Az - Queue Storage Privesc

Queue

Daha fazla bilgi için kontrol edin:

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

Bu izne sahip bir saldırgan, Azure Storage Queue'dan mesajları görebilir. Bu, saldırgana mesajların içeriğini işlenmiş olarak işaretlemeden veya durumlarını değiştirmeden görüntüleme imkanı tanır. Bu, hassas bilgilere yetkisiz erişime yol açabilir ve veri sızdırma veya daha fazla saldırı için istihbarat toplama imkanı sağlayabilir.

az storage message peek --queue-name <queue_name> --account-name <storage_account>

Potansiyel Etki: Yetkisiz kullanıcılar veya hizmetler tarafından kuyruğa yetkisiz erişim, mesajların ifşası veya kuyruğun manipülasyonu.

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

Bu izinle, bir saldırgan Azure Storage Queue'dan mesajları alabilir ve işleyebilir. Bu, mesaj içeriğini okuyabilecekleri ve mesajı işlenmiş olarak işaretleyebilecekleri anlamına gelir, bu da onu meşru sistemlerden gizler. Bu, hassas verilerin ifşa edilmesine, mesajların nasıl işlendiğinde kesintilere veya mesajları hedef kullanıcılarına ulaştırmamayı sağlayarak önemli iş akışlarının durmasına yol açabilir.

az storage message get --queue-name <queue_name> --account-name <storage_account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action

Bu izinle, bir saldırgan Azure Storage Queue'ya yeni mesajlar ekleyebilir. Bu, kötü niyetli veya yetkisiz verilerin kuyruğa enjekte edilmesine olanak tanır ve bu da istenmeyen eylemleri tetikleyebilir veya mesajları işleyen aşağı akış hizmetlerini kesintiye uğratabilir.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

DataActions: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Bu izin, bir saldırganın Azure Storage Queue'da yeni mesajlar eklemesine veya mevcut olanları güncellemesine olanak tanır. Bunu kullanarak, zararlı içerik ekleyebilir veya mevcut mesajları değiştirebilir, bu da uygulamaları yanıltabilir veya kuyruğa bağımlı sistemlerde istenmeyen davranışlara neden olabilir.

az storage message put --queue-name <queue-name> --content "Injected malicious message" --account-name <storage-account>

#Update the message
az storage message update --queue-name <queue-name> \
--id <message-id> \
--pop-receipt <pop-receipt> \
--content "Updated message content" \
--visibility-timeout <timeout-in-seconds> \
--account-name <storage-account>

Eylem: Microsoft.Storage/storageAccounts/queueServices/queues/write

Bu izin, bir saldırganın depolama hesabı içinde kuyruklar ve bunların özelliklerini oluşturmasına veya değiştirmesine olanak tanır. Yetkisiz kuyruklar oluşturmak, meta verileri değiştirmek veya erişim kontrol listelerini (ACL'ler) değiştirerek erişimi vermek veya kısıtlamak için kullanılabilir. Bu yetenek, iş akışlarını bozabilir, kötü niyetli veriler enjekte edebilir, hassas bilgileri dışarı sızdırabilir veya daha fazla saldırıyı mümkün kılmak için kuyruk ayarlarını manipüle edebilir.

az storage queue create --name <new-queue-name> --account-name <storage-account>

az storage queue metadata update --name <queue-name> --metadata key1=value1 key2=value2 --account-name <storage-account>

az storage queue policy set --name <queue-name> --permissions rwd --expiry 2024-12-31T23:59:59Z --account-name <storage-account>

Referanslar

• https://learn.microsoft.com/en-us/azure/storage/queues/storage-powershell-how-to-use-queues

• https://learn.microsoft.com/en-us/rest/api/storageservices/queue-service-rest-api

• https://learn.microsoft.com/en-us/azure/storage/queues/queues-auth-abac-attributes