AWS - EBS Snapshot Dump
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Nota que dsnap
no te permitirá descargar instantáneas públicas. Para eludir esto, puedes hacer una copia de la instantánea en tu cuenta personal y descargar eso:
Para más información sobre esta técnica, consulta la investigación original en https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Puedes hacer esto con Pacu usando el módulo ebs__download_snapshots
Móntalo en una VM de EC2 bajo tu control (debe estar en la misma región que la copia de la copia de seguridad):
Paso 1: Se debe crear un nuevo volumen del tamaño y tipo que prefieras dirigiéndote a EC2 –> Volúmenes.
Para poder realizar esta acción, sigue estos comandos:
Crea un volumen EBS para adjuntar a la instancia de EC2.
Asegúrate de que el volumen EBS y la instancia estén en la misma zona.
Paso 2: Se debe seleccionar la opción "adjuntar volumen" haciendo clic derecho en el volumen creado.
Paso 3: Se debe seleccionar la instancia del cuadro de texto de la instancia.
Para poder realizar esta acción, utiliza el siguiente comando:
Adjunta el volumen EBS.
Paso 4: Inicia sesión en la instancia de EC2 y lista los discos disponibles usando el comando lsblk
.
Paso 5: Verifica si el volumen tiene datos usando el comando sudo file -s /dev/xvdf
.
Si la salida del comando anterior muestra "/dev/xvdf: data", significa que el volumen está vacío.
Paso 6: Formatea el volumen al sistema de archivos ext4 usando el comando sudo mkfs -t ext4 /dev/xvdf
. Alternativamente, también puedes usar el formato xfs usando el comando sudo mkfs -t xfs /dev/xvdf
. Ten en cuenta que debes usar ext4 o xfs.
Paso 7: Crea un directorio de tu elección para montar el nuevo volumen ext4. Por ejemplo, puedes usar el nombre "newvolume".
Para poder realizar esta acción, utiliza el comando sudo mkdir /newvolume
.
Paso 8: Monta el volumen en el directorio "newvolume" usando el comando sudo mount /dev/xvdf /newvolume/
.
Paso 9: Cambia al directorio "newvolume" y verifica el espacio en disco para validar el montaje del volumen.
Para poder realizar esta acción, utiliza los siguientes comandos:
Cambia al directorio /newvolume
.
Verifica el espacio en disco usando el comando df -h .
. La salida de este comando debería mostrar el espacio libre en el directorio "newvolume".
Puedes hacer esto con Pacu usando el módulo ebs__explore_snapshots
.
Cualquier usuario de AWS que posea el permiso EC2:CreateSnapshot
puede robar los hashes de todos los usuarios del dominio creando una instantánea del Controlador de Dominio, montándola en una instancia que controlan y exportando el archivo NTDS.dit y el registro SYSTEM para su uso con el proyecto secretsdump de Impacket.
Puedes usar esta herramienta para automatizar el ataque: https://github.com/Static-Flow/CloudCopy o podrías usar una de las técnicas anteriores después de crear una instantánea.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)