Az - Management Groups, Subscriptions & Resource Groups

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Power Apps

Οι Power Apps μπορούν να συνδεθούν σε τοπικούς SQL servers, και ακόμη και αν αρχικά δεν το περιμένατε, υπάρχει τρόπος να εκτελούν αυθαίρετα SQL queries που θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να παραβιάσουν τους τοπικούς SQL servers.

Αυτό είναι το recap από την ανάρτηση https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers όπου μπορείτε να βρείτε μια λεπτομερή εξήγηση για το πώς να εκμεταλλευτείτε τις Power Apps για να παραβιάσετε τους τοπικούς SQL servers:

  • Ένας χρήστης δημιουργεί μια εφαρμογή που χρησιμοποιεί μια τοπική SQL σύνδεση και την μοιράζεται με όλους, είτε σκόπιμα είτε ακούσια.
  • Ένας επιτιθέμενος δημιουργεί μια νέα ροή και προσθέτει μια ενέργεια “Transform data with Power Query” χρησιμοποιώντας την υπάρχουσα SQL σύνδεση.
  • Εάν ο συνδεδεμένος χρήστης είναι SQL admin ή έχει δικαιώματα εκπροσώπησης, ή υπάρχουν οποιοιδήποτε προνομιούχοι SQL σύνδεσμοι ή κωδικοί πρόσβασης σε καθαρό κείμενο σε βάσεις δεδομένων, ή έχετε αποκτήσει άλλους προνομιούχους κωδικούς πρόσβασης σε καθαρό κείμενο, μπορείτε τώρα να μεταβείτε σε έναν τοπικό SQL server.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks