hacktricks-cloud/src/pentesting-cloud/azure-security/az-services/az-misc.md

Az - प्रबंधन समूह, सदस्यताएँ और संसाधन समूह

{{#include ../../../banners/hacktricks-training.md}}

पावर ऐप्स

पावर ऐप्स ऑन-प्रिमाइसेस SQL सर्वरों से कनेक्ट कर सकते हैं, और भले ही यह प्रारंभ में अप्रत्याशित हो, इस कनेक्शन को ऐसे तरीके से निष्पादित किया जा सकता है जो हमलावरों को ऑन-प्रिम SQL सर्वरों से समझौता करने की अनुमति दे सकता है।

यह उस पोस्ट का संक्षेप है https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers जहाँ आप जान सकते हैं कि पावर ऐप्स का दुरुपयोग करके ऑन-प्रिम SQL सर्वरों से समझौता कैसे किया जा सकता है:

• एक उपयोगकर्ता एक एप्लिकेशन बनाता है जो एक ऑन-प्रिम SQL कनेक्शन का उपयोग करता है और इसे सभी के साथ साझा करता है, चाहे जानबूझकर या अनजाने में।
• एक हमलावर एक नया फ्लो बनाता है और मौजूदा SQL कनेक्शन का उपयोग करके “पावर क्वेरी के साथ डेटा को परिवर्तित करें” क्रिया जोड़ता है।
• यदि कनेक्टेड उपयोगकर्ता एक SQL प्रशासक है या उसके पास अनुकरण विशेषाधिकार हैं, या डेटाबेस में कोई विशेषाधिकार प्राप्त SQL लिंक या स्पष्ट पाठ क्रेडेंशियल हैं, या आपने अन्य विशेषाधिकार प्राप्त स्पष्ट पाठ क्रेडेंशियल प्राप्त किए हैं, तो आप अब एक ऑन-प्रिमाइसेस SQL सर्वर पर पिवट कर सकते हैं।

{{#include ../../../banners/hacktricks-training.md}}