Az - प्रबंधन समूह, सदस्यताएँ और संसाधन समूह

Reading time: 3 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

पावर ऐप्स

पावर ऐप्स ऑन-प्रिमाइसेस SQL सर्वरों से कनेक्ट कर सकते हैं, और भले ही यह प्रारंभ में अप्रत्याशित हो, इस कनेक्शन को ऐसे तरीके से निष्पादित किया जा सकता है जो हमलावरों को ऑन-प्रिम SQL सर्वरों से समझौता करने की अनुमति दे सकता है।

यह उस पोस्ट का संक्षेप है https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers जहाँ आप जान सकते हैं कि पावर ऐप्स का दुरुपयोग करके ऑन-प्रिम SQL सर्वरों से समझौता कैसे किया जा सकता है:

  • एक उपयोगकर्ता एक एप्लिकेशन बनाता है जो एक ऑन-प्रिम SQL कनेक्शन का उपयोग करता है और इसे सभी के साथ साझा करता है, चाहे जानबूझकर या अनजाने में।
  • एक हमलावर एक नया फ्लो बनाता है और मौजूदा SQL कनेक्शन का उपयोग करके “पावर क्वेरी के साथ डेटा को परिवर्तित करें” क्रिया जोड़ता है
  • यदि कनेक्टेड उपयोगकर्ता एक SQL प्रशासक है या उसके पास अनुकरण विशेषाधिकार हैं, या डेटाबेस में कोई विशेषाधिकार प्राप्त SQL लिंक या स्पष्ट पाठ क्रेडेंशियल हैं, या आपने अन्य विशेषाधिकार प्राप्त स्पष्ट पाठ क्रेडेंशियल प्राप्त किए हैं, तो आप अब एक ऑन-प्रिमाइसेस SQL सर्वर पर पिवट कर सकते हैं।

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें