Az - ARM Templates / Deployments

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Informations de base

Dans la documentation : Pour mettre en œuvre l’infrastructure en tant que code pour vos solutions Azure, utilisez les modèles Azure Resource Manager (modèles ARM). Le modèle est un fichier JavaScript Object Notation (JSON) qui définit l’infrastructure et la configuration de votre projet. Le modèle utilise une syntaxe déclarative, ce qui vous permet d’indiquer ce que vous souhaitez déployer sans avoir à écrire la séquence de commandes de programmation pour le créer. Dans le modèle, vous spécifiez les ressources à déployer et les propriétés de ces ressources.

Historique

Si vous pouvez y accéder, vous pouvez avoir des informations sur les ressources qui ne sont pas présentes mais qui pourraient être déployées à l’avenir. De plus, si un paramètre contenant des informations sensibles a été marqué comme “Stringau lieu deSecureString”, il sera présent en texte clair.

Recherche d’informations sensibles

Les utilisateurs ayant les autorisations Microsoft.Resources/deployments/read et Microsoft.Resources/subscriptions/resourceGroups/read peuvent lire l’historique des déploiements.

Get-AzResourceGroup
Get-AzResourceGroupDeployment -ResourceGroupName <name>

# Export
Save-AzResourceGroupDeploymentTemplate -ResourceGroupName <RESOURCE GROUP> -DeploymentName <DEPLOYMENT NAME>
cat <DEPLOYMENT NAME>.json # search for hardcoded password
cat <PATH TO .json FILE> | Select-String password

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks