Az - Dosya Paylaşımı Sonrası İstismar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Dosya Paylaşımı Sonrası İstismar

Dosya paylaşımları hakkında daha fazla bilgi için kontrol edin:

Az - File Shares

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read

Bu izne sahip bir yetkili, bir dosya paylaşımındaki dosyaları listeleyebilir ve hassas bilgileri içerebilecek dosyaları indirebilir.

# List files inside an azure file share
az storage file list \
--account-name <name> \
--share-name <share-name> \
--auth-mode login --enable-file-backup-request-intent

# Download an specific file
az storage file download \
--account-name <name> \
--share-name <share-name> \
--path <filename-to-download> \
--dest /path/to/down \
--auth-mode login --enable-file-backup-request-intent

Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write, Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Bu izne sahip bir kullanıcı, dosya paylaşımlarında dosyaları yazma ve üzerine yazma yeteneğine sahip olacak, bu da ona bazı zararlar verme veya hatta ayrıcalıkları artırma imkanı tanıyabilir (örneğin, bir dosya paylaşımında saklanan bazı kodları üzerine yazmak):

az storage blob upload \
--account-name <acc-name> \
--container-name <container-name> \
--file /tmp/up.txt --auth-mode login --overwrite

*/delete

Bu, paylaşılan dosya sistemindeki dosyaları silmeye izin verebilir, bu da bazı hizmetlerin kesilmesine veya müşterinin değerli bilgileri kaybetmesine neden olabilir.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.