Az - Blob Storage

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

Van die dokumente: Azure Blob-stoor is Microsoft se objek stooroplossing vir die wolk. Blob-stoor is geoptimaliseer vir die stoor van massiewe hoeveelhede ongestruktureerde data. Ongestruktureerde data is data wat nie aan 'n spesifieke data-model of -definisie voldoen nie, soos teks- of binêre data.

Blob-stoor bied drie tipes bronne:

Die stoorrekening (unieke naam)
'n Houer in die stoorrekening (gids)
'n Blob in 'n houer

Verskillende tipes stoor

Blob-stoor

https://<stoorrekening>.blob.core.windows.net https://<stg-acc>.blob.core.windows.net/<houernaam>?restype=houer&comp=lys

Azure Data Lake-stoor Gen2

https://<stoorrekening>.dfs.core.windows.net

Azure-lêers

https://<stoorrekening>.file.core.windows.net

Ry-stoor

https://<stoorrekening>.queue.core.windows.net

Tabel-stoor

https://<stoorrekening>.table.core.windows.net

Toegang tot Stoor

Gebruik Azure AD-prinsipiëls via RBAC-rolle wat ondersteun word.
Toegangssleutels: Gebruik toegangssleutels van die stoorrekening. Dit bied volle toegang tot die stoorrekening.
Gedeelde Toegangskenmerk (SAS): Tyd beperk en spesifieke regte.
Jy kan 'n SAS-url genereer met 'n toegangssleutel (meer moeilik om op te spoor).
Aangesien die SAS gegenereer word vanaf die toegangssleutel, as dit hernu word, hou die SAS op om te werk.

Publieke Blootstelling

As "Laat Blob publieke toegang toe" geaktiveer is (standaard gedeaktiveer), is dit moontlik om:

Gee publieke toegang om blokke te lees (jy moet die naam weet).
Lys houerblokke en lees hulle.

Koppel aan Stoor

As jy enige stoor vind waaraan jy kan koppel, kan jy die instrument Microsoft Azure Storage Explorer gebruik om dit te doen.

SAS-URL's

Van die dokumente: 'n Gedeelde toegangskenmerk (SAS) bied veilige gedelegeerde toegang tot bronne in jou stoorrekening. Met 'n SAS het jy fyn beheer oor hoe 'n klient toegang tot jou data kan verkry. Byvoorbeeld:

Watter bronne die klient mag toegang verkry.
Watter regte hulle het tot daardie bronne.
Hoe lank die SAS geldig is.

'N SAS-URL lyk soos dit: https://<houernaam>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D

Gebruik Storage Explorer om toegang tot die data te verkry of python:

#pip3 install azure-storage-blob
from azure.storage.blob import BlobServiceClient

# List containers
conn_str="<SAS URL>"
svc = BlobServiceClient.from_connection_string(conn_str=conn_str)
for c in svc.list_containers():
print(c['name']

# List blobs inside conteiner
container = svc.get_container_client(container="<container_name>")
for b in container.list_blobs():
print(b['name']

# Download file
blob = svc.get_blob_client(container="<container_name>",blob="<blob_name>")
with open("download.out","wb") as f:
f.write(blob.download_blob().readall())

Gebruikerdelegasie SAS

Jy kan 'n gedeelde toegangshandtekening (SAS) token vir toegang tot 'n houer, gids, of blob beveilig deur óf Azure Active Directory (Azure AD) geloofsbriewe óf 'n rekening sleutel te gebruik. Om 'n gebruikerdelegasie SAS te skep, moet jy eers 'n gebruikerdelegasie sleutel aanvra, wat jy dan gebruik om die SAS te onderteken.

Ondersteuning word gebied vir 'n Gebruikerdelegasie Gedeelde Toegangshandtekening (SAS) in beide Azure Blob-opberging en Azure Data Lake-opberging Gen2. Dit is egter belangrik om op te let dat Opgeslane Toegangbeleide nie verenigbaar is met 'n Gebruikerdelegasie SAS nie.

Merk op dat gebruikerdelegasie SAS beveilig is met Azure AD-geloofsbriewe in plaas van opbergingrekeningsleutels. Dit voorkom dat kliënte/aansoeke opbergingssleutels stoor/herwin om SAS te skep.

Diens SAS

'n Diens SAS is beveilig met die opbergingrekeningsleutel. 'n Diens SAS delegeer toegang tot 'n hulpbron in slegs een van die Azure-opbergingdiens: Blob-opberging, Koei-opberging, Tabel-opberging, of Azure-lêers. Die URI vir 'n diensvlak SAS bestaan uit die URI na die hulpbron waarvoor die SAS toegang sal delegeer, gevolg deur die SAS-token.

Om Azure Active Directory (Azure AD) geloofsbriewe te gebruik om 'n SAS vir 'n houer of blob te beveilig, gebruik 'n gebruikerdelegasie SAS.

Rekening SAS

'n Rekening SAS is beveilig met een van die opbergingrekeningsleutels (daar is 2). 'n Rekening SAS delegeer toegang tot hulpbronne in een of meer van die opbergingdiens. Al die operasies wat beskikbaar is via 'n diens of gebruikerdelegasie SAS is ook beskikbaar via 'n rekening SAS.

van die dokumente: Deur 'n rekening SAS te skep, kan jy:

Toegang delegeer na diensvlak-operasies wat tans nie beskikbaar is met 'n diensspesifieke SAS nie, soos die Get/Set Service Properties en Get Service Stats operasies.
Toegang delegeer na meer as een diens in 'n opbergingrekening op 'n slag. Byvoorbeeld, jy kan toegang delegeer na hulpbronne in beide Azure Blob-opberging en Azure-lêers deur 'n rekening SAS te gebruik.
Toegang delegeer na skryf- en verwyderingsoperasies vir houers, koeë, tabelle, en lêerdelings, wat nie beskikbaar is met 'n objekspesifieke SAS nie.
'n IP-adres of 'n reeks IP-adresse spesifiseer vanwaar om versoeke te aanvaar.
Die HTTP-protokol spesifiseer vanwaar om versoeke te aanvaar (of HTTPS of HTTP/HTTPS).

Opsomming

# Get storage accounts
az storage account list #Get the account name from here

# Get keys to authenticate
az storage account keys list --account-name <name>

# Get shares
az storage share list --account-name <name> --account-key <key>

# Get dirs/files inside the share
az storage file list --account-name <name> --share-name <share-name> --account-key <key>
## If type is "dir", you can continue enumerationg files inside of it
az storage file list --account-name <name> --share-name <prev_dir/share-name> --account-key <key>

# Download a complete share (with directories and files inside of them)
az storage file download-batch -d . --source <share-name> --account-name <name> --account-key <key>

# Get storage accounts
Get-AzStorageAccount | fl
# Get rules to access the storage account
Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet
# Get IPs
(Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet).IPRules
# Get containers of a storage account
Get-AzStorageContainer -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context
# Get blobs inside container
Get-AzStorageBlob -Container epbackup-planetary -Context (Get-AzStorageAccount -name <name> -ResourceGroupName <name>).context
# Get a blob from a container
Get-AzStorageBlobContent -Container <NAME> -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context -Blob <blob_name> -Destination .\Desktop\filename.txt

Verwysings

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

PreviousAz - Azure App Service & Function Apps NextAz - Intune

Last updated 1 month ago