Podstawowe informacje

Z dokumentacji: Aby zaimplementować infrastrukturę jako kod dla rozwiązań Azure, użyj szablonów Azure Resource Manager (ARM). Szablon to plik JavaScript Object Notation (JSON), który definiuje infrastrukturę i konfigurację dla Twojego projektu. Szablon używa deklaratywnej składni, która pozwala określić, co chcesz wdrożyć, bez konieczności pisania sekwencji poleceń programistycznych do jego utworzenia. W szablonie określasz zasoby do wdrożenia i właściwości tych zasobów.

Historia

Jeśli masz do niego dostęp, możesz uzyskać informacje o zasobach, które nie są obecne, ale mogą zostać wdrożone w przyszłości. Ponadto, jeśli parametr zawierający wrażliwe informacje został oznaczony jako "String" zamiast "SecureString", będzie on obecny w tekście jawnym.

Wyszukiwanie wrażliwych informacji

Użytkownicy posiadający uprawnienia Microsoft.Resources/deployments/read i Microsoft.Resources/subscriptions/resourceGroups/read mogą odczytywać historię wdrożeń.

Get-AzResourceGroup
Get-AzResourceGroupDeployment -ResourceGroupName <name>

# Export
Save-AzResourceGroupDeploymentTemplate -ResourceGroupName <RESOURCE GROUP> -DeploymentName <DEPLOYMENT NAME>
cat <DEPLOYMENT NAME>.json # search for hardcoded password
cat <PATH TO .json FILE> | Select-String password

Odwołania

• https://app.gitbook.com/s/5uvPQhxNCPYYTqpRwsuS/~/changes/argKsv1NUBY9l4Pd28TU/pentesting-cloud/azure-security/az-services/az-arm-templates#references