Azure 云环境渗透测试方法论

Azure 是全球第二大公有云平台，同时深度绑定 Entra ID（原 Azure AD）和 Microsoft 365 生态。其攻击面呈现独特的"三层结构"——Entra ID 身份层（租户、用户、应用注册、Service Principal）、Azure Resource Manager 资源层（订阅、资源组、RBAC）、以及数据层（Blob Storage、Key Vault、SQL Database）。与 AWS 相比，Azure 的核心差异在于：身份系统（Entra ID）与资源管理系统（ARM）是两套独立的授权体系，且 Entra ID 的 Global Administrator 可以通过 elevateAccess 接管所有 Azure 订阅。有时我们可能会通过各种方法获得了一个凭证，但是这个账号可能只能访问M365全家桶比如word,ppt,sharepoint应用,并不一定能访问Azure云subscription资源,需要手动确认。本技能以攻击阶段（Phase）为主线，组织从"零凭据"到"完全控制"的完整渗透路径。

深入参考

识别到具体攻击阶段后，加载对应参考文档获取完整技术细节：

• 未授权枚举技术清单（Tenant 发现、子域枚举、公开 Blob、用户枚举） → 读 references/unauthenticated-enum.md
• 持久化与后渗透技术清单（Entra ID、Automation、VM、Key Vault 等 12+ 服务） → 读 references/persistence-techniques.md

Phase 0: 攻击面判断

拿到一个 Azure 相关目标后，首先判断当前手持的资产类型，决定进入哪个攻击阶段：