AWS - EBS Snapshot Dump
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Hinweis dass dsnap
es nicht erlaubt, öffentliche Snapshots herunterzuladen. Um dies zu umgehen, können Sie eine Kopie des Snapshots in Ihrem persönlichen Konto erstellen und diesen herunterladen:
Für weitere Informationen zu dieser Technik siehe die ursprüngliche Forschung unter https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Du kannst dies mit Pacu unter Verwendung des Moduls ebs__download_snapshots tun.
Mounten Sie es in einer EC2-VM unter Ihrer Kontrolle (es muss sich in derselben Region wie die Kopie des Backups befinden):
Schritt 1: Ein neues Volume Ihrer bevorzugten Größe und Art ist zu erstellen, indem Sie zu EC2 –> Volumes gehen.
Um diese Aktion auszuführen, folgen Sie diesen Befehlen:
Erstellen Sie ein EBS-Volume, um es an die EC2-Instanz anzuhängen.
Stellen Sie sicher, dass das EBS-Volume und die Instanz in derselben Zone sind.
Schritt 2: Die Option "Volume anhängen" ist auszuwählen, indem Sie mit der rechten Maustaste auf das erstellte Volume klicken.
Schritt 3: Die Instanz aus dem Textfeld der Instanz ist auszuwählen.
Um diese Aktion auszuführen, verwenden Sie den folgenden Befehl:
Hängen Sie das EBS-Volume an.
Schritt 4: Melden Sie sich bei der EC2-Instanz an und listen Sie die verfügbaren Festplatten mit dem Befehl lsblk
auf.
Schritt 5: Überprüfen Sie, ob das Volume Daten enthält, indem Sie den Befehl sudo file -s /dev/xvdf
verwenden.
Wenn die Ausgabe des obigen Befehls "/dev/xvdf: data" anzeigt, bedeutet dies, dass das Volume leer ist.
Schritt 6: Formatieren Sie das Volume mit dem ext4-Dateisystem, indem Sie den Befehl sudo mkfs -t ext4 /dev/xvdf
verwenden. Alternativ können Sie auch das xfs-Format verwenden, indem Sie den Befehl sudo mkfs -t xfs /dev/xvdf
verwenden. Bitte beachten Sie, dass Sie entweder ext4 oder xfs verwenden sollten.
Schritt 7: Erstellen Sie ein Verzeichnis Ihrer Wahl, um das neue ext4-Volume zu mounten. Zum Beispiel können Sie den Namen "newvolume" verwenden.
Um diese Aktion auszuführen, verwenden Sie den Befehl sudo mkdir /newvolume
.
Schritt 8: Mounten Sie das Volume im Verzeichnis "newvolume" mit dem Befehl sudo mount /dev/xvdf /newvolume/
.
Schritt 9: Wechseln Sie in das Verzeichnis "newvolume" und überprüfen Sie den Speicherplatz, um das Volume-Mount zu validieren.
Um diese Aktion auszuführen, verwenden Sie die folgenden Befehle:
Wechseln Sie in das Verzeichnis /newvolume
.
Überprüfen Sie den Speicherplatz mit dem Befehl df -h .
. Die Ausgabe dieses Befehls sollte den freien Speicherplatz im Verzeichnis "newvolume" anzeigen.
Sie können dies mit Pacu unter Verwendung des Moduls ebs__explore_snapshots
tun.
Jeder AWS-Benutzer, der die Berechtigung EC2:CreateSnapshot
besitzt, kann die Hashes aller Domänenbenutzer stehlen, indem er eine Snapshot des Domänencontrollers erstellt, ihn an eine Instanz, die er kontrolliert, anbindet und die NTDS.dit und SYSTEM Registrierungs-Hive-Datei für die Verwendung mit Impacket's secretsdump-Projekt exportiert.
Sie können dieses Tool verwenden, um den Angriff zu automatisieren: https://github.com/Static-Flow/CloudCopy oder Sie könnten eine der vorherigen Techniken nach dem Erstellen eines Snapshots verwenden.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)