Az - Grupos de Gestión, Suscripciones y Grupos de Recursos

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Power Apps

Power Apps puede conectarse a servidores SQL locales, y aunque inicialmente inesperado, hay una manera de hacer que esta conexión ejecute consultas SQL arbitrarias que podrían permitir a los atacantes comprometer servidores SQL locales.

Este es el resumen de la publicación https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers donde puedes encontrar una explicación detallada de cómo abusar de Power Apps para comprometer servidores SQL locales:

  • Un usuario crea una aplicación que utiliza una conexión SQL local y la comparte con todos, ya sea a propósito o inadvertidamente.
  • Un atacante crea un nuevo flujo y agrega una acción “Transformar datos con Power Query” utilizando la conexión SQL existente.
  • Si el usuario conectado es un administrador de SQL o tiene privilegios de suplantación, o hay enlaces SQL privilegiados o credenciales en texto claro en las bases de datos, o has obtenido otras credenciales privilegiadas en texto claro, ahora puedes pivotar a un servidor SQL local.

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks