hacktricks-cloud/src/pentesting-cloud/azure-security/az-persistence/az-storage-persistence.md

Az - Storage Persistence

{{#include ../../../banners/hacktricks-training.md}}

ストレージの権限昇格

ストレージに関する詳細情報は以下を参照してください:

{{#ref}} ../az-services/az-storage.md {{#endref}}

一般的なトリック

• アクセスキーを保持する
• SASを生成する
• ユーザー委任は最大7日間

Microsoft.Storage/storageAccounts/blobServices/containers/update && Microsoft.Storage/storageAccounts/blobServices/deletePolicy/write

これらの権限は、削除されたコンテナの保持機能のために、コンテナの削除保持期間を有効にしたり構成したりするために、ユーザーがblobサービスのプロパティを変更することを許可します。これらの権限は、攻撃者が削除されたコンテナを回復または操作するための機会を提供するために、永続性を維持するために使用される可能性があり、機密情報にアクセスすることができます。

az storage account blob-service-properties update \
--account-name <STORAGE_ACCOUNT_NAME> \
--enable-container-delete-retention true \
--container-delete-retention-days 100

Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action

これらの権限は、攻撃者が保持ポリシーを変更したり、削除されたデータを復元したり、機密情報にアクセスしたりすることにつながる可能性があります。

az storage blob service-properties delete-policy update \
--account-name <STORAGE_ACCOUNT_NAME> \
--enable true \
--days-retained 100

{{#include ../../../banners/hacktricks-training.md}}