AWS - Lambda Persistence

Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien aan die HackTricks en HackTricks Cloud github repos.

Lambda

Vir meer inligting, kyk:

AWS - Lambda Enum

Lambda Laag Persistensie

Dit is moontlik om 'n laag in te voer/terugdeur te plaas om arbitrêre kode uit te voer wanneer die lambda op 'n stil manier uitgevoer word:

AWS - Lambda Layers Persistence

Lambda Uitbreiding Persistensie

Deur Lambda Lae te misbruik, is dit ook moontlik om uitbreidings te misbruik en in die lambda te bly, maar ook versoeke te steel en te wysig.

AWS - Abusing Lambda Extensions

Via hulpbronbeleide

Dit is moontlik om toegang te verleen tot verskillende lambda aksies (soos aanroep of kode opdateer) aan eksterne rekeninge:

Weergawes, Aliasse & Gewigte

'n Lambda kan verskillende weergawes hê (met verskillende kode in elke weergawe). Dan kan jy verskillende aliasses met verskillende weergawes van die lambda skep en verskillende gewigte aan elkeen toeken. Op hierdie manier kan 'n aanvaller 'n terugdeur weergawe 1 en 'n weergawe 2 met slegs die wettige kode skep en slegs die weergawe 1 in 1% van die versoeke uitvoer om stil te bly.

Weergave Terugdeur + API Gateway

Kopieer die oorspronklike kode van die Lambda
Skep 'n nuwe weergawe wat die oorspronklike kode (of net met kwaadwillige kode) terugdeur. Publiseer en ontplooi daardie weergawe na $LATEST
Roep die API-gateway wat aan die lambda gekoppel is aan om die kode uit te voer
Skep 'n nuwe weergawe met die oorspronklike kode, Publiseer en ontplooi daardie weergawe na $LATEST.
Dit sal die terugdeurkode in 'n vorige weergawe verberg
Gaan na die API Gateway en skep 'n nuwe POST-metode (of kies enige ander metode) wat die terugdeur weergawe van die lambda sal uitvoer: arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1
Let op die finale :1 van die arn wat die weergawe van die funksie aandui (weergawe 1 sal die terugdeur een in hierdie scenario wees).
Kies die POST-metode wat geskep is en in Aksies kies Ontplooi API
Nou, wanneer jy die funksie via POST aanroep, sal jou Terugdeur geaktiveer word

Cron/Event aktuator

Die feit dat jy lambda funksies kan laat loop wanneer iets gebeur of wanneer 'n tyd verbygaan maak lambda 'n goeie en algemene manier om volharding te verkry en opsporing te vermy. Hier is 'n paar idees om jou teenwoordigheid in AWS meer stil te maak deur lambdas te skep.

Elke keer as 'n nuwe gebruiker geskep word, genereer lambda 'n nuwe gebruikerssleutel en stuur dit na die aanvaller.
Elke keer as 'n nuwe rol geskep word, gee lambda aanneem rol toestemmings aan gecompromitteerde gebruikers.
Elke keer as nuwe cloudtrail logs gegenereer word, verwyder/wysig hulle.

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien aan die HackTricks en HackTricks Cloud github repos.

PreviousAWS - KMS Persistence NextAWS - Abusing Lambda Extensions

Last updated 3 days ago