gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-services/az-misc.md'

Browse Source
This commit is contained in:
Translator
2025-05-20 15:18:27 +00:00
parent e2c428d175
commit f8adbabcbd
1 changed files with 15 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

15
src/pentesting-cloud/azure-security/az-services/az-misc.md Normal file
View File

@@ -0,0 +1,15 @@
# Az - Grupa za upravljanje, pretplate i grupe resursa
{{#include ../../../banners/hacktricks-training.md}}
## Power Apps
Power Apps može da se poveže sa lokalnim SQL serverima, i čak i ako je to u početku neočekivano, postoji način da se ova veza izvrši proizvoljne SQL upite koji bi mogli omogućiti napadačima da kompromituju lokalne SQL servere.
Ovo je rezime iz posta [https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers](https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers) gde možete pronaći detaljno objašnjenje kako zloupotrebiti Power Apps za kompromitovanje lokalnih SQL servera:
- Korisnik kreira aplikaciju koja koristi **lokalnu SQL vezu i deli je sa svima**, bilo namerno ili nenamerno.
- Napadač kreira novi tok i dodaje **akciju “Transformiši podatke pomoću Power Query” koristeći postojeću SQL vezu**.
- Ako je povezani korisnik SQL administrator ili ima privilegije impersonacije, ili postoje bilo koje privilegovane SQL veze ili lozinke u čistom tekstu u bazama podataka, ili ste dobili druge privilegovane lozinke u čistom tekstu, sada možete preći na lokalni SQL server.
{{#include ../../../banners/hacktricks-training.md}}