Az - Service Bus Enum

Reading time: 8 minutes

Service Bus

Azure Service Bus - це хмарна служба обміну повідомленнями, призначена для забезпечення надійної комунікації між різними частинами програми або окремими програмами. Вона діє як безпечний посередник, забезпечуючи безпечну доставку повідомлень, навіть якщо відправник і отримувач не працюють одночасно. Відокремлюючи системи, вона дозволяє програмам працювати незалежно, при цьому обмінюючись даними або інструкціями. Це особливо корисно для сценаріїв, які вимагають балансування навантаження між кількома працівниками, надійної доставки повідомлень або складної координації, такої як обробка завдань у порядку або безпечне управління доступом.

Key Concepts

1. Namespaces: Простір імен у системах обміну повідомленнями - це логічний контейнер, який організовує та керує компонентами обміну повідомленнями, чергами та темами. Він забезпечує ізольоване середовище, де програми можуть надсилати, отримувати та обробляти повідомлення. Черги та теми ділять одну й ту ж інфраструктуру та конфігурацію в просторі імен Service Bus, але працюють незалежно, не взаємодіючи одна з одною.
2. Queues: її мета - зберігати повідомлення, поки отримувач не буде готовий.

• Повідомлення упорядковані, мають часові мітки та надійно зберігаються.
• Доставляються в режимі витягування (за запитом) одному споживачу.
• Може бути налаштована так, що коли повідомлення ділиться, воно автоматично видаляється або в режимі "Peek lock", де споживач повинен підтвердити, що його можна видалити. Якщо ні, повідомлення повернеться до черги.
• Підтримує точкову комунікацію.

3. Topics: Публікація-підписка для трансляції.

• Кілька незалежних підписок отримують копії повідомлень.
• Кожна підписка - це як черга всередині теми.
• Підписки можуть мати правила/фільтри для контролю доставки або додавання метаданих.

Точка доступу/рядок підключення служби обміну повідомленнями:

https://<namespace>.servicebus.windows.net:443/

Розширені функції

Деякі розширені функції:

• Message Sessions: Забезпечує обробку FIFO та підтримує шаблони запит-відповідь.
• Auto-Forwarding: Переносить повідомлення між чергами або темами в одному просторі імен.
• Dead-Lettering: Захоплює недоставлені повідомлення для перегляду.
• Scheduled Delivery: Затримує обробку повідомлень для майбутніх завдань.
• Message Deferral: Відкладає отримання повідомлень до готовності.
• Transactions: Групує операції в атомарне виконання.
• Filters & Actions: Застосовує правила для фільтрації або анотації повідомлень.
• Auto-Delete on Idle: Видаляє черги після бездіяльності (мін: 5 хвилин).
• Duplicate Detection: Видаляє дублікати повідомлень під час повторних відправок.
• Batch Deletion: Масове видалення прострочених або непотрібних повідомлень.

Локальна аутентифікація

Параметр --disable-local-auth з az cli використовується для контролю того, чи локальна аутентифікація (дозволяючи використання ключів Shared Access Signature (SAS)) увімкнена для вашого простору імен Service Bus.

• Коли disable встановлено на true: Локальна аутентифікація за допомогою ключів SAS вимкнена, а аутентифікація Entra ID дозволена.
• Коли disable встановлено на false (за замовчуванням): Доступні як локальна аутентифікація SAS, так і аутентифікація Entra ID, і ви можете використовувати рядки підключення з ключами SAS для доступу до ресурсів Service Bus.

Правила авторизації / Політика SAS

Політики SAS визначають дозволи доступу для сутностей Azure Service Bus, простору імен (найважливіше), черг і тем. Кожна політика має такі компоненти:

• Permissions: Прапорці для вказівки рівнів доступу:
• Manage: Надає повний контроль над сутністю, включаючи управління конфігурацією та дозволами.
• Send: Дозволяє надсилати повідомлення до сутності.
• Listen: Дозволяє отримувати повідомлення з сутності.
• Primary and Secondary Keys: Це криптографічні ключі, які використовуються для генерації безпечних токенів для аутентифікації доступу.
• Primary and Secondary Connection Strings: Попередньо налаштовані рядки підключення, які включають кінцеву точку та ключ для зручного використання в додатках.
• SAS Policy ARM ID: Шлях Azure Resource Manager (ARM) до політики для програмної ідентифікації.

Важливо зазначити, що простір імен має єдину політику SAS, яка впливає на кожну сутність у ньому, тоді як черги та теми можуть мати свої власні індивідуальні політики SAS для більш детального контролю.

Перерахування

# Namespace Enumeration
az servicebus namespace list
az servicebus namespace network-rule-set list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace show --resource-group <MyResourceGroup> --name <MyNamespace>
az servicebus namespace network-rule-set show --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace private-endpoint-connection list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus namespace exists --name ProposedNamespace

# Authorization Rule Enumeration
az servicebus namespace authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus queue authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --queue-name <MyQueue>
az servicebus topic authorization-rule list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic>
az servicebus namespace authorization-rule keys list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyAuthRule>

# Get keys
az servicebus namespace authorization-rule keys list --resource-group <res-group> --namespace-name <namespace-name> [--authorization-rule-name RootManageSharedAccessKey]
az servicebus topic authorization-rule keys list --resource-group <res-group> --namespace-name <namespace-name> --topic-name <topic-name> --name <auth-rule-name>
az servicebus queue authorization-rule keys list --resource-group <res-group> --namespace-name <namespace-name> --queue-name <topic-name> --name <auth-rule-name>

# Queue Enumeration
az servicebus queue list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus queue show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyQueue>

# Topic Enumeration
az servicebus topic list --resource-group <MyResourceGroup> --namespace-name <MyNamespace>
az servicebus topic show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --name <MyTopic>

# Susbscription Enumeration
az servicebus topic subscription list --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic>
az servicebus topic subscription show --resource-group <MyResourceGroup> --namespace-name <MyNamespace> --topic-name <MyTopic> --name <MySubscription>

Get-Command -Module Az.ServiceBus

# Retrieves details of a Service Bus namespace, including V2-specific features like additional metrics or configurations.
Get-AzServiceBusNamespaceV2 -ResourceGroupName <ResourceGroupName> -Name <NamespaceName>

# Retrieves the authorization rules for a Service Bus namespace, queue, or topic.
Get-AzServiceBusAuthorizationRule -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves the Geo-Disaster Recovery configuration for a Service Bus namespace, if it is enabled.
Get-AzServiceBusGeoDRConfiguration -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves the shared access keys for a specified authorization rule in a Service Bus namespace.
Get-AzServiceBusKey -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName> -Name <RuleName>

# Retrieves the migration state and details for a Service Bus namespace, if a migration is in progress.
Get-AzServiceBusMigration -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves properties and details about a Service Bus namespace.
Get-AzServiceBusNamespace -ResourceGroupName <ResourceGroupName> -Name <NamespaceName>

# Retrieves the network rule set for a Service Bus namespace, such as IP restrictions or virtual network access rules.
Get-AzServiceBusNetworkRuleSet -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves private endpoint connections for a Service Bus namespace.
Get-AzServiceBusPrivateEndpointConnection -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves private link resources associated with a Service Bus namespace.
Get-AzServiceBusPrivateLink -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

# Retrieves details of a specified queue in a Service Bus namespace.
Get-AzServiceBusQueue -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName> -Name <QueueName>

# Retrieves rules (filters and actions) for a subscription under a Service Bus topic.
Get-AzServiceBusRule -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName> -TopicName <TopicName> -SubscriptionName <SubscriptionName>

# Retrieves details of subscriptions for a specified Service Bus topic.
Get-AzServiceBusSubscription -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName> -TopicName <TopicName>

# Retrieves details of a specified topic in a Service Bus namespace.
Get-AzServiceBusTopic -ResourceGroupName <ResourceGroupName> -NamespaceName <NamespaceName>

Підвищення Привілеїв

Az - Service Bus Privesc

Після Експлуатації

Az - Service Bus Post Exploitation

Посилання

• https://learn.microsoft.com/en-us/powershell/module/az.servicebus/?view=azps-13.0.0
• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-messaging-overview
• https://learn.microsoft.com/en-us/azure/service-bus-messaging/service-bus-quickstart-cli