Az - Storage Persistence

Reading time: 2 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Storage Privesc

Для отримання додаткової інформації про зберігання дивіться:

Az - Storage Accounts & Blobs

Загальні трюки

Зберігайте ключі доступу
Генеруйте SAS
Делеговані користувачі мають максимум 7 днів

Microsoft.Storage/storageAccounts/blobServices/containers/update && Microsoft.Storage/storageAccounts/blobServices/deletePolicy/write

Ці дозволи дозволяють користувачу змінювати властивості служби блобів для функції збереження видалення контейнера, яка дозволяє або налаштовує період збереження для видалених контейнерів. Ці дозволи можуть бути використані для підтримки постійності, щоб надати можливість зловмиснику відновити або маніпулювати видаленими контейнерами, які повинні були бути назавжди видалені, та отримувати доступ до чутливої інформації.

bash

az storage account blob-service-properties update \
--account-name <STORAGE_ACCOUNT_NAME> \
--enable-container-delete-retention true \
--container-delete-retention-days 100

Microsoft.Storage/storageAccounts/read && Microsoft.Storage/storageAccounts/listKeys/action

Ці дозволи можуть призвести до того, що зловмисник змінить політики зберігання, відновить видалені дані та отримає доступ до чутливої інформації.