Translated ['src/pentesting-cloud/aws-security/aws-services/aws-organiza

2026-01-13 05:16:32 -08:00 · 2025-02-17 12:02:19 +00:00
parent 8eeb9a9415
commit fa19168b43
16 changed files with 411 additions and 317 deletions
--- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md
+++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-queue-post-exploitation.md
@@ -20,7 +20,7 @@ az storage message peek --queue-name <queue_name> --account-name <storage_accoun

 ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`

-Mit dieser Berechtigung kann ein Angreifer Nachrichten aus einer Azure Storage Queue abrufen und verarbeiten. Das bedeutet, dass sie den Nachrichteninhalt lesen und als verarbeitet markieren können, wodurch er effektiv vor legitimen Systemen verborgen wird. Dies könnte dazu führen, dass sensible Daten offengelegt werden, Störungen in der Handhabung von Nachrichten auftreten oder sogar wichtige Arbeitsabläufe gestoppt werden, indem Nachrichten für die vorgesehenen Benutzer unzugänglich gemacht werden.
+Mit dieser Berechtigung kann ein Angreifer Nachrichten aus einer Azure Storage Queue abrufen und verarbeiten. Das bedeutet, dass sie den Nachrichteninhalt lesen und als verarbeitet markieren können, wodurch er effektiv vor legitimen Systemen verborgen wird. Dies könnte dazu führen, dass sensible Daten offengelegt werden, Störungen in der Nachrichtenverarbeitung auftreten oder sogar wichtige Arbeitsabläufe gestoppt werden, indem Nachrichten für die vorgesehenen Benutzer unzugänglich gemacht werden.
 ```bash
 az storage message get --queue-name <queue_name> --account-name <storage_account>
 ```
@@ -32,7 +32,7 @@ az storage message put --queue-name <queue-name> --content "Injected malicious m
 ```
 ### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`

-Diese Berechtigung ermöglicht es einem Angreifer, neue Nachrichten hinzuzufügen oder vorhandene in einer Azure Storage Queue zu aktualisieren. Dadurch könnten sie schädliche Inhalte einfügen oder vorhandene Nachrichten ändern, was möglicherweise Anwendungen irreführen oder unerwünschte Verhaltensweisen in Systemen verursachen könnte, die auf die Queue angewiesen sind.
+Diese Berechtigung ermöglicht es einem Angreifer, neue Nachrichten hinzuzufügen oder vorhandene in einer Azure Storage Queue zu aktualisieren. Durch die Nutzung dieser Berechtigung könnten sie schädliche Inhalte einfügen oder bestehende Nachrichten ändern, was möglicherweise Anwendungen irreführen oder unerwünschte Verhaltensweisen in Systemen verursachen könnte, die auf die Queue angewiesen sind.
 ```bash
 az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

@@ -68,8 +68,8 @@ az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-
 ```
 ## Referenzen

- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
+- [https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues](https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues)
+- [https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api](https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api)
+- [https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes](https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes)

 {{#include ../../../banners/hacktricks-training.md}}
--- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md
+++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-servicebus-post-exploitation.md
@@ -34,16 +34,9 @@ Ein Angreifer mit dieser Berechtigung kann ein Azure Service Bus-Abonnement lös
 ```bash
 az servicebus topic subscription delete --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --topic-name <TopicName> --name <SubscriptionName>
 ```
-### Aktionen: `Microsoft.ServiceBus/namespaces/write` & `Microsoft.ServiceBus/namespaces/read`
-
-Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Azure Service Bus-Namensräumen kann dies ausnutzen, um den Betrieb zu stören, unbefugte Ressourcen bereitzustellen oder sensible Daten offenzulegen. Sie können kritische Konfigurationen ändern, wie z.B. den öffentlichen Netzwerkzugang zu aktivieren, die Verschlüsselungseinstellungen herabzusetzen oder SKUs zu ändern, um die Leistung zu verschlechtern oder die Kosten zu erhöhen. Darüber hinaus könnten sie die lokale Authentifizierung deaktivieren, Replikationsstandorte manipulieren oder TLS-Versionen anpassen, um die Sicherheitskontrollen zu schwächen, was eine signifikante Risiko der Fehlkonfiguration von Namensräumen nach der Ausnutzung darstellt.
-```bash
-az servicebus namespace create --resource-group <ResourceGroupName> --name <NamespaceName> --location <Location>
-az servicebus namespace update --resource-group <ResourceGroupName> --name <NamespaceName> --tags <Key=Value>
-```
 ### Aktionen: `Microsoft.ServiceBus/namespaces/queues/write` (`Microsoft.ServiceBus/namespaces/queues/read`)

-Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Azure Service Bus-Warteschlangen (um die Warteschlange zu ändern, benötigen Sie auch die Aktion: `Microsoft.ServiceBus/namespaces/queues/read`) kann dies ausnutzen, um Daten abzufangen, Arbeitsabläufe zu stören oder unbefugten Zugriff zu ermöglichen. Sie können kritische Konfigurationen ändern, wie das Weiterleiten von Nachrichten an bösartige Endpunkte, das Anpassen der Nachrichten-TTL, um Daten unangemessen zu behalten oder zu löschen, oder das Aktivieren von Dead-Lettering, um die Fehlerbehandlung zu stören. Darüber hinaus könnten sie Warteschlangen Größen, Sperrdauern oder Status manipulieren, um die Funktionalität des Dienstes zu stören oder der Erkennung zu entkommen, was dies zu einem erheblichen Risiko nach der Ausnutzung macht.
+Ein Angreifer mit Berechtigungen zum Erstellen oder Ändern von Azure Service Bus-Warteschlangen (um die Warteschlange zu ändern, benötigen Sie auch die Aktion: `Microsoft.ServiceBus/namespaces/queues/read`) kann dies ausnutzen, um Daten abzufangen, Arbeitsabläufe zu stören oder unbefugten Zugriff zu ermöglichen. Sie können kritische Konfigurationen ändern, wie das Weiterleiten von Nachrichten an bösartige Endpunkte, das Anpassen der Nachrichten-TTL, um Daten unangemessen zu behalten oder zu löschen, oder das Aktivieren von Dead-Lettering, um die Fehlerbehandlung zu stören. Darüber hinaus könnten sie Warteschlangengrößen, Sperrdauern oder Status manipulieren, um die Funktionalität des Dienstes zu stören oder der Erkennung zu entkommen, was dies zu einem erheblichen Risiko nach der Ausnutzung macht.
 ```bash
 az servicebus queue create --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
 az servicebus queue update --resource-group <ResourceGroupName> --namespace-name <NamespaceName> --name <QueueName>
@@ -72,12 +65,12 @@ Schau dir das hier an:

 ## Referenzen

- https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
- https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
- https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
- https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless
- https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus
- https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest
- https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest
+- [https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues](https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues)
+- [https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api](https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api)
+- [https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes](https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes)
+- [https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless](https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-python-how-to-use-topics-subscriptions?tabs=passwordless)
+- [https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus](https://learn.microsoft.com/en-us/azure/role-based-access-control/permissions/integration#microsoftservicebus)
+- [https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest](https://learn.microsoft.com/en-us/cli/azure/servicebus/namespace?view=azure-cli-latest)
+- [https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest](https://learn.microsoft.com/en-us/cli/azure/servicebus/queue?view=azure-cli-latest)

 {{#include ../../../banners/hacktricks-training.md}}
--- a/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md
+++ b/src/pentesting-cloud/azure-security/az-post-exploitation/az-sql-post-exploitation.md
@@ -19,6 +19,16 @@ az sql db create --resource-group <resource-group> --server <server-name> --name

 # Update Database
 az sql db update --resource-group <resource-group> --server <server-name> --name <database-name> --max-size <max-size-in-bytes>
+```
+Mit diesen Berechtigungen (`Microsoft.Sql/servers/read` && `Microsoft.Sql/servers/databases/write`) können Sie eine gelöschte Datenbank wiederherstellen:
+```bash
+az sql db restore \
+--dest-name <new_database_name> \
+--name <original_database_name> \
+--resource-group <resource_group> \
+--server <server_name> \
+--deleted-time "<deleted_time_ISO_format>"
+
 ```
 ### `Microsoft.Sql/servers/elasticPools/write` && `Microsoft.Sql/servers/elasticPools/read`

@@ -87,4 +97,41 @@ az sql db import --admin-user <admin-user> \
 --storage-key <storage-account-key> \
 --storage-uri `https://<storage-account-name>.blob.core.windows.net/bacpac-container/MyDatabase.bacpac`
 ```
+### `Microsoft.Sql/servers/connectionPolicies/write` && `Microsoft.Sql/servers/connectionPolicies/read`
+
+Mit diesen Berechtigungen kann ein Benutzer die Verbindungsrichtlinien eines Azure SQL-Servers ändern und abrufen. Diese Berechtigungen ermöglichen es jemandem, zu ändern, wie Clients mit dem Server verbinden – zwischen Methoden wie Redirect oder Proxy zu wählen – was ausgenutzt werden könnte, um die Sicherheit zu schwächen, den Datenverkehr umzuleiten oder sensible Daten abzufangen, wenn sie falsch konfiguriert sind.
+```bash
+az sql server conn-policy update \
+--resource-group <resource_group> \
+--server <server_name> \
+--connection-policy <policy>
+```
+### `Microsoft.Sql/servers/keys/write` && `Microsoft.Sql/servers/keys/read`
+
+Mit diesen Berechtigungen kann ein Benutzer Verschlüsselungsschlüssel, die mit einem Azure SQL Server verbunden sind, aktualisieren und abrufen. Diese Schlüssel werden häufig verwendet, um sensible Daten durch Verschlüsselung zu sichern, sodass deren Manipulation die Datensicherheit gefährden könnte, indem unbefugte Entschlüsselung oder Änderungen der Schlüsselrotation ermöglicht werden.
+```bash
+az sql server key create \
+--resource-group MyResourceGroup \
+--server MyServer \
+--kid "https://mykeyvault.vault.azure.net/keys/mykey/1234567890abcdef
+```
+### `Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action`, `Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read`, `Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read`
+
+Diese Berechtigung ermöglicht das Deaktivieren von Ledger Digest für eine Azure SQL-Datenbank, wodurch das regelmäßige Hochladen von kryptografischen Digest-Datensätzen in den Azure Blob Storage gestoppt wird, das die Integrität der Daten überprüft.
+```bash
+az sql db ledger-digest-uploads disable \
+--name ledgerDB \
+--resource-group myResourceGroup \
+--server my-sql-server
+```
+### `Microsoft.Sql/servers/databases/transparentDataEncryption/write`, `Microsoft.Sql/locations/transparentDataEncryptionAzureAsyncOperation/read`, `Microsoft.Sql/servers/databases/transparentDataEncryption/read`
+
+Diese Berechtigung ermöglicht einem autorisierten Benutzer oder Angreifer, die Einstellungen zur Transparent Data Encryption (TDE) in einer Azure SQL-Datenbank zu aktivieren, zu deaktivieren oder zu ändern, was die Datensicherheit durch die Änderung der Verschlüsselungskonfigurationen potenziell beeinträchtigen kann.
+```bash
+az sql db tde set \
+--database <database-name> \
+--resource-group <resource-group-name> \
+--server <server-name> \
+--status <Enabled|Disabled>
+```
 {{#include ../../../banners/hacktricks-training.md}}