AWS - Nitro Enum

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PR's in te dien na die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

AWS Nitro is 'n suite van innovatiewe tegnologieë wat die onderliggende platform vir AWS EC2-instanties vorm. Ingevoerd deur Amazon om veiligheid, prestasie en betroubaarheid te verbeter, benut Nitro op maat gemaakte hardewarekomponente en 'n liggewig hypervisor. Dit abstraheer baie van die tradisionele virtualisering funksionaliteit na toegewyde hardeware en sagteware, minimaliseer die aanvaloppervlak en verbeter hulpbron doeltreffendheid. Deur virtualisering funksies af te laai, laat Nitro EC2-instanties toe om naby bare-metal prestasie te lewer, wat dit veral voordelig maak vir hulpbron-intensiewe toepassings. Boonop verseker die Nitro Veiligheidschip spesifiek die veiligheid van die hardeware en firmware, wat sy robuuste argitektuur verder versterk.

Nitro Enclaves

AWS Nitro Enclaves bied 'n veilige, geïsoleerde rekenaaromgewing binne Amazon EC2-instanties, spesifiek ontwerp vir die verwerking van hoogs sensitiewe data. Deur die AWS Nitro Stelsel te benut, verseker hierdie enclaves robuuste isolasie en veiligheid, ideaal vir die hantering van vertroulike inligting soos PII of finansiële rekords. Hulle beskik oor 'n minimalistiese omgewing, wat die risiko van data blootstelling aansienlik verminder. Boonop ondersteun Nitro Enclaves kriptografiese attestering, wat gebruikers in staat stel om te verifieer dat slegs geautoriseerde kode loop, wat noodsaaklik is vir die handhawing van streng nakoming en databeskermingsstandaarde.

Nitro Enclave beelde word van binne EC2-instanties uitgevoer en jy kan nie van die AWS webkonsol sien of 'n EC2-instantie beelde in Nitro Enclave uitvoer of nie.

Nitro Enclave CLI installasie

Volg al die instruksies uit die dokumentasie. Hierdie is egter die belangrikste:

# Install tools
sudo amazon-linux-extras install aws-nitro-enclaves-cli -y
sudo yum install aws-nitro-enclaves-cli-devel -y

# Config perms
sudo usermod -aG ne $USER
sudo usermod -aG docker $USER

# Check installation
nitro-cli --version

# Start and enable the Nitro Enclaves allocator service.
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

Nitro Enclave Beelde

Die beelde wat jy in Nitro Enclave kan hardloop, is gebaseer op docker beelde, so jy kan jou Nitro Enclave beelde van docker beelde soos:

# You need to have the docker image accesible in your running local registry
# Or indicate the full docker image URL to access the image
nitro-cli build-enclave --docker-uri <docker-img>:<tag> --output-file nitro-img.eif

Soos jy kan sien, gebruik die Nitro Enclave beelde die uitbreiding eif (Enclave Image File).

Die uitvoer sal soortgelyk lyk aan:

Using the locally available Docker image...
Enclave Image successfully created.
{
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}

Run an Image

Soos per die dokumentasie, om 'n enclave-beeld te laat loop, moet jy dit toewys met geheue van ten minste 4 keer die grootte van die eif lêer. Dit is moontlik om die standaardhulpbronne wat aan dit gegee moet word in die lêer te konfigureer.

/etc/nitro_enclaves/allocator.yaml

Onthou altyd dat jy ook 'n paar hulpbronne vir die ouer EC2 instansie moet bespreek!

Nadat jy die hulpbronne weet wat aan 'n beeld gegee moet word en selfs die konfigurasie-lêer gewysig het, is dit moontlik om 'n enklave-beeld te laat loop met:

# Restart the service so the new default values apply
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

# Indicate the CPUs and memory to give
nitro-cli run-enclave --cpu-count 2 --memory 3072 --eif-path hello.eif --debug-mode --enclave-cid 16

Tel Enklaves

As jy 'n EC2-gasheer kompromitteer, is dit moontlik om 'n lys van lopende enklave-beelde te verkry met:

nitro-cli describe-enclaves

Dit is nie moontlik om 'n shell binne 'n lopende enklave-beeld te kry nie, omdat dit die hoofdoel van die enklave is, maar as jy die parameter --debug-mode gebruik, is dit moontlik om die stdout daarvan te kry met:

ENCLAVE_ID=$(nitro-cli describe-enclaves | jq -r ".[0].EnclaveID")
nitro-cli console --enclave-id ${ENCLAVE_ID}

Terminate Enclaves

As 'n aanvaller 'n EC2-instantie kompromitteer, sal hy standaard nie in staat wees om 'n shell binne-in hulle te kry nie, maar hy sal in staat wees om hulle te terminate met:

nitro-cli terminate-enclave --enclave-id ${ENCLAVE_ID}

Vsocks

Die enigste manier om te kommunikeer met 'n enclave wat 'n beeld uitvoer, is deur vsocks.

Virtual Socket (vsock) is 'n sokketfamilie in Linux wat spesifiek ontwerp is om kommunikasie tussen virtuele masjiene (VMs) en hul hypervisors, of tussen VMs selfs te fasiliteer. Vsock stel doeltreffende, bi-rigting kommunikasie in staat sonder om op die gasheer se netwerkstapel te staatmaak. Dit maak dit moontlik vir VMs om te kommunikeer selfs sonder netwerk konfigurasies, met 'n 32-bis Context ID (CID) en poortnommers om verbindings te identifiseer en te bestuur. Die vsock API ondersteun beide stroom- en datagram sokket tipes, soortgelyk aan TCP en UDP, wat 'n veelsydige hulpmiddel bied vir gebruikersvlak toepassings in virtuele omgewings.

Daarom lyk 'n vsock adres soos volg: <CID>:<Port>

Om CIDs van die enclave wat beelde uitvoer te vind, kan jy eenvoudig die volgende cmd uitvoer en die EnclaveCID kry:

nitro-cli describe-enclaves

[
{
"EnclaveName": "secure-channel-example",
"EnclaveID": "i-0bc274f83ade02a62-enc18ef3d09c886748",
"ProcessID": 10131,
    "EnclaveCID": 16,
    "NumberOfCPUs": 2,
"CPUIDs": [
1,
3
],
"MemoryMiB": 1024,
"State": "RUNNING",
"Flags": "DEBUG_MODE",
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}
]

Let daarop dat daar van die gasheer af geen manier is om te weet of 'n CID enige poort blootstel nie! Tensy jy 'n paar vsock poort skandeerder soos https://github.com/carlospolop/Vsock-scanner gebruik.

Vsock Server/Listener

Vind hier 'n paar voorbeelde:

https://github.com/aws-samples/aws-nitro-enclaves-workshop/blob/main/resources/code/my-first-enclave/secure-local-channel/server.py

Simple Python Listener

```python #!/usr/bin/env python3

From

https://medium.com/@F.DL/understanding-vsock-684016cf0eb0

import socket

CID = socket.VMADDR_CID_HOST PORT = 9999

s = socket.socket(socket.AF_VSOCK, socket.SOCK_STREAM) s.bind((CID, PORT)) s.listen() (conn, (remote_cid, remote_port)) = s.accept()

print(f"Connection opened by cid={remote_cid} port={remote_port}")

while True: buf = conn.recv(64) if not buf: break

print(f"Received bytes: {buf}")

</details>
```bash
# Using socat
socat VSOCK-LISTEN:<port>,fork EXEC:"echo Hello from server!"

Vsock Kliënt

Voorbeelde:

https://github.com/aws-samples/aws-nitro-enclaves-workshop/blob/main/resources/code/my-first-enclave/secure-local-channel/client.py

PreviousAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum NextAWS - VPC & Networking Basic Information

Last updated 3 days ago