Az - Grupy zarządzania, subskrypcje i grupy zasobów

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Power Apps

Power Apps mogą łączyć się z lokalnymi serwerami SQL, a nawet jeśli początkowo jest to nieoczekiwane, istnieje sposób, aby ta koncepcja wykonywała dowolne zapytania SQL, które mogą pozwolić atakującym na kompromitację lokalnych serwerów SQL.

To jest podsumowanie z posta https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers, gdzie można znaleźć szczegółowe wyjaśnienie, jak nadużywać Power Apps, aby kompromitować lokalne serwery SQL:

• Użytkownik tworzy aplikację, która używa lokalnego połączenia SQL i dzieli się nią z wszystkimi, czy to celowo, czy nieumyślnie.
• Atakujący tworzy nowy przepływ i dodaje akcję „Transformuj dane za pomocą Power Query” używając istniejącego połączenia SQL.
• Jeśli połączony użytkownik jest administratorem SQL lub ma uprawnienia do impersonacji, lub istnieją jakiekolwiek uprzywilejowane linki SQL lub jawne poświadczenia w bazach danych, lub uzyskałeś inne uprzywilejowane jawne poświadczenia, możesz teraz przejść do lokalnego serwera SQL.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.