Az - Gruppi di gestione, Sottoscrizioni e Gruppi di risorse

Reading time: 2 minutes

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Power Apps

Power Apps può connettersi a server SQL on-premises e, anche se inizialmente inaspettato, c'è un modo per far sì che questa connessione esegua query SQL arbitrarie che potrebbero consentire agli attaccanti di compromettere i server SQL on-prem.

Questo è il riassunto del post https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers dove puoi trovare una spiegazione dettagliata su come abusare di Power Apps per compromettere i server SQL on-prem:

  • Un utente crea un'applicazione che utilizza una connessione SQL on-prem e la condivide con tutti, sia intenzionalmente che involontariamente.
  • Un attaccante crea un nuovo flusso e aggiunge un'azione “Trasforma dati con Power Query” utilizzando la connessione SQL esistente.
  • Se l'utente connesso è un amministratore SQL o ha privilegi di impersonificazione, o ci sono collegamenti SQL privilegiati o credenziali in chiaro nei database, o hai ottenuto altre credenziali privilegiate in chiaro, ora puoi pivotare su un server SQL on-prem.

tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks