़िगर कर सकते हैं, अंदर चलाने के लिए **कमांड** सेट कर सकते हैं, **आर्गुमेंट्स**, एक **वॉल्यूम** माउंट कर सकते हैं, और **env वेरिएबल्स** (संवेदनशील जानकारी?) सेट कर सकते हैं और इस कंटेनर के लिए कई विकल्प कॉन्फ़िगर कर सकते हैं जैसे **privileged** के रूप में निष्पादित करना, stdin और pseudo TTY। +आप उपयोग करने के लिए **इमेज** को कॉन्फ़िगर कर सकते हैं, अंदर चलाने के लिए **कमांड** सेट कर सकते हैं, **आर्गुमेंट्स**, एक **वॉल्यूम** माउंट कर सकते हैं, और **env वेरिएबल्स** (संवेदनशील जानकारी?) सेट कर सकते हैं और इस कंटेनर के लिए कई विकल्प कॉन्फ़िगर कर सकते हैं जैसे **privileged** के रूप में निष्पादित करना, stdin और pseudo TTY। ### Service Account -डिफ़ॉल्ट रूप से, **Compute Engine डिफ़ॉल्ट सेवा खाता** का उपयोग किया जाएगा। इस SA का ईमेल इस प्रकार है: `-compute@developer.gserviceaccount.com`\ +डिफ़ॉल्ट रूप से, **कंप्यूट इंजन डिफ़ॉल्ट सेवा खाता** का उपयोग किया जाएगा। इस SA का ईमेल इस प्रकार है: `-compute@developer.gserviceaccount.com`\ इस सेवा खाते के पास **पूरे प्रोजेक्ट पर संपादक की भूमिका (उच्च विशेषाधिकार)** है। और **डिफ़ॉल्ट एक्सेस स्कोप** निम्नलिखित हैं: @@ -40,7 +40,7 @@ Confidential VM चलाने के लिए इसे **बदलने** - [https://www.googleapis.com/auth/service.management.readonly](https://www.googleapis.com/auth/service.management.readonly) - [https://www.googleapis.com/auth/trace.append](https://www.googleapis.com/auth/trace.append) -हालांकि, इसे **एक क्लिक से `cloud-platform` प्रदान करना** या **कस्टम** निर्दिष्ट करना संभव है। +हालांकि, इसे **एक क्लिक से `cloud-platform` प्रदान करना** या **कस्टम स्कोप** निर्दिष्ट करना संभव है।
@@ -76,7 +76,7 @@ VM तक पहुंच सक्षम करने का सामान् आप **स्वचालन** (AWS में userdata) को परिभाषित कर सकते हैं जो **शेल कमांड** हैं जो हर बार मशीन चालू होने या पुनरारंभ होने पर निष्पादित होंगे। -यह भी संभव है कि आप **अतिरिक्त मेटाडेटा कुंजी-मूल्य मान** जोड़ें जो मेटाडेटा एंडपॉइंट से सुलभ होंगे। यह जानकारी आमतौर पर पर्यावरण चर और स्टार्टअप/शटडाउन स्क्रिप्ट के लिए उपयोग की जाती है। इसे **`describe` विधि** का उपयोग करके प्राप्त किया जा सकता है जो एन्यूमरेशन अनुभाग में एक कमांड से है, लेकिन इसे इंस्टेंस के अंदर मेटाडेटा एंडपॉइंट तक पहुंचकर भी पुनः प्राप्त किया जा सकता है। +आप अतिरिक्त मेटाडेटा कुंजी-मूल्य जोड़ने के लिए भी सक्षम हैं जो मेटाडेटा एंडपॉइंट से सुलभ होंगे। यह जानकारी आमतौर पर पर्यावरण चर और स्टार्टअप/शटडाउन स्क्रिप्ट के लिए उपयोग की जाती है। इसे **enumeration section** में एक कमांड से **`describe` method** का उपयोग करके प्राप्त किया जा सकता है, लेकिन इसे इंस्टेंस के अंदर मेटाडेटा एंडपॉइंट तक पहुंचकर भी पुनः प्राप्त किया जा सकता है। ```bash # view project metadata curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \ @@ -86,7 +86,7 @@ curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?rec curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \ -H "Metadata-Flavor: Google" ``` -इसके अलावा, **संलग्न सेवा खाते के लिए प्रमाणीकरण टोकन** और **इंस्टेंस, नेटवर्क और प्रोजेक्ट के बारे में सामान्य जानकारी** भी **मेटाडेटा एंडपॉइंट** से उपलब्ध होगी। अधिक जानकारी के लिए देखें: +इसके अलावा, **संलग्न सेवा खाते के लिए प्रमाणीकरण टोकन** और **संस्थान, नेटवर्क और परियोजना के बारे में सामान्य जानकारी** भी **मेटाडेटा एंडपॉइंट** से उपलब्ध होगी। अधिक जानकारी के लिए देखें: {{#ref}} https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html#gcp