AWS - EC2 Unauthenticated Enum

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

EC2 及相关服务

公共端口

可以将 虚拟机的任何端口暴露到互联网。根据 暴露端口上运行的内容，攻击者可能会利用它。

SSRF

公共 AMI 和 EBS 快照

AWS 允许 任何人访问下载 AMI 和快照。您可以非常轻松地从自己的账户列出这些资源：

# Public AMIs
aws ec2 describe-images --executable-users all

## Search AMI by ownerID
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `967541184254/`) == `true`]'

## Search AMI by substr ("shared" in the example)
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `shared`) == `true`]'

# Public EBS snapshots (hard-drive copies)
aws ec2 describe-snapshots --restorable-by-user-ids all
aws ec2 describe-snapshots --restorable-by-user-ids all | jq '.Snapshots[] | select(.OwnerId == "099720109477")'

如果你发现一个可以被任何人恢复的快照，请确保查看 AWS - EBS Snapshot Dump 以获取下载和掠夺快照的说明。

公共 URL 模板

# EC2
ec2-{ip-seperated}.compute-1.amazonaws.com
# ELB
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com

列举具有公共IP的EC2实例

aws ec2 describe-instances --query "Reservations[].Instances[?PublicIpAddress!=null].PublicIpAddress" --output text

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousAWS - DynamoDB Unauthenticated Access NextAWS - ECR Unauthenticated Enum

Last updated 3 days ago

EC2 及相关服务

在此页面查看更多信息：

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

公共端口

可以将 虚拟机的任何端口暴露到互联网。根据 暴露端口上运行的内容，攻击者可能会利用它。

SSRF

公共 AMI 和 EBS 快照

AWS 允许 任何人访问下载 AMI 和快照。您可以非常轻松地从自己的账户列出这些资源：

# Public AMIs
aws ec2 describe-images --executable-users all

## Search AMI by ownerID
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `967541184254/`) == `true`]'

## Search AMI by substr ("shared" in the example)
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `shared`) == `true`]'

# Public EBS snapshots (hard-drive copies)
aws ec2 describe-snapshots --restorable-by-user-ids all
aws ec2 describe-snapshots --restorable-by-user-ids all | jq '.Snapshots[] | select(.OwnerId == "099720109477")'

如果你发现一个可以被任何人恢复的快照，请确保查看 AWS - EBS Snapshot Dump 以获取下载和掠夺快照的说明。

公共 URL 模板

# EC2
ec2-{ip-seperated}.compute-1.amazonaws.com
# ELB
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com

列举具有公共IP的EC2实例

aws ec2 describe-instances --query "Reservations[].Instances[?PublicIpAddress!=null].PublicIpAddress" --output text