Az - Queue Storage Post Exploitation
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Για περισσότερες πληροφορίες ελέγξτε:
Az - Queue StorageMicrosoft.Storage/storageAccounts/queueServices/queues/messages/readΈνας επιτιθέμενος με αυτή την άδεια μπορεί να δει μηνύματα από μια Azure Storage Queue. Αυτό επιτρέπει στον επιτιθέμενο να δει το περιεχόμενο των μηνυμάτων χωρίς να τα σημειώσει ως επεξεργασμένα ή να αλλάξει την κατάσταση τους. Αυτό θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, επιτρέποντας την εξαγωγή δεδομένων ή τη συλλογή πληροφοριών για περαιτέρω επιθέσεις.
Πιθανές Επιπτώσεις: Μη εξουσιοδοτημένη πρόσβαση στην ουρά, έκθεση μηνυμάτων ή χειρισμός της ουράς από μη εξουσιοδοτημένους χρήστες ή υπηρεσίες.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/actionΜε αυτή την άδεια, ένας επιτιθέμενος μπορεί να ανακτήσει και να επεξεργαστεί μηνύματα από μια Azure Storage Queue. Αυτό σημαίνει ότι μπορούν να διαβάσουν το περιεχόμενο του μηνύματος και να το σημειώσουν ως επεξεργασμένο, κρύβοντάς το αποτελεσματικά από τα νόμιμα συστήματα. Αυτό θα μπορούσε να οδηγήσει σε έκθεση ευαίσθητων δεδομένων, διαταραχές στον τρόπο που διαχειρίζονται τα μηνύματα ή ακόμη και να σταματήσει σημαντικές ροές εργασίας καθιστώντας τα μηνύματα μη διαθέσιμα στους προορισμένους χρήστες τους.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/actionΜε αυτή την άδεια, ένας επιτιθέμενος μπορεί να προσθέσει νέα μηνύματα σε μια Azure Storage Queue. Αυτό τους επιτρέπει να εισάγουν κακόβουλα ή μη εξουσιοδοτημένα δεδομένα στην ουρά, ενδεχομένως προκαλώντας μη προγραμματισμένες ενέργειες ή διαταράσσοντας τις υπηρεσίες που επεξεργάζονται τα μηνύματα.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/writeΑυτή η άδεια επιτρέπει σε έναν επιτιθέμενο να προσθέσει νέα μηνύματα ή να ενημερώσει υπάρχοντα σε μια Azure Storage Queue. Χρησιμοποιώντας αυτό, θα μπορούσαν να εισάγουν επιβλαβές περιεχόμενο ή να τροποποιήσουν υπάρχοντα μηνύματα, ενδεχομένως παραπλανώντας εφαρμογές ή προκαλώντας ανεπιθύμητες συμπεριφορές σε συστήματα που βασίζονται στην ουρά.
Microsoft.Storage/storageAccounts/queueServices/queues/deleteΑυτή η άδεια επιτρέπει σε έναν επιτιθέμενο να διαγράψει ουρές εντός του λογαριασμού αποθήκευσης. Εκμεταλλευόμενος αυτήν την ικανότητα, ένας επιτιθέμενος μπορεί να αφαιρέσει μόνιμα τις ουρές και όλα τα συσχετιζόμενα μηνύματα τους, προκαλώντας σημαντική διαταραχή στις ροές εργασίας και οδηγώντας σε κρίσιμη απώλεια δεδομένων για τις εφαρμογές που εξαρτώνται από τις επηρεαζόμενες ουρές. Αυτή η ενέργεια μπορεί επίσης να χρησιμοποιηθεί για να σαμποτάρει υπηρεσίες αφαιρώντας βασικά στοιχεία του συστήματος.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/deleteΜε αυτή την άδεια, ένας επιτιθέμενος μπορεί να διαγράψει όλα τα μηνύματα από μια Azure Storage Queue. Αυτή η ενέργεια αφαιρεί όλα τα μηνύματα, διαταράσσοντας τις ροές εργασίας και προκαλώντας απώλεια δεδομένων για τα συστήματα που εξαρτώνται από την ουρά.
Microsoft.Storage/storageAccounts/queueServices/queues/writeΑυτή η άδεια επιτρέπει σε έναν επιτιθέμενο να δημιουργήσει ή να τροποποιήσει ουρές και τις ιδιότητές τους εντός του λογαριασμού αποθήκευσης. Μπορεί να χρησιμοποιηθεί για τη δημιουργία μη εξουσιοδοτημένων ουρών, την τροποποίηση μεταδεδομένων ή την αλλαγή λιστών ελέγχου πρόσβασης (ACLs) για να παραχωρήσει ή να περιορίσει την πρόσβαση. Αυτή η δυνατότητα θα μπορούσε να διαταράξει τις ροές εργασίας, να εισάγει κακόβουλα δεδομένα, να εξάγει ευαίσθητες πληροφορίες ή να χειριστεί τις ρυθμίσεις της ουράς για να επιτρέψει περαιτέρω επιθέσεις.
https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues
https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api
https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
