# Az - Queue Storage Post Exploitation

{{#include ../../../banners/hacktricks-training.md}}

## Queue

Para más información, consulta:

{{#ref}}
../az-services/az-queue-enum.md
{{#endref}}

### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`

Un atacante con este permiso puede ver mensajes de una Azure Storage Queue. Esto permite al atacante ver el contenido de los mensajes sin marcarlos como procesados o alterar su estado. Esto podría llevar a un acceso no autorizado a información sensible, permitiendo la exfiltración de datos o la recopilación de inteligencia para ataques posteriores.
```bash
az storage message peek --queue-name <queue_name> --account-name <storage_account>
```
**Impacto Potencial**: Acceso no autorizado a la cola, exposición de mensajes o manipulación de la cola por usuarios o servicios no autorizados.

### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`

Con este permiso, un atacante puede recuperar y procesar mensajes de una Cola de Almacenamiento de Azure. Esto significa que pueden leer el contenido del mensaje y marcarlo como procesado, ocultándolo efectivamente de los sistemas legítimos. Esto podría llevar a la exposición de datos sensibles, interrupciones en la forma en que se manejan los mensajes, o incluso detener flujos de trabajo importantes al hacer que los mensajes no estén disponibles para sus usuarios previstos.
```bash
az storage message get --queue-name <queue_name> --account-name <storage_account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action`

Con este permiso, un atacante puede agregar nuevos mensajes a una Cola de Almacenamiento de Azure. Esto les permite inyectar datos maliciosos o no autorizados en la cola, lo que podría desencadenar acciones no intencionadas o interrumpir servicios posteriores que procesan los mensajes.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write`

Este permiso permite a un atacante agregar nuevos mensajes o actualizar los existentes en una Azure Storage Queue. Al usar esto, podrían insertar contenido dañino o alterar mensajes existentes, potencialmente engañando a las aplicaciones o causando comportamientos no deseados en los sistemas que dependen de la cola.
```bash
az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/delete`

Este permiso permite a un atacante eliminar colas dentro de la cuenta de almacenamiento. Al aprovechar esta capacidad, un atacante puede eliminar permanentemente colas y todos sus mensajes asociados, causando una interrupción significativa en los flujos de trabajo y resultando en una pérdida crítica de datos para las aplicaciones que dependen de las colas afectadas. Esta acción también puede ser utilizada para sabotear servicios al eliminar componentes esenciales del sistema.
```bash
az storage queue delete --name <queue-name> --account-name <storage-account>
```
### DataActions: `Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete`

Con este permiso, un atacante puede eliminar todos los mensajes de una Cola de Almacenamiento de Azure. Esta acción elimina todos los mensajes, interrumpiendo flujos de trabajo y causando pérdida de datos para los sistemas dependientes de la cola.
```bash
az storage message clear --queue-name <queue-name> --account-name <storage-account>
```
### Actions: `Microsoft.Storage/storageAccounts/queueServices/queues/write`

Este permiso permite a un atacante crear o modificar colas y sus propiedades dentro de la cuenta de almacenamiento. Se puede utilizar para crear colas no autorizadas, modificar metadatos o cambiar listas de control de acceso (ACLs) para otorgar o restringir acceso. Esta capacidad podría interrumpir flujos de trabajo, inyectar datos maliciosos, exfiltrar información sensible o manipular configuraciones de colas para habilitar ataques adicionales.
```bash
az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>
```
## Referencias

- [https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues](https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues)
- [https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api](https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api)
- [https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes](https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes)

{{#include ../../../banners/hacktricks-training.md}}