Az - ARM Templates / Deployments

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Basic Information

From the docs: Για να εφαρμόσετε infrastructure as code για τις λύσεις Azure σας, χρησιμοποιήστε τα πρότυπα Azure Resource Manager (ARM templates). Το πρότυπο είναι ένα αρχείο JavaScript Object Notation (JSON) που ορίζει την υποδομή και τη διαμόρφωση για το έργο σας. Το πρότυπο χρησιμοποιεί δηλωτική σύνταξη, η οποία σας επιτρέπει να δηλώσετε τι σκοπεύετε να αναπτύξετε χωρίς να χρειάζεται να γράψετε τη σειρά των εντολών προγραμματισμού για να το δημιουργήσετε. Στο πρότυπο, καθορίζετε τους πόρους που θα αναπτυχθούν και τις ιδιότητες για αυτούς τους πόρους.

History

Αν μπορείτε να έχετε πρόσβαση σε αυτό, μπορείτε να έχετε info about resources που δεν είναι παρόντα αλλά μπορεί να αναπτυχθούν στο μέλλον. Επιπλέον, αν μια parameter που περιέχει sensitive info έχει χαρακτηριστεί ως “Stringαντί για “SecureString”, θα είναι παρούσα σε clear-text.

Search Sensitive Info

Users with the permissions Microsoft.Resources/deployments/read and Microsoft.Resources/subscriptions/resourceGroups/read can read the deployment history.

Get-AzResourceGroup
Get-AzResourceGroupDeployment -ResourceGroupName <name>

# Export
Save-AzResourceGroupDeploymentTemplate -ResourceGroupName <RESOURCE GROUP> -DeploymentName <DEPLOYMENT NAME>
cat <DEPLOYMENT NAME>.json # search for hardcoded password
cat <PATH TO .json FILE> | Select-String password

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks