Az - Queue Storage Privesc

Reading time: 5 minutes

Queue

अधिक जानकारी के लिए देखें:

Az - Queue Storage

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

इस अनुमति के साथ एक हमलावर Azure Storage Queue से संदेशों को देख सकता है। यह हमलावर को संदेशों की सामग्री को बिना उन्हें संसाधित किए या उनकी स्थिति को बदले देखने की अनुमति देता है। इससे संवेदनशील जानकारी तक अनधिकृत पहुंच हो सकती है, जिससे डेटा निकासी या आगे के हमलों के लिए खुफिया जानकारी इकट्ठा करने की अनुमति मिलती है।

az storage message peek --queue-name <queue_name> --account-name <storage_account>

संभावित प्रभाव: कतार तक अनधिकृत पहुंच, संदेशों का खुलासा, या अनधिकृत उपयोगकर्ताओं या सेवाओं द्वारा कतार में हेरफेर।

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

इस अनुमति के साथ, एक हमलावर Azure Storage Queue से संदेशों को पुनः प्राप्त और संसाधित कर सकता है। इसका मतलब है कि वे संदेश की सामग्री को पढ़ सकते हैं और इसे संसाधित के रूप में चिह्नित कर सकते हैं, प्रभावी रूप से इसे वैध प्रणालियों से छिपा सकते हैं। इससे संवेदनशील डेटा का खुलासा, संदेशों के प्रबंधन में व्यवधान, या यहां तक कि महत्वपूर्ण कार्यप्रवाहों को रोकने का कारण बन सकता है, जिससे संदेश उनके लक्षित उपयोगकर्ताओं के लिए अनुपलब्ध हो जाते हैं।

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

इस अनुमति के साथ, एक हमलावर Azure Storage Queue में नए संदेश जोड़ सकता है। इससे उन्हें कतार में दुर्भावनापूर्ण या अनधिकृत डेटा इंजेक्ट करने की अनुमति मिलती है, जो संभावित रूप से अनपेक्षित क्रियाओं को ट्रिगर कर सकता है या उन डाउनस्ट्रीम सेवाओं को बाधित कर सकता है जो संदेशों को प्रोसेस करती हैं।

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

यह अनुमति एक हमलावर को Azure Storage Queue में नए संदेश जोड़ने या मौजूदा संदेशों को अपडेट करने की अनुमति देती है। इसका उपयोग करके, वे हानिकारक सामग्री डाल सकते हैं या मौजूदा संदेशों को बदल सकते हैं, जिससे अनुप्रयोगों को भ्रामक जानकारी मिल सकती है या उन सिस्टम में अवांछित व्यवहार उत्पन्न हो सकता है जो कतार पर निर्भर करते हैं।

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Action: Microsoft.Storage/storageAccounts/queueServices/queues/write

यह अनुमति एक हमलावर को स्टोरेज खाते के भीतर कतारें और उनकी विशेषताओं को बनाने या संशोधित करने की अनुमति देती है। इसका उपयोग अनधिकृत कतारें बनाने, मेटाडेटा को संशोधित करने, या एक्सेस कंट्रोल सूचियों (ACLs) को बदलने के लिए किया जा सकता है ताकि पहुँच को प्रदान या प्रतिबंधित किया जा सके। यह क्षमता कार्यप्रवाहों को बाधित कर सकती है, दुर्भावनापूर्ण डेटा इंजेक्ट कर सकती है, संवेदनशील जानकारी को बाहर निकाल सकती है, या आगे के हमलों को सक्षम करने के लिए कतार सेटिंग्स में हेरफेर कर सकती है।

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

संदर्भ

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes