AWS - Lambda Enum

Support HackTricks

Lambda

Amazon Web Services (AWS) Lambda se describe como un servicio de computación que permite la ejecución de código sin la necesidad de aprovisionar o gestionar servidores. Se caracteriza por su capacidad de manejar automáticamente la asignación de recursos necesarios para la ejecución del código, asegurando características como alta disponibilidad, escalabilidad y seguridad. Un aspecto significativo de Lambda es su modelo de precios, donde los cargos se basan únicamente en el tiempo de computación utilizado, eliminando la necesidad de inversiones iniciales u obligaciones a largo plazo.

Para llamar a una lambda, es posible llamarla tan frecuentemente como desees (con Cloudwatch), exponer un endpoint de URL y llamarlo, llamarlo a través de API Gateway o incluso basarse en eventos como cambios en los datos en un bucket de S3 o actualizaciones a una tabla de DynamoDB.

El código de una lambda se almacena en /var/task.

Pesos de Alias de Lambda

Una Lambda puede tener varias versiones. Y puede tener más de 1 versión expuesta a través de alias. Los pesos de cada una de las versiones expuestas dentro de un alias decidirán qué alias recibe la invocación (puede ser 90%-10% por ejemplo). Si el código de uno de los alias es vulnerable, puedes enviar solicitudes hasta que la versión vulnerable reciba el exploit.

Políticas de Recursos

Las políticas de recursos de Lambda permiten dar acceso a otros servicios/cuentas para invocar la lambda, por ejemplo. Por ejemplo, esta es la política para permitir que cualquiera acceda a una lambda expuesta a través de URL:

O esta para permitir que un API Gateway lo invoque:

Proxies de Base de Datos de Lambda

Cuando hay cientos de solicitudes concurrentes de lambda, si cada una de ellas necesita conectar y cerrar una conexión a una base de datos, simplemente no funcionará (las lambdas son sin estado, no pueden mantener conexiones abiertas). Entonces, si tus funciones Lambda interactúan con RDS Proxy en lugar de tu instancia de base de datos. Maneja el agrupamiento de conexiones necesario para escalar muchas conexiones simultáneas creadas por funciones Lambda concurrentes. Esto permite que tus aplicaciones Lambda reutilicen conexiones existentes, en lugar de crear nuevas conexiones para cada invocación de función.

Sistemas de Archivos EFS de Lambda

Para preservar e incluso compartir datos, las Lambdas pueden acceder a EFS y montarlos, por lo que Lambda podrá leer y escribir desde ellos.

Capas de Lambda

Una capa de Lambda es un archivo .zip que puede contener código adicional u otro contenido. Una capa puede contener bibliotecas, un runtime personalizado, datos o archivos de configuración.

Es posible incluir hasta cinco capas por función. Cuando incluyes una capa en una función, el contenido se extrae en el directorio /opt en el entorno de ejecución.

Por defecto, las capas que creas son privadas para tu cuenta de AWS. Puedes elegir compartir una capa con otras cuentas o hacer que la capa sea pública. Si tus funciones consumen una capa que una cuenta diferente publicó, tus funciones pueden seguir utilizando la versión de la capa después de que haya sido eliminada, o después de que se revoque tu permiso para acceder a la capa. Sin embargo, no puedes crear una nueva función o actualizar funciones utilizando una versión de capa eliminada.

Las funciones desplegadas como una imagen de contenedor no utilizan capas. En su lugar, empaquetas tu runtime preferido, bibliotecas y otras dependencias en la imagen de contenedor cuando construyes la imagen.

Extensiones de Lambda

Las extensiones de Lambda mejoran las funciones al integrarse con varias herramientas de monitoreo, observabilidad, seguridad y gobernanza. Estas extensiones, añadidas a través de .zip archives usando capas de Lambda o incluidas en despliegues de imágenes de contenedor, operan en dos modos: interno y externo.

  • Las extensiones internas se fusionan con el proceso de ejecución, manipulando su inicio utilizando variables de entorno específicas del lenguaje y scripts envolventes. Esta personalización se aplica a una variedad de runtimes, incluyendo Java Correto 8 y 11, Node.js 10 y 12, y .NET Core 3.1.

  • Las extensiones externas se ejecutan como procesos separados, manteniendo la alineación de operación con el ciclo de vida de la función Lambda. Son compatibles con varios runtimes como Node.js 10 y 12, Python 3.7 y 3.8, Ruby 2.5 y 2.7, Java Corretto 8 y 11, .NET Core 3.1, y runtimes personalizados.

Enumeración

aws lambda get-account-settings

# List functions and get extra config info
aws lambda list-functions
aws lambda get-function --function-name <function_name>
aws lambda get-function-configuration --function-name <function_name>
aws lambda list-function-event-invoke-configs --function-name <function_name>
## Check for creds in env vars
aws lambda list-functions | jq '.Functions[].Environment'
## Download & check the source code
aws lambda get-function --function-name "<func_name>" --query 'Code.Location'
wget -O lambda-function.zip <url-from-previous-query>

# Get Lambda URL (if any)
aws lambda list-function-url-configs --function-name <function_name>
aws lambda get-function-url-config --function-name <function_name>

# Get who has permissions to invoke the Lambda
aws lambda get-policy --function-name <function_name>

# Versions and Aliases
aws lambda list-versions-by-function --function-name <func_name>
aws lambda list-aliases --function-name <func_name>

# List layers
aws lambda list-layers
aws lambda list-layer-versions --layer-name <name>
aws lambda get-layer-version --layer-name <name> --version-number <ver>
aws lambda get-layer-version-by-arn --arn <name> #Get external ARNs

# List other metadata
aws lambda list-event-source-mappings
aws lambda list-code-signing-configs
aws lambda list-functions-by-code-signing-config --code-signing-config-arn <arn>

Invocar una lambda

Manual

# Invoke function
aws lambda invoke --function-name FUNCTION_NAME /tmp/out
## Some functions will expect parameters, they will access them with something like:
## target_policys = event['policy_names']
## user_name = event['user_name']
aws lambda invoke --function-name <name> --cli-binary-format raw-in-base64-out --payload '{"policy_names": ["AdministratorAccess], "user_name": "sdf"}' out.txt

A través de URL expuesta

aws lambda list-function-url-configs --function-name <function_name> #Get lambda URL
aws lambda get-function-url-config   --function-name <function_name> #Get lambda URL

Llamar a la función Lambda a través de URL

Ahora es el momento de descubrir posibles funciones lambda para ejecutar:

aws --region us-west-2 --profile level6 lambda list-functions

Una función lambda llamada "Level6" está disponible. Vamos a averiguar cómo llamarla:

aws --region us-west-2 --profile level6 lambda get-policy --function-name Level6

Ahora que conoces el nombre y el ID, puedes obtener el Nombre:

aws --profile level6 --region us-west-2 apigateway get-stages --rest-api-id "s33ppypa75"

Y finalmente llama a la función accediendo (nota que el ID, Nombre y nombre de la función aparecen en la URL): https://s33ppypa75.execute-api.us-west-2.amazonaws.com/Prod/level6

URL:https://<rest-api-id>.execute-api.<region>.amazonaws.com/<stageName>/<funcName>

Otros Disparadores

Hay muchas otras fuentes que pueden activar un lambda

Privesc

En la siguiente página puedes verificar cómo abusar de los permisos de Lambda para escalar privilegios:

Acceso No Autenticado

Post Explotación

Persistencia

Referencias

Apoya a HackTricks

Last updated