Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Azure Files es un servicio de almacenamiento de archivos en la nube completamente gestionado que proporciona almacenamiento de archivos compartidos accesible a través de los protocolos estándar SMB (Server Message Block) y NFS (Network File System). Aunque el protocolo principal utilizado es SMB, los compartidos de archivos de Azure NFS no son compatibles con Windows (según la documentación). Permite crear compartidos de archivos en red altamente disponibles que pueden ser accedidos simultáneamente por múltiples máquinas virtuales (VMs) o sistemas locales, lo que permite un intercambio de archivos sin problemas entre entornos.
Optimizado para Transacciones: Optimizado para operaciones con muchas transacciones.
Caliente: Equilibrado entre transacciones y almacenamiento.
Frío: Rentable para almacenamiento.
Premium: Almacenamiento de archivos de alto rendimiento optimizado para cargas de trabajo de baja latencia e intensivas en IOPS.
Copia de seguridad diaria: Se crea un punto de copia de seguridad cada día a una hora indicada (por ejemplo, 19.30 UTC) y se almacena de 1 a 200 días.
Copia de seguridad semanal: Se crea un punto de copia de seguridad cada semana en un día y hora indicados (domingo a las 19.30) y se almacena de 1 a 200 semanas.
Copia de seguridad mensual: Se crea un punto de copia de seguridad cada mes en un día y hora indicados (por ejemplo, el primer domingo a las 19.30) y se almacena de 1 a 120 meses.
Copia de seguridad anual: Se crea un punto de copia de seguridad cada año en un día y hora indicados (por ejemplo, el primer domingo de enero a las 19.30) y se almacena de 1 a 10 años.
También es posible realizar copias de seguridad manuales y instantáneas en cualquier momento. Las copias de seguridad y las instantáneas son en realidad lo mismo en este contexto.
Autenticación de AD DS local: Utiliza credenciales de Active Directory locales sincronizadas con Microsoft Entra ID para acceso basado en identidad. Requiere conectividad de red a AD DS local.
Autenticación de Servicios de Dominio de Microsoft Entra: Aprovecha los Servicios de Dominio de Microsoft Entra (AD basado en la nube) para proporcionar acceso utilizando credenciales de Microsoft Entra.
Kerberos de Microsoft Entra para Identidades Híbridas: Permite a los usuarios de Microsoft Entra autenticar compartidos de archivos de Azure a través de Internet utilizando Kerberos. Soporta VMs unidas a Microsoft Entra híbridas o unidas a Microsoft Entra sin requerir conectividad a controladores de dominio locales. Pero no soporta identidades solo en la nube.
Autenticación Kerberos de AD para Clientes Linux: Permite a los clientes Linux utilizar Kerberos para la autenticación SMB a través de AD DS local o Servicios de Dominio de Microsoft Entra.
Por defecto, az cli utilizará una clave de cuenta para firmar una clave y realizar la acción. Para usar los privilegios del principal de Entra ID, utiliza los parámetros --auth-mode login --enable-file-backup-request-intent.
Utiliza el parámetro --account-key para indicar la clave de cuenta a utilizar
Utiliza el parámetro --sas-token con el token SAS para acceder a través de un token SAS
Estos son los scripts propuestos por Azure en el momento de la redacción para conectar un File Share:
Necesitas reemplazar los marcadores de posición <STORAGE-ACCOUNT>, <ACCESS-KEY> y <FILE-SHARE-NAME>.
Igual que el privesc de almacenamiento:
Az - Storage PrivescIgual que la persistencia de almacenamiento:
Az - Storage PersistenceAprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
