Az - Групи управління, Підписки та Групи ресурсів

Reading time: 2 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Power Apps

Power Apps може підключатися до локальних SQL серверів, і навіть якщо це спочатку неочікувано, існує спосіб змусити це підключення виконувати довільні SQL запити, що може дозволити зловмисникам скомпрометувати локальні SQL сервери.

Це резюме з посту https://www.ibm.com/think/x-force/abusing-power-apps-compromise-on-prem-servers, де ви можете знайти детальне пояснення, як зловживати Power Apps для компрометації локальних SQL серверів:

Користувач створює додаток, який використовує локальне SQL підключення і ділиться ним з усіма, або навмисно, або ненавмисно.
Зловмисник створює новий потік і додає дію “Перетворити дані за допомогою Power Query” з використанням існуючого SQL підключення.
Якщо підключений користувач є SQL адміністратором або має привілеї на імперсонацію, або є будь-які привілейовані SQL посилання або відкриті облікові дані в базах даних, або ви отримали інші привілейовані відкриті облікові дані, ви тепер можете перейти до локального SQL сервера.

tip

Підтримка HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

HackTricks Cloud

Az - Групи управління, Підписки та Групи ресурсів

Power Apps