Az - Groupes de gestion, Abonnements & Groupes de ressources

Reading time: 2 minutes

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Power Apps

Power Apps peut se connecter à des serveurs SQL sur site, et même si cela semble initialement inattendu, il existe un moyen de faire en sorte que cette connexion exécute des requêtes SQL arbitraires qui pourraient permettre aux attaquants de compromettre des serveurs SQL sur site.

Voici le récapitulatif du post https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers où vous pouvez trouver une explication détaillée sur la façon d'abuser de Power Apps pour compromettre des serveurs SQL sur site :

  • Un utilisateur crée une application qui utilise une connexion SQL sur site et la partage avec tout le monde, soit intentionnellement, soit par inadvertance.
  • Un attaquant crée un nouveau flux et ajoute une action “Transformer les données avec Power Query” en utilisant la connexion SQL existante.
  • Si l'utilisateur connecté est un administrateur SQL ou a des privilèges d'usurpation, ou s'il existe des liens SQL privilégiés ou des identifiants en clair dans les bases de données, ou si vous avez obtenu d'autres identifiants privilégiés en clair, vous pouvez maintenant pivoter vers un serveur SQL sur site.

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks