Az - Blob Storage

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Taarifa Msingi

Kutoka kwa nyaraka: Uhifadhi wa Blob wa Azure ni suluhisho la uhifadhi wa vitu la Microsoft kwa wingu. Uhifadhi wa Blob umetengenezwa kuhifadhi kiasi kikubwa cha data isiyo na muundo. Data isiyo na muundo ni data ambayo haifuati mfano au ufafanuzi maalum, kama vile data ya maandishi au data ya binary.

Uhifadhi wa Blob hutoa aina tatu za rasilimali:

Akaunti ya uhifadhi (jina la kipekee)
Chombo katika akaunti ya uhifadhi (folda)
Blob katika chombo

Aina Tofauti za Uhifadhi

Uhifadhi wa Blob

https://<akaunti-uhifadhi>.blob.core.windows.net https://<stg-acc>.blob.core.windows.net/<jina-la-chombo>?restype=chombo&comp=list

Azure Data Lake Storage Gen2

https://<akaunti-uhifadhi>.dfs.core.windows.net

Azure Files

https://<akaunti-uhifadhi>.file.core.windows.net

Uhifadhi wa Queue

https://<akaunti-uhifadhi>.queue.core.windows.net

Uhifadhi wa Jedwali

https://<akaunti-uhifadhi>.table.core.windows.net

Upatikanaji wa Uhifadhi

Tumia mabalozi ya Azure AD kupitia majukumu ya RBAC yanayoungwa mkono.
Vipuli vya Upatikanaji: Tumia vipuli vya upatikanaji wa akaunti ya uhifadhi. Hii hutoa upatikanaji kamili kwa akaunti ya uhifadhi.
Saini ya Upatikanaji wa Pamoja (SAS): Muda mdogo na ruhusa maalum.
Unaweza kuzalisha URL ya SAS na ufunguo wa upatikanaji (ngumu zaidi kugundua).
Kwa kuwa SAS inazalishwa kutoka kwa ufunguo wa upatikanaji, ikiwa inafanyiwa upya SAS inakoma kufanya kazi.

Kufichua Umma

Ikiwa "Ruhusu upatikanaji wa umma wa Blob" imekuwa imewezeshwa (imelemazwa kwa chaguo-msingi), inawezekana:

Kutoa upatikanaji wa umma kusoma blobs (unahitaji kujua jina).
Orodhesha blobs za chombo na soma.

Kuunganisha kwa Uhifadhi

Ikiwa unapata uhifadhi wowote unaweza kuunganisha kutumia zana Microsoft Azure Storage Explorer kufanya hivyo.

URL za SAS

Kutoka kwa nyaraka: Saini ya upatikanaji wa pamoja (SAS) hutoa upatikanaji ulioidhinishwa salama kwa rasilimali katika akaunti yako ya uhifadhi. Kwa SAS, una udhibiti wa kina juu ya jinsi mteja anaweza kupata data yako. Kwa mfano:

Ni rasilimali gani mteja anaweza kupata.
Ni ruhusa zipi wanazo kwa rasilimali hizo.
Muda gani SAS ina halali.

URL ya SAS inaonekana kama hii: https://<jina_la_chombo>.blob.core.windows.net/chombo_kipya?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D

Tumia Storage Explorer kupata data au python:

#pip3 install azure-storage-blob
from azure.storage.blob import BlobServiceClient

# List containers
conn_str="<SAS URL>"
svc = BlobServiceClient.from_connection_string(conn_str=conn_str)
for c in svc.list_containers():
print(c['name']

# List blobs inside conteiner
container = svc.get_container_client(container="<container_name>")
for b in container.list_blobs():
print(b['name']

# Download file
blob = svc.get_blob_client(container="<container_name>",blob="<blob_name>")
with open("download.out","wb") as f:
f.write(blob.download_blob().readall())

User delegation SAS

Unaweza kuhakikisha saini ya ufikiaji iliyoshirikiwa (SAS) kwa ufikiaji wa chombo, saraka, au blob kwa kutumia vyeti vya Azure Active Directory (Azure AD) au ufunguo wa akaunti. Ili kuunda user delegation SAS, lazima kwanza uombwe ufunguo wa uhamishaji wa mtumiaji, ambao kisha unatumia kusaini SAS.

Msaada unatolewa kwa User Delegation Shared Access Signature (SAS) katika Azure Blob Storage na Azure Data Lake Storage Gen2. Walakini, ni muhimu kutambua kuwa Stored Access Policies sio sambamba na User Delegation SAS.

Tafadhali kumbuka kuwa user delegation SAS imehakikishwa na vyeti vya Azure AD badala ya ufunguo wa akaunti ya kuhifadhi. Hii inazuia wateja/vyombo vya maombi kutoka kuhifadhi/kupata ufunguo wa kuhifadhi ili kuunda SAS.

Service SAS

Service SAS imehakikishwa na ufunguo wa akaunti ya kuhifadhi. Service SAS inahamisha ufikiaji kwa rasilimali katika moja tu ya huduma za Kuhifadhi za Azure: Uhifadhi wa Blob, Uhifadhi wa Queue, Uhifadhi wa Jedwali, au Faili za Azure. URI kwa SAS ya kiwango cha huduma inajumuisha URI kwa rasilimali ambayo SAS itahamisha ufikiaji, ikifuatiwa na ishara ya SAS.

Ili kutumia vyeti vya Azure Active Directory (Azure AD) kuhakikisha SAS kwa chombo au blob, tumia user delegation SAS.

Account SAS

Account SAS imehakikishwa na moja ya ufunguo wa akaunti ya kuhifadhi (ipo 2). Account SAS inahamisha ufikiaji kwa rasilimali katika moja au zaidi ya huduma za kuhifadhi. Operesheni zote zinazopatikana kupitia SAS ya huduma au user delegation pia zinapatikana kupitia Account SAS.

kutoka kwa nyaraka: Kwa kuunda Account SAS, unaweza:

Kuhakikisha ufikiaji wa operesheni za kiwango cha huduma ambazo kwa sasa hazipatikani na SAS maalum ya huduma, kama vile operesheni za Get/Set Service Properties na Get Service Stats.
Kuhakikisha ufikiaji kwa huduma zaidi ya moja katika akaunti ya kuhifadhi wakati mmoja. Kwa mfano, unaweza kuhakikisha ufikiaji kwa rasilimali katika Azure Blob Storage na Azure Files kwa kutumia Account SAS.
Kuhakikisha ufikiaji kwa operesheni za kuandika na kufuta kwa mifuko, foleni, meza, na hisa za faili, ambazo hazipatikani na SAS maalum ya kitu.
Kufafanua anwani ya IP au safu ya anwani za IP kutoka ambazo kupokea maombi.
Kufafanua itifaki ya HTTP kutoka ambayo kupokea maombi (HTTPS au HTTP/HTTPS).

Uorodheshaji

# Get storage accounts
az storage account list #Get the account name from here

# Get keys to authenticate
az storage account keys list --account-name <name>

# Get shares
az storage share list --account-name <name> --account-key <key>

# Get dirs/files inside the share
az storage file list --account-name <name> --share-name <share-name> --account-key <key>
## If type is "dir", you can continue enumerationg files inside of it
az storage file list --account-name <name> --share-name <prev_dir/share-name> --account-key <key>

# Download a complete share (with directories and files inside of them)
az storage file download-batch -d . --source <share-name> --account-name <name> --account-key <key>

# Get storage accounts
Get-AzStorageAccount | fl
# Get rules to access the storage account
Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet
# Get IPs
(Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet).IPRules
# Get containers of a storage account
Get-AzStorageContainer -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context
# Get blobs inside container
Get-AzStorageBlob -Container epbackup-planetary -Context (Get-AzStorageAccount -name <name> -ResourceGroupName <name>).context
# Get a blob from a container
Get-AzStorageBlobContent -Container <NAME> -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context -Blob <blob_name> -Destination .\Desktop\filename.txt

Marejeo

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalamu wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAz - Azure App Service & Function Apps NextAz - Intune

Last updated 1 month ago