Pentesting Cloud Methodology

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.

Basiese Metodologie

Elke wolk het sy eie eiesoortighede, maar oor die algemeen is daar 'n paar gemeenskaplike dinge wat 'n pentester moet nagaan wanneer 'n wolkomgewing getoets word:

Benchmarks nagaan
Dit sal jou help om die grootte van die omgewing en die gebruikte dienste te verstaan
Dit sal jou ook in staat stel om sommige vinnige verkeerde konfigurasies te vind, aangesien jy die meeste van hierdie toetse met geoutomatiseerde gereedskap kan uitvoer
Dienste-opnoeming
Jy sal waarskynlik nie baie meer verkeerde konfigurasies hier vind as jy die toets van die maatstaf korrek uitgevoer het nie, maar jy mag dalk sommige vind wat nie in die maatstaf-toets gesoek is nie.
Dit sal jou in staat stel om te weet wat presies in die wolkomgewing gebruik word
Dit sal baie help in die volgende stappe
Blootgestelde bates nagaan
Dit kan gedurende die vorige afdeling gedoen word, jy moet alles vind wat potensieel blootgestel is aan die internet op een of ander manier en hoe dit toeganklik is.
Hier neem ek handmatig blootgestelde infrastruktuur soos instansies met webbladsye of ander poorte wat blootgestel word, en ook oor ander wolkbestuurde dienste wat gekonfigureer kan word om blootgestel te word (soos databasisse of emmers)
Dan moet jy nagaan of daardie hulpbron blootgestel kan word of nie (vertroulike inligting? kwesbaarhede? verkeerde konfigurasies in die blootgestelde diens?)
Toestemmings nagaan
Hier moet jy uitvind wat die toestemmings van elke rol/gebruiker binne die wolk is en hoe dit gebruik word
Te veel hoogs bevoorregte (beheer alles) rekeninge? Gegenereerde sleutels wat nie gebruik word nie?... Die meeste van hierdie nagaan behoort reeds in die maatstaf-toetse gedoen te wees
As die kliënt OpenID of SAML of ander federasie gebruik, moet jy dalk vir hulle verdere inligting vra oor hoe elke rol toegewys word (dit is nie dieselfde as die admin-rol aan 1 gebruiker of aan 100 toegewys word nie)
Dit is nie genoeg om te vind watter gebruikers admin toestemmings het "*:*". Daar is baie ander toestemmings wat afhangend van die gebruikte dienste baie sensitief kan wees.
Daarbenewens is daar potensiële privesc-weë om te volg deur toestemmings te misbruik. Al hierdie dinge moet in ag geneem word en soveel privesc-paaie as moontlik moet gerapporteer word.
Integrasies nagaan
Dit is baie waarskynlik dat integrasies met ander wolke of SaaS binne die wolkomgewing gebruik word.
Vir integrasies van die wolk wat jy ondersoek met ander platforms moet jy aanwys wie toegang het om daardie integrasie (mis)tebruik en jy moet vra hoe sensitief die aksie wat uitgevoer word, is. Byvoorbeeld, wie kan in 'n AWS-emmer skryf waar GCP data van kry (vra hoe sensitief is die aksie in GCP wat daardie data hanteer).
Vir integrasies binne die wolk wat jy ondersoek vanaf eksterne platforms, moet jy vra wie ekstern toegang het om daardie integrasie (mis)tebruik en nagaan hoe daardie data gebruik word. Byvoorbeeld, as 'n diens 'n Docker-beeld gebruik wat in GCR gehuisves word, moet jy vra wie toegang het om dit te wysig en watter sensitiewe inligting en toegang daardie beeld sal kry wanneer dit binne 'n AWS-wolk uitgevoer word.

Multi-Wolk-gereedskap

Daar is verskeie gereedskap wat gebruik kan word om verskillende wolkomgewings te toets. Die installasie-stappe en skakels sal in hierdie afdeling aangedui word.

PurplePanda

'n Gereedskap om slegte konfigurasies en privesc-paaie in wolke en oor wolke/SaaS te identifiseer.

# You need to install and run neo4j also
git clone https://github.com/carlospolop/PurplePanda
cd PurplePanda
python3 -m venv .
source bin/activate
python3 -m pip install -r requirements.txt
export PURPLEPANDA_NEO4J_URL="bolt://neo4j@localhost:7687"
export PURPLEPANDA_PWD="neo4j_pwd_4_purplepanda"
python3 main.py -h # Get help

GCP

export GOOGLE_DISCOVERY=$(echo 'google:
- file_path: ""

- file_path: ""
service_account_id: "some-sa-email@sidentifier.iam.gserviceaccount.com"' | base64)

python3 main.py -a -p google #Get basic info of the account to check it's correctly configured
python3 main.py -e -p google #Enumerate the env

Prowler

Dit ondersteun AWS, GCP & Azure. Kyk hoe om elke verskaffer te konfigureer in https://docs.prowler.cloud/en/latest/#aws

# Install
pip install prowler
prowler -v

# Run
prowler <provider>
# Example
prowler aws --profile custom-profile [-M csv json json-asff html]

# Get info about checks & services
prowler <provider> --list-checks
prowler <provider> --list-services

CloudSploit

AWS, Azure, Github, Google, Oracle, Alibaba

# Install
git clone https://github.com/aquasecurity/cloudsploit.git
cd cloudsploit
npm install
./index.js -h
## Docker instructions in github

GCP

## You need to have creds for a service account and set them in config.js file
./index.js --cloud google --config </abs/path/to/config.js>

ScoutSuite

AWS, Azure, GCP, Alibaba Cloud, Oracle Cloud Infrastructure

mkdir scout; cd scout
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help
## Using Docker: https://github.com/nccgroup/ScoutSuite/wiki/Docker-Image

GCP

scout gcp --report-dir /tmp/gcp --user-account --all-projects
## use "--service-account KEY_FILE" instead of "--user-account" to use a service account

SCOUT_FOLDER_REPORT="/tmp"
for pid in $(gcloud projects list --format="value(projectId)"); do
echo "================================================"
echo "Checking $pid"
mkdir "$SCOUT_FOLDER_REPORT/$pid"
scout gcp --report-dir "$SCOUT_FOLDER_REPORT/$pid" --no-browser --user-account --project-id "$pid"
done

Steampipe

Laai Steampipe af en installeer dit (https://steampipe.io/downloads). Of gebruik Brew:

brew tap turbot/tap
brew install steampipe

GCP

# Install gcp plugin
steampipe plugin install gcp

# Use https://github.com/turbot/steampipe-mod-gcp-compliance.git
git clone https://github.com/turbot/steampipe-mod-gcp-compliance.git
cd steampipe-mod-gcp-compliance
# To run all the checks from the dashboard
steampipe dashboard
# To run all the checks from rhe cli
steampipe check all

Kyk na alle Projekte

Om na al die projekte te kyk, moet jy die gcp.spc lêer genereer wat al die projekte aandui om te toets. Jy kan net die aanwysings volg van die volgende skripsie.

FILEPATH="/tmp/gcp.spc"
rm -rf "$FILEPATH" 2>/dev/null

# Generate a json like object for each project
for pid in $(gcloud projects list --format="value(projectId)"); do
echo "connection \"gcp_$(echo -n $pid | tr "-" "_" )\" {
plugin  = \"gcp\"
project = \"$pid\"
}" >> "$FILEPATH"
done

# Generate the aggragator to call
echo 'connection "gcp_all" {
plugin      = "gcp"
type        = "aggregator"
connections = ["gcp_*"]
}' >> "$FILEPATH"

echo "Copy $FILEPATH in ~/.steampipe/config/gcp.spc if it was correctly generated"

Om ander GCP-insigte te kontroleer (nuttig vir die opspoor van dienste), gebruik: https://github.com/turbot/steampipe-mod-gcp-insights

Om Terraform GCP-kode te kontroleer: https://github.com/turbot/steampipe-mod-terraform-gcp-compliance

Meer GCP-plugins van Steampipe: https://github.com/turbot?q=gcp

# Install aws plugin
steampipe plugin install aws

# Modify the spec indicating in "profile" the profile name to use
nano ~/.steampipe/config/aws.spc

# Get some info on how the AWS account is being used
git clone https://github.com/turbot/steampipe-mod-aws-insights.git
cd steampipe-mod-aws-insights
steampipe dashboard

# Get the services exposed to the internet
git clone https://github.com/turbot/steampipe-mod-aws-perimeter.git
cd steampipe-mod-aws-perimeter
steampipe dashboard

# Run the benchmarks
git clone https://github.com/turbot/steampipe-mod-aws-compliance
cd steampipe-mod-aws-compliance
steampipe dashboard # To see results in browser
steampipe check all --export=/tmp/output4.json

Om Terraform AWS-kode te kontroleer: https://github.com/turbot/steampipe-mod-terraform-aws-compliance

Meer AWS-plugins van Steampipe: https://github.com/orgs/turbot/repositories?q=aws

cs-suite

AWS, GCP, Azure, DigitalOcean. Dit vereis python2.7 en lyk ononderhou.

Nessus

Nessus het 'n Audit Cloud Infrastructure skandering wat ondersteuning bied vir: AWS, Azure, Office 365, Rackspace, Salesforce. Sommige ekstra konfigurasies in Azure is nodig om 'n Client Id te verkry.

cloudlist

Cloudlist is 'n multi-cloud instrument vir die verkryging van bates (Hostnames, IP-adresse) van Cloudverskaffers.

cd /tmp
wget https://github.com/projectdiscovery/cloudlist/releases/latest/download/cloudlist_1.0.1_macOS_arm64.zip
unzip cloudlist_1.0.1_macOS_arm64.zip
chmod +x cloudlist
sudo mv cloudlist /usr/local/bin

Pentesting Cloud Methodology

1. Information Gathering

Die eerste stap in die pentesting-metodologie vir die ondersoek van die wolk is om inligting te versamel oor die teikenwolkomgewing. Hier is 'n paar tegnieke wat gebruik kan word:

DNS-opname: Identifiseer die DNS-rekords van die teikenwolkomgewing om inligting soos IP-adresse, subdomeine en diensverskaffers te verkry.
Portskandering: Skandeer die IP-adresse van die teikenwolkomgewing om oop poorte en dienste te identifiseer.
Subdomeinontdekking: Identifiseer subdomeine van die teikenwolkomgewing deur gebruik te maak van tegnieke soos bruteforcing, DNS-opname en openbare bronnavorsing.
Openbare bronnavorsing: Deursoek openbare bronne soos sosiale media, blogposts en forums vir enige inligting wat nuttig kan wees vir die pentesting-proses.
Netwerkkaartbring: Identifiseer die netwerkargitektuur van die teikenwolkomgewing deur gebruik te maak van tegnieke soos netwerkkaartbring en subnetidentifikasie.

2. Identifisering van aanvalsvlakke

Die volgende stap is om die aanvalsvlakke in die teikenwolkomgewing te identifiseer. Hier is 'n paar moontlike aanvalsvlakke wat ondersoek kan word:

Gebruikersrekening: Identifiseer swak gebruikersrekeninge wat gebruik kan word om toegang tot die wolkomgewing te verkry.
API-toegang: Identifiseer en ondersoek die API-toegangspunte van die teikenwolkomgewing om moontlike aanvalsvlakke te identifiseer.
Konfigurasiefoute: Identifiseer foute in die konfigurasie van die teikenwolkomgewing wat misbruik kan word om toegang te verkry.
Swak toegangsbeheer: Identifiseer swak toegangsbeheermaatreëls wat misbruik kan word om toegang tot die wolkomgewing te verkry.
Onveilige data-oordrag: Identifiseer onveilige data-oordragprotokolle wat gebruik word in die teikenwolkomgewing.

3. Aanvalle uitvoer

Nadat die aanvalsvlakke geïdentifiseer is, kan die volgende stap wees om aanvalle uit te voer om toegang tot die teikenwolkomgewing te verkry. Hier is 'n paar moontlike aanvaltegnieke wat gebruik kan word:

Bruteforcing: Probeer om swak wagwoorde te raai deur herhaaldelik te probeer om in te teken op gebruikersrekeninge.
SQL-injeksie: Voer SQL-injeksie-aanvalle uit om toegang tot die databasis van die teikenwolkomgewing te verkry.
Cross-Site Scripting (XSS): Voer XSS-aanvalle uit om kwaadwillige skrips in die webtoepassings van die teikenwolkomgewing in te spuit.
Man-in-the-Middle (MitM): Voer MitM-aanvalle uit om die kommunikasie tussen die teikenwolkomgewing en gebruikers te onderskep en te manipuleer.
Databasislekke: Identifiseer en ondersoek databasislekke in die teikenwolkomgewing om toegang tot gevoelige inligting te verkry.

4. Privilege Escalation

As toegang tot die teikenwolkomgewing verkry is, kan die volgende stap wees om voorregte te verhoog om verdere toegang en beheer oor die omgewing te verkry. Hier is 'n paar moontlike tegnieke wat gebruik kan word:

Gebruikersrolmanipulasie: Manipuleer gebruikersrolle en toegangsbeheermaatreëls om voorregte te verhoog.
Misbruik van swakke konfigurasie: Misbruik swakke konfigurasie-instellings om voorregte te verhoog.
Exploit van bekende kwesbaarhede: Maak gebruik van bekende kwesbaarhede in die teikenwolkomgewing om voorregte te verhoog.
Privilege Escalation in containers: Identifiseer en ondersoek voorregverhoging in konteineromgewings.

5. Data Exfiltration

Die finale stap in die pentesting-metodologie vir die ondersoek van die wolk is om data uit die teikenwolkomgewing te onttrek. Hier is 'n paar moontlike tegnieke wat gebruik kan word:

Bestandsoordrag: Oordra van gevoelige data deur gebruik te maak van protokolle soos FTP, HTTP of SMB.
Datalekke: Identifiseer en ondersoek datalekke in die teikenwolkomgewing om gevoelige inligting te onttrek.
Netwerkverkeerontleding: Ontleed die netwerkverkeer tussen die teikenwolkomgewing en ander stelsels om gevoelige inligting te onderskep.
Terugdeurinstallasie: Installeer 'n terugdeur in die teikenwolkomgewing om toekomstige toegang te verseker.

6. Rapportering

Die laaste stap in die pentesting-metodologie is om 'n volledige verslag op te stel wat die bevindinge, aanbevelings en stappe vir die oplossing van die geïdentifiseerde kwesbaarhede bevat. Die verslag moet duidelik en bondig wees en moet aan die kliënt oorgedra word vir verdere aksie.

## For GCP it requires service account JSON credentials
cloudlist -config </path/to/config>

kartografie

Kartografie is 'n Python-hulpmiddel wat infrastruktuur bates en die verhoudings tussen hulle konsolideer in 'n intuïtiewe grafiese weergawe wat aangedryf word deur 'n Neo4j databasis.

# Installation
docker image pull ghcr.io/lyft/cartography
docker run --platform linux/amd64 ghcr.io/lyft/cartography cartography --help
## Install a Neo4j DB version 3.5.*

docker run --platform linux/amd64 \
--volume "$HOME/.config/gcloud/application_default_credentials.json:/application_default_credentials.json" \
-e GOOGLE_APPLICATION_CREDENTIALS="/application_default_credentials.json" \
-e NEO4j_PASSWORD="s3cr3t" \
ghcr.io/lyft/cartography  \
--neo4j-uri bolt://host.docker.internal:7687 \
--neo4j-password-env-var NEO4j_PASSWORD \
--neo4j-user neo4j


# It only checks for a few services inside GCP (https://lyft.github.io/cartography/modules/gcp/index.html)
## Cloud Resource Manager
## Compute
## DNS
## Storage
## Google Kubernetes Engine
### If you can run starbase or purplepanda you will get more info

# You are going to need Node version 14, so install nvm following https://tecadmin.net/install-nvm-macos-with-homebrew/
npm install --global yarn
nvm install 14
git clone https://github.com/JupiterOne/starbase.git
cd starbase
nvm use 14
yarn install
yarn starbase --help
# Configure manually config.yaml depending on the env to analyze
yarn starbase setup
yarn starbase run

# Docker
git clone https://github.com/JupiterOne/starbase.git
cd starbase
cp config.yaml.example config.yaml
# Configure manually config.yaml depending on the env to analyze
docker build --no-cache -t starbase:latest .
docker-compose run starbase setup
docker-compose run starbase run

GCP

## Config for GCP
### Check out: https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md
### It requires service account credentials

integrations:
-
name: graph-google-cloud
instanceId: testInstanceId
directory: ./.integrations/graph-google-cloud
gitRemoteUrl: https://github.com/JupiterOne/graph-google-cloud.git
config:
SERVICE_ACCOUNT_KEY_FILE: '{Check https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md#service_account_key_file-string}'
PROJECT_ID: ""
FOLDER_ID: ""
ORGANIZATION_ID: ""
CONFIGURE_ORGANIZATION_PROJECTS: false

storage:
engine: neo4j
config:
username: neo4j
password: s3cr3t
uri: bolt://localhost:7687
#Consider using host.docker.internal if from docker

SkyArk

Ontdek die mees bevoorregte gebruikers in die gescande AWS of Azure omgewing, insluitend die AWS Shadow Admins. Dit maak gebruik van PowerShell.

Import-Module .\SkyArk.ps1 -force
Start-AzureStealth

# in the Cloud Console
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cyberark/SkyArk/master/AzureStealth/AzureStealth.ps1')
Scan-AzureAdmins

Wolk Brute

'n Gereedskap om 'n maatskappy (teiken) se infrastruktuur, lêers en programme op die top wolkverskaffers (Amazon, Google, Microsoft, DigitalOcean, Alibaba, Vultr, Linode) te vind.

WolkVos

WolkVos is 'n gereedskap om uitbuitbare aanvalspaaie in wolkinfrastruktuur te vind (tans slegs AWS & Azure ondersteun met GCP wat binnekort kom).
Dit is 'n opnamegereedskap wat bedoel is om handmatige pentesting aan te vul.
Dit skep of wysig geen data binne die wolkomgewing nie.

Meer lys van wolksekuriteitsgereedskap

https://github.com/RyanJarv/awesome-cloud-sec

Google

GCP

GCP Pentesting

Workspace

GWS - Workspace Pentesting

AWS

AWS Pentesting

Azure

Azure Pentesting

Aanvalgrafiek

Stormspotter skep 'n "aanvalgrafiek" van die hulpbronne in 'n Azure intekening. Dit stel rooi spanne en pentesters in staat om die aanvalsvlak en draaipunte binne 'n huurder te visualiseer, en versterk jou verdedigers om vinnig te oriënteer en voorrang te gee aan insidentresponswerk.

Office365

Jy benodig Global Admin of ten minste Global Admin Reader (maar let daarop dat Global Admin Reader bietjie beperk is). Hierdie beperkings verskyn egter in sommige PS-modules en kan omseil word deur die funksies via die webtoepassing te benader.

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy in HackTricks wil adverteer of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks-uitrusting
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

PreviousTODO NextKubernetes Pentesting

Last updated 9 months ago