AWS - RDS Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre RDS consulta:
AWS - Relational Database (RDS) Enumrds:ModifyDBInstance
Con ese permiso, un atacante puede modificar la contraseña del usuario maestro, y el inicio de sesión dentro de la base de datos:
Necesitarás poder contactar a la base de datos (generalmente solo son accesibles desde redes internas).
Impacto Potencial: Encontrar información sensible dentro de las bases de datos.
Según los docs, un usuario con este permiso podría conectarse a la instancia de DB.
Si al ejecutar SELECT datname FROM pg_database;
encuentras una base de datos llamada rdsadmin
, sabes que estás dentro de una base de datos postgresql de AWS.
Primero puedes verificar si esta base de datos ha sido utilizada para acceder a algún otro servicio de AWS. Podrías comprobar esto mirando las extensiones instaladas:
Si encuentras algo como aws_s3
puedes asumir que esta base de datos tiene algún tipo de acceso sobre S3 (hay otras extensiones como aws_ml
y aws_lambda
).
Además, si tienes permisos para ejecutar aws rds describe-db-clusters
puedes ver allí si el clúster tiene algún rol de IAM adjunto en el campo AssociatedRoles
. Si hay alguno, puedes asumir que la base de datos fue preparada para acceder a otros servicios de AWS. Basado en el nombre del rol (o si puedes obtener los permisos del rol) podrías adivinar qué acceso adicional tiene la base de datos.
Ahora, para leer un archivo dentro de un bucket necesitas conocer la ruta completa. Puedes leerlo con:
Si tuvieras credenciales de AWS en bruto, también podrías usarlas para acceder a datos de S3 con:
Postgresql no necesita cambiar ninguna variable del grupo de parámetros para poder acceder a S3.
Dentro de un mysql, si ejecutas la consulta SELECT User, Host FROM mysql.user;
y hay un usuario llamado rdsadmin
, puedes asumir que estás dentro de una base de datos mysql de AWS RDS.
Dentro del mysql ejecuta show variables;
y si las variables como aws_default_s3_role
, aurora_load_from_s3_role
, aurora_select_into_s3_role
, tienen valores, puedes asumir que la base de datos está preparada para acceder a datos de S3.
Además, si tienes permisos para ejecutar aws rds describe-db-clusters
puedes verificar si el clúster tiene algún rol asociado, lo que generalmente significa acceso a servicios de AWS).
Ahora, para leer un archivo dentro de un bucket necesitas conocer la ruta completa. Puedes leerlo con:
rds:AddRoleToDBCluster
, iam:PassRole
Un atacante con los permisos rds:AddRoleToDBCluster
y iam:PassRole
puede agregar un rol específico a una instancia RDS existente. Esto podría permitir al atacante acceder a datos sensibles o modificar los datos dentro de la instancia.
Impacto Potencial: Acceso a datos sensibles o modificaciones no autorizadas a los datos en la instancia RDS. Tenga en cuenta que algunas bases de datos requieren configuraciones adicionales, como Mysql, que necesita especificar el ARN del rol en los grupos de parámetros también.
rds:CreateDBInstance
Solo con este permiso, un atacante podría crear una nueva instancia dentro de un clúster que ya existe y tiene un rol IAM adjunto. No podrá cambiar la contraseña del usuario maestro, pero podría exponer la nueva instancia de base de datos a Internet:
rds:CreateDBInstance
, iam:PassRole
TODO: Probar
Un atacante con los permisos rds:CreateDBInstance
y iam:PassRole
puede crear una nueva instancia de RDS con un rol especificado adjunto. El atacante puede entonces potencialmente acceder a datos sensibles o modificar los datos dentro de la instancia.
Algunos requisitos del rol/perfil de instancia para adjuntar (de aquí):
El perfil debe existir en tu cuenta.
El perfil debe tener un rol IAM que Amazon EC2 tenga permisos para asumir.
El nombre del perfil de instancia y el nombre del rol IAM asociado deben comenzar con el prefijo AWSRDSCustom
.
Impacto Potencial: Acceso a datos sensibles o modificaciones no autorizadas a los datos en la instancia RDS.
rds:AddRoleToDBInstance
, iam:PassRole
Un atacante con los permisos rds:AddRoleToDBInstance
y iam:PassRole
puede agregar un rol especificado a una instancia RDS existente. Esto podría permitir al atacante acceder a datos sensibles o modificar los datos dentro de la instancia.
La instancia de DB debe estar fuera de un clúster para esto
Impacto Potencial: Acceso a datos sensibles o modificaciones no autorizadas a los datos en la instancia RDS.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)