Az - Bestuursgroepe, Subskripsies & Hulpbronne Groepe

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Power Apps

Power Apps kan met plaaslike SQL-bedieners verbind, en selfs al is dit aanvanklik onverwags, is daar ’n manier om hierdie verbinding te laat uitvoer van arbitrêre SQL-navrae wat aanvallers in staat kan stel om plaaslike SQL-bedieners te kompromitteer.

Dit is die opsomming van die pos https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers waar jy ’n gedetailleerde verduideliking kan vind van hoe om Power Apps te misbruik om plaaslike SQL-bedieners te kompromitteer:

  • ’n Gebruiker skep ’n toepassing wat ’n plaaslike SQL-verbinding gebruik en dit met almal deel, hetsy op doel of per ongeluk.
  • ’n Aanvaller skep ’n nuwe vloei en voeg ’n “Transform data with Power Query” aksie by met die bestaande SQL-verbinding.
  • As die gekonnekteerde gebruiker ’n SQL-admin is of verteenwoordigingsregte het, of daar enige bevoorregte SQL-skakels of duidelike teks geloofsbriewe in databasisse is, of jy het ander bevoorregte duidelike teks geloofsbriewe verkry, kan jy nou na ’n plaaslike SQL-bediener pivot.

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks