AWS - SSM Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Για περισσότερες πληροφορίες σχετικά με το SSM, ελέγξτε:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommandΈνας επιτιθέμενος με την άδεια ssm:SendCommand μπορεί να εκτελεί εντολές σε instances που εκτελούν τον Amazon SSM Agent και να συμβιβάσει τον IAM Ρόλο που εκτελείται μέσα σε αυτόν.
Σε περίπτωση που χρησιμοποιείτε αυτή την τεχνική για να κλιμακώσετε τα προνόμια μέσα σε μια ήδη παραβιασμένη EC2 instance, μπορείτε απλά να καταγράψετε το rev shell τοπικά με:
Πιθανές Επιπτώσεις: Άμεσο privesc στους ρόλους IAM EC2 που είναι συνδεδεμένοι σε εκτελούμενες περιπτώσεις με εκτελούμενους SSM Agents.
ssm:StartSessionΈνας επιτιθέμενος με την άδεια ssm:StartSession μπορεί να ξεκινήσει μια συνεδρία παρόμοια με SSH σε περιπτώσεις που εκτελούν τον Amazon SSM Agent και να παραβιάσει τον IAM Ρόλο που εκτελείται μέσα σε αυτόν.
Για να ξεκινήσετε μια συνεδρία, χρειάζεστε το SessionManagerPlugin εγκατεστημένο: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Πιθανές Επιπτώσεις: Άμεση εκμετάλλευση των ρόλων IAM EC2 που είναι συνδεδεμένοι σε εκτελούμενες παρουσίες με SSM Agents.
Όταν οι ECS εργασίες εκτελούνται με ExecuteCommand ενεργοποιημένο, οι χρήστες με αρκετά δικαιώματα μπορούν να χρησιμοποιήσουν ecs execute-command για να εκτελέσουν μια εντολή μέσα στο κοντέινερ.
Σύμφωνα με την τεκμηρίωση, αυτό γίνεται δημιουργώντας ένα ασφαλές κανάλι μεταξύ της συσκευής που χρησιμοποιείτε για να ξεκινήσετε την εντολή “exec” και του στοχευμένου κοντέινερ με τον SSM Session Manager. (Απαιτείται το SSM Session Manager Plugin για να λειτουργήσει)
Επομένως, οι χρήστες με ssm:StartSession θα μπορούν να αποκτήσουν πρόσβαση σε ένα shell μέσα στις ECS εργασίες με αυτήν την επιλογή ενεργοποιημένη απλά εκτελώντας:
Πιθανές Επιπτώσεις: Άμεση εκμετάλλευση δικαιωμάτων προς τους ECS IAM ρόλους που είναι συνδεδεμένοι σε εκτελούμενα καθήκοντα με ενεργοποιημένο το ExecuteCommand.
ssm:ResumeSessionΈνας επιτιθέμενος με την άδεια ssm:ResumeSession μπορεί να επαν-ξεκινήσει μια συνεδρία παρόμοια με SSH σε περιπτώσεις που εκτελούν τον Amazon SSM Agent με κατάσταση συνεδρίας SSM αποσυνδεδεμένη και να παραβιάσει τον IAM Ρόλο που εκτελείται μέσα σε αυτήν.
Πιθανές Επιπτώσεις: Άμεση εκμετάλλευση δικαιωμάτων προς τους ρόλους IAM EC2 που είναι συνδεδεμένοι σε εκτελούμενες περιπτώσεις με εκτελούμενους SSM Agents και αποσυνδεδεμένες συνεδρίες.
ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)Ένας επιτιθέμενος με τις αναφερόμενες άδειες θα είναι σε θέση να καταγράψει τις παραμέτρους SSM και να τις διαβάσει σε καθαρό κείμενο. Σε αυτές τις παραμέτρους μπορείτε συχνά να βρείτε ευαίσθητες πληροφορίες όπως κλειδιά SSH ή κλειδιά API.
Πιθανές Επιπτώσεις: Βρείτε ευαίσθητες πληροφορίες μέσα στις παραμέτρους.
ssm:ListCommandsΈνας επιτιθέμενος με αυτή την άδεια μπορεί να απαριθμήσει όλες τις εντολές που έχουν σταλεί και ελπίζουμε να βρει ευαίσθητες πληροφορίες σε αυτές.
Πιθανές Επιπτώσεις: Βρείτε ευαίσθητες πληροφορίες μέσα στις γραμμές εντολών.
ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να απαριθμήσει όλες τις εντολές που έχουν σταλεί και να διαβάσει την έξοδο που έχει παραχθεί ελπίζοντας να βρει ευαίσθητες πληροφορίες σε αυτήν.
Πιθανές Επιπτώσεις: Βρείτε ευαίσθητες πληροφορίες μέσα στην έξοδο των γραμμών εντολών.
Μπορείτε επίσης να χρησιμοποιήσετε το SSM για να μπείτε σε ένα έργο codebuild που κατασκευάζεται:
AWS - Codebuild PrivescΜάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
