Az - Storage Accounts & Blobs

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 上关注 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

基本信息

Azure 存储帐户是 Microsoft Azure 中的基本服务，提供可扩展、安全和高可用的云 存储各种数据类型，包括 Blob（大二进制对象）、文件、队列和表。它们作为容器，将这些不同的存储服务组合在一个命名空间下，便于管理。

主要配置选项：

每个存储帐户必须在所有 Azure 中具有 唯一名称。
每个存储帐户部署在区域或 Azure 扩展区中。
可以选择存储帐户的高级版本以获得更好的性能。
可以选择 4 种冗余类型以保护 免受机架、驱动器和数据中心故障。

安全配置选项：

要求 REST API 操作的安全传输：要求在与存储的任何通信中使用 TLS。
允许在单个容器上启用匿名访问：如果不允许，将来将无法启用匿名访问。
启用存储帐户密钥访问：如果不允许，将禁止使用共享密钥访问。
最低 TLS 版本。
复制操作的允许范围：允许来自任何存储帐户、来自同一 Entra 租户的任何存储帐户或来自同一虚拟网络中具有私有端点的存储帐户。

Blob 存储选项：

允许跨租户复制。
访问层：热（频繁访问数据）、冷和冷（很少访问数据）。

网络选项：

网络访问：
允许来自所有网络。
允许来自选定虚拟网络和 IP 地址。
禁用公共访问并使用私有访问。
私有端点：允许从虚拟网络与存储帐户建立私有连接。

数据保护选项：

容器的时间点恢复：允许将容器恢复到早期状态。
需要启用版本控制、变更跟踪和 Blob 软删除。
启用 Blob 的软删除：为已删除的 Blob（即使被覆盖）启用保留期（天数）。
启用容器的软删除：为已删除的容器启用保留期（天数）。
启用文件共享的软删除：为已删除的文件共享启用保留期（天数）。
启用 Blob 的版本控制：维护 Blob 的先前版本。
启用 Blob 变更跟踪：记录对 Blob 的创建、修改和删除更改。
启用版本级不可变性支持：允许您在帐户级别设置基于时间的保留策略，该策略将适用于所有 Blob 版本。
版本级不可变性支持和容器的时间点恢复不能同时启用。

加密配置选项：

加密类型：可以使用 Microsoft 管理的密钥 (MMK) 或客户管理的密钥 (CMK)。
启用基础设施加密：允许对数据进行双重加密以“提高安全性”。

存储端点

Blob 存储

https://<storage-account>.blob.core.windows.net https://<stg-acc>.blob.core.windows.net/<container-name>?restype=container&comp=list

数据湖存储

https://<storage-account>.dfs.core.windows.net

Azure 文件

https://<storage-account>.file.core.windows.net

队列存储

https://<storage-account>.queue.core.windows.net

表存储

https://<storage-account>.table.core.windows.net

公开暴露

如果“允许 Blob 公共访问” 已启用（默认禁用），在创建容器时可以：

给予 公共访问以读取 Blob（需要知道名称）。
列出容器 Blob 并读取它们。
使其完全私有。

连接到存储

如果您发现任何可以连接的存储，可以使用工具 Microsoft Azure Storage Explorer 来连接。

存储访问

RBAC

可以使用 Entra ID 主体与 RBAC 角色 访问存储帐户，这是推荐的方式。

访问密钥

存储帐户具有可以用于访问的访问密钥。这提供了对存储帐户的 完全访问。

共享密钥与轻量级共享密钥

可以 生成共享密钥 ，使用访问密钥签名以通过签名 URL 授权访问某些资源。

请注意，CanonicalizedResource 部分表示存储服务资源 (URI)。如果 URL 中的任何部分被编码，则它也应在 CanonicalizedResource 中编码。

这是 默认由 az cli 使用 来验证请求。要使其使用 Entra ID 主体凭据，请指示参数 --auth-mode login。

可以生成 Blob、队列和文件服务的共享密钥，签名以下信息：

StringToSign = VERB + "\n" +
Content-Encoding + "\n" +
Content-Language + "\n" +
Content-Length + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
If-Modified-Since + "\n" +
If-Match + "\n" +
If-None-Match + "\n" +
If-Unmodified-Since + "\n" +
Range + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;

可以通过签署以下信息生成 表服务的共享密钥：

StringToSign = VERB + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedResource;

可以生成一个 轻量级共享密钥，用于 blob、队列和文件服务，通过签署以下信息：

StringToSign = VERB + "\n" +
Content-MD5 + "\n" +
Content-Type + "\n" +
Date + "\n" +
CanonicalizedHeaders +
CanonicalizedResource;

可以通过签署以下信息生成 表服务的轻量共享密钥：

StringToSign = Date + "\n"
CanonicalizedResource

然后，要使用密钥，可以在授权头中按照以下语法进行操作：

Authorization="[SharedKey|SharedKeyLite] <AccountName>:<Signature>"
#e.g.
Authorization: SharedKey myaccount:ctzMq410TV3wS7upTBcunJTDLEJwMAZuFPfr0mrrA08=

PUT http://myaccount/mycontainer?restype=container&timeout=30 HTTP/1.1
x-ms-version: 2014-02-14
x-ms-date: Fri, 26 Jun 2015 23:39:12 GMT
Authorization: SharedKey myaccount:ctzMq410TV3wS7upTBcunJTDLEJwMAZuFPfr0mrrA08=
Content-Length: 0

共享访问签名 (SAS)

共享访问签名 (SAS) 是安全的、时间限制的 URL，授予特定权限以访问 Azure 存储帐户中的资源，而无需暴露帐户的访问密钥。虽然访问密钥提供对所有资源的完全管理访问，但 SAS 通过指定权限（如读取或写入）和定义过期时间来实现细粒度控制。

SAS 类型

用户委托 SAS：这是从 Entra ID 主体 创建的，它将签署 SAS 并将权限从用户委托给 SAS。它只能与 Blob 和数据湖存储 一起使用 (docs)。可以撤销所有生成的用户委托 SAS。
即使可以生成具有“更多”权限的委托 SAS，但如果主体没有这些权限，则无法使用（没有权限提升）。
服务 SAS：这是使用存储帐户的 访问密钥 签署的。它可用于授予对单个存储服务中特定资源的访问。如果密钥被更新，SAS 将停止工作。
帐户 SAS：它也是使用存储帐户的 访问密钥 签署的。它授予对存储帐户服务（Blob、队列、表、文件）中的资源的访问，并可以包括服务级操作。

由 访问密钥 签署的 SAS URL 看起来像这样：

https://<container_name>.blob.core.windows.net/newcontainer?sp=r&st=2021-09-26T18:15:21Z&se=2021-10-27T02:14:21Z&spr=https&sv=2021-07-08&sr=c&sig=7S%2BZySOgy4aA3Dk0V1cJyTSIf1cW%2Fu3WFkhHV32%2B4PE%3D

作为 用户委托 签署的 SAS URL 看起来像这样：

https://<container_name>.blob.core.windows.net/testing-container?sp=r&st=2024-11-22T15:07:40Z&se=2024-11-22T23:07:40Z&skoid=d77c71a1-96e7-483d-bd51-bd753aa66e62&sktid=fdd066e1-ee37-49bc-b08f-d0e152119b04&skt=2024-11-22T15:07:40Z&ske=2024-11-22T23:07:40Z&sks=b&skv=2022-11-02&spr=https&sv=2022-11-02&sr=c&sig=7s5dJyeE6klUNRulUj9TNL0tMj2K7mtxyRc97xbYDqs%3D

注意一些 http 参数：

se 参数表示 SAS 的 过期日期
sp 参数表示 SAS 的权限
sig 是验证 SAS 的签名

SAS 权限

生成 SAS 时需要指明它应授予的权限。根据生成 SAS 的对象，可能会包含不同的权限。例如：

(a)dd, (c)reate, (d)elete, (e)xecute, (f)ilter_by_tags, (i)set_immutability_policy, (l)ist, (m)ove, (r)ead, (t)ag, (w)rite, (x)delete_previous_version, (y)permanent_delete

Azure Blob 存储的 SFTP 支持

Azure Blob 存储现在支持 SSH 文件传输协议 (SFTP)，使得可以安全地将文件传输和管理直接到 Blob 存储，而无需自定义解决方案或第三方产品。

主要特性

协议支持：SFTP 与配置了分层命名空间 (HNS) 的 Blob 存储帐户一起工作。这将 Blob 组织成目录和子目录，以便于导航。
安全性：SFTP 使用本地用户身份进行身份验证，并不与 RBAC 或 ABAC 集成。每个本地用户可以通过以下方式进行身份验证：
Azure 生成的密码
公共-私有 SSH 密钥对
细粒度权限：可以为本地用户分配读取、写入、删除和列出等权限，最多可支持 100 个容器。
网络考虑：SFTP 连接通过 22 端口进行。Azure 支持网络配置，如防火墙、私有终端或虚拟网络，以保护 SFTP 流量。

设置要求

分层命名空间：创建存储帐户时必须启用 HNS。
支持的加密：需要 Microsoft 安全开发生命周期 (SDL) 批准的加密算法（例如，rsa-sha2-256，ecdsa-sha2-nistp256）。
SFTP 配置：
在存储帐户上启用 SFTP。
创建具有适当权限的本地用户身份。
为用户配置主目录，以定义他们在容器内的起始位置。

权限

符号

描述

读取

r

读取文件内容。

写入

w

上传文件和创建目录。

列出

l

列出目录的内容。

删除

d

删除文件或目录。

创建

c

创建文件或目录。

修改所有权

o

更改拥有用户或组。

修改权限

p

更改文件或目录上的 ACL。

枚举

# Get storage accounts
az storage account list #Get the account name from here

# BLOB STORAGE
## List containers
az storage container list --account-name <name>
## Check if public access is allowed
az storage container show-permission \
--account-name <acc-name> \
-n <container-name>
## Make a container public
az storage container set-permission \
--public-access container \
--account-name <acc-name> \
-n <container-name>
## List blobs in a container
az storage blob list \
--container-name <container name> \
--account-name <account name>
## Download blob
az storage blob download \
--account-name <account name> \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
## Create container policy
az storage container policy create \
--account-name mystorageaccount \
--container-name mycontainer \
--name fullaccesspolicy \
--permissions racwdl \
--start 2023-11-22T00:00Z \
--expiry 2024-11-22T00:00Z

# QUEUE
az storage queue list --account-name <name>
az storage message peek --account-name <name> --queue-name <queue-name>

# ACCESS KEYS
az storage account keys list --account-name <name>
## Check key policies (expiration time?)
az storage account show -n <name> --query "{KeyPolicy:keyPolicy}"
## Once having the key, it's possible to use it with the argument --account-key
## Enum blobs with account key
az storage blob list \
--container-name <container name> \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw=="
## Download a file using an account key
az storage blob download \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--name <blob name> \
--file </path/to/local/file>
## Upload a file using an account key
az storage blob upload \
--account-name <account name> \
--account-key "ZrF40pkVKvWPUr[...]v7LZw==" \
--container-name <container name> \
--file </path/to/local/file>

# SAS
## List access policies
az storage <container|queue|share|table> policy list \
--account-name <acc name> \
--container-name <container name>

## Generate SAS with all permissions using an access key
az storage <container|queue|share|table|blob> generate-sas \
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
-n <container-name>

## Generate SAS with all permissions using via user delegation
az storage <container|queue|share|table|blob> generate-sas \
--permissions acdefilmrtwxy \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name> \
--as-user --auth-mode login \
-n <container-name>

## Generate account SAS
az storage account generate-sas \
--expiry 2024-12-31T23:59:00Z \
--account-name <acc-name>  \
--services qt \
--resource-types sco \
--permissions acdfilrtuwxy

## Use the returned SAS key with the param --sas-token
## e.g.
az storage blob show \
--account-name <account name> \
--container-name <container name> \
--sas-token 'se=2024-12-31T23%3A59%3A00Z&sp=racwdxyltfmei&sv=2022-11-02&sr=c&sig=ym%2Bu%2BQp5qqrPotIK5/rrm7EMMxZRwF/hMWLfK1VWy6E%3D' \
--name 'asd.txt'

#Local-Users
## List users
az storage account local-user list \
--account-name <storage-account-name> \
--resource-group <resource-group-name>
## Get user
az storage account local-user show \
--account-name <storage-account-name> \
--resource-group <resource-group-name> \
--name <local-user-name>

## List keys
az storage account local-user list \
--account-name <storage-account-name> \
--resource-group <resource-group-name>

# Get storage accounts
Get-AzStorageAccount | fl
# Get rules to access the storage account
Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet
# Get IPs
(Get-AzStorageAccount | select -ExpandProperty NetworkRuleSet).IPRules
# Get containers of a storage account
Get-AzStorageContainer -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context
# Get blobs inside container
Get-AzStorageBlob -Container epbackup-planetary -Context (Get-AzStorageAccount -name <name> -ResourceGroupName <name>).context
# Get a blob from a container
Get-AzStorageBlobContent -Container <NAME> -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).context -Blob <blob_name> -Destination .\Desktop\filename.txt

# Create a Container Policy
New-AzStorageContainerStoredAccessPolicy `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container <container-name> `
-Policy <policy-name> `
-Permission racwdl `
-StartTime (Get-Date "2023-11-22T00:00Z") `
-ExpiryTime (Get-Date "2024-11-22T00:00Z")
#Get Container policy
Get-AzStorageContainerStoredAccessPolicy `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context `
-Container "storageaccount1994container"

# Queue Management
Get-AzStorageQueue -Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context
(Get-AzStorageQueue -Name <NAME> -Context (Get-AzStorageAccount -name <NAME> -ResourceGroupName <NAME>).Context).QueueClient.PeekMessage().Value

#Blob Container
Get-AzStorageBlob -Container <container-name> -Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context
Get-AzStorageBlobContent `
-Container <container-name> `
-Blob <blob-name> `
-Destination <local-path> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context

Set-AzStorageBlobContent `
-Container <container-name> `
-File <local-file-path> `
-Blob <blob-name> `
-Context $(Get-AzStorageAccount -name "teststorageaccount1998az" -ResourceGroupName "testStorageGroup").Context

# Shared Access Signatures (SAS)
Get-AzStorageContainerAcl `
-Container <container-name> `
-Context (Get-AzStorageAccount -Name <NAME> -ResourceGroupName <NAME>).Context

New-AzStorageBlobSASToken `
-Context $ctx `
-Container <container-name> `
-Blob <blob-name> `
-Permission racwdl `
-ExpiryTime (Get-Date "2024-12-31T23:59:00Z")