Chinese - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

Az - Logic Apps

Support HackTricks

基本信息

Azure Logic Apps 是微软 Azure 提供的一项基于云的服务,使开发人员能够创建和运行集成各种服务、数据源和应用程序的工作流。这些工作流旨在自动化业务流程、协调任务并在不同平台之间执行数据集成。

Logic Apps 提供了一个可视化设计器,可以使用广泛的预构建连接器创建工作流,这使得连接和与各种服务(如 Office 365、Dynamics CRM、Salesforce 等)进行交互变得简单。您还可以根据特定需求创建自定义连接器。

示例

  • 自动化数据管道:Logic Apps 可以与 Azure Data Factory 结合自动化数据传输和转换过程。这对于创建可扩展和可靠的数据管道非常有用,这些管道在各种数据存储之间移动和转换数据,如 Azure SQL 数据库和 Azure Blob 存储,帮助进行分析和商业智能操作。

  • 与 Azure Functions 集成:Logic Apps 可以与 Azure Functions 一起工作,开发复杂的事件驱动应用程序,根据需要进行扩展,并与其他 Azure 服务无缝集成。一个示例用例是使用 Logic App 在响应某些事件(如 Azure 存储帐户中的更改)时触发 Azure Function,从而实现动态数据处理。

可视化 LogicAPP

可以通过图形查看 LogicApp:

或在“Logic app code view”部分查看代码。

SSRF 保护

即使您发现Logic App 对 SSRF 漏洞,也无法从元数据中访问凭据,因为 Logic Apps 不允许这样做。

例如,类似这样的内容将不会返回令牌:

# The URL belongs to a Logic App vulenrable to SSRF
curl -XPOST 'https://prod-44.westus.logic.azure.com:443/workflows/2d8de4be6e974123adf0b98159966644/triggers/manual/paths/invoke?api-version=2016-10-01&sp=%2Ftriggers%2Fmanual%2Frun&sv=1.0&sig=_8_oqqsCXc0u2c7hNjtSZmT0uM4Xi3hktw6Uze0O34s' -d '{"url": "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/"}' -H "Content-type: application/json" -v

枚举

# List
az logic workflow list --resource-group <ResourceGroupName> --subscription <SubscriptionID> --output table
# Get info
az logic workflow show --name <LogicAppName> --resource-group <ResourceGroupName> --subscription <SubscriptionID>
# Get Logic App config
az logic workflow definition show --name <LogicAppName> --resource-group <ResourceGroupName> --subscription <SubscriptionID>
# Get service ppal used
az logic workflow identity show --name <LogicAppName> --resource-group <ResourceGroupName> --subscription <SubscriptionID>
支持 HackTricks
PreviousAz - Key VaultNextAz - SQL

Last updated