AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn what a VPC is and about its components in:
AWS - VPC & Networking Basic InformationAmazon EC2 se utiliza para iniciar servidores virtuales. Permite la configuración de seguridad y redes y la gestión de almacenamiento. La flexibilidad de Amazon EC2 es evidente en su capacidad para escalar recursos tanto hacia arriba como hacia abajo, adaptándose efectivamente a los cambios en los requisitos o aumentos en la popularidad. Esta característica disminuye la necesidad de predicciones precisas de tráfico.
Cosas interesantes para enumerar en EC2:
Máquinas Virtuales
Claves SSH
Datos de Usuario
EC2s/AMIs/Snapshots existentes
Redes
Redes
Subredes
IPs Públicas
Puertos abiertos
Conexiones integradas con otras redes fuera de AWS
Usar roles para otorgar permisos a aplicaciones que se ejecutan en instancias EC2 requiere un poco de configuración adicional. Una aplicación que se ejecuta en una instancia EC2 está abstraída de AWS por el sistema operativo virtualizado. Debido a esta separación adicional, necesitas un paso adicional para asignar un rol de AWS y sus permisos asociados a una instancia EC2 y hacerlos disponibles para sus aplicaciones.
Este paso adicional es la creación de un perfil de instancia adjunto a la instancia. El perfil de instancia contiene el rol y puede proporcionar las credenciales temporales del rol a una aplicación que se ejecuta en la instancia. Esas credenciales temporales pueden ser utilizadas en las llamadas API de la aplicación para acceder a recursos y limitar el acceso solo a aquellos recursos que el rol especifica. Ten en cuenta que solo se puede asignar un rol a una instancia EC2 a la vez, y todas las aplicaciones en la instancia comparten el mismo rol y permisos.
Los metadatos de AWS EC2 son información sobre una instancia de Amazon Elastic Compute Cloud (EC2) que está disponible para la instancia en tiempo de ejecución. Estos metadatos se utilizan para proporcionar información sobre la instancia, como su ID de instancia, la zona de disponibilidad en la que se está ejecutando, el rol de IAM asociado con la instancia y el nombre de host de la instancia.
En la siguiente página puedes verificar cómo abusar de los permisos de EC2 para escalar privilegios:
AWS - EC2 PrivescAmazon EBS (Elastic Block Store) snapshots son básicamente copias de seguridad estáticas de volúmenes de AWS EBS. En otras palabras, son copias de los discos adjuntos a una instancia EC2 en un momento específico. Los snapshots de EBS pueden ser copiados entre regiones y cuentas, o incluso descargados y ejecutados localmente.
Los snapshots pueden contener información sensible como código fuente o claves de API, por lo tanto, si tienes la oportunidad, se recomienda revisarlo.
Una AMI se utiliza para lanzar una instancia EC2, mientras que un Snapshot de EC2 se utiliza para respaldar y recuperar datos almacenados en un volumen EBS. Aunque un Snapshot de EC2 puede ser utilizado para crear una nueva AMI, no es lo mismo que una AMI, y no incluye información sobre el sistema operativo, servidor de aplicaciones u otro software requerido para ejecutar una aplicación.
En la siguiente página puedes verificar cómo abusar de los permisos de EBS para escalar privilegios:
AWS - EBS PrivescAmazon Simple Systems Manager (SSM) permite gestionar de forma remota grupos de instancias EC2 para facilitar mucho más su administración. Cada una de estas instancias necesita estar ejecutando el servicio SSM Agent, ya que este será el encargado de recibir las acciones y ejecutarlas desde la API de AWS.
El SSM Agent hace posible que Systems Manager actualice, gestione y configure estos recursos. El agente procesa solicitudes del servicio Systems Manager en la nube de AWS, y luego las ejecuta según lo especificado en la solicitud.
El SSM Agent viene preinstalado en algunas AMIs o necesitas instalarlos manualmente en las instancias. Además, el rol de IAM utilizado dentro de la instancia necesita tener la política AmazonEC2RoleforSSM adjunta para poder comunicarse.
Puedes verificar en una instancia de EC2 si Systems Manager está en ejecución simplemente ejecutando:
En la siguiente página puedes verificar cómo abusar de los permisos de SSM para escalar privilegios:
AWS - SSM PrivescElastic Load Balancing (ELB) es un servicio de balanceo de carga para Amazon Web Services (AWS). ELB distribuye automáticamente el tráfico de aplicación entrante y escala los recursos para satisfacer las demandas de tráfico.
AWS Nitro es un conjunto de tecnologías innovadoras que forman la plataforma subyacente para las instancias de AWS EC2. Introducido por Amazon para mejorar la seguridad, el rendimiento y la fiabilidad, Nitro aprovecha componentes de hardware personalizados y un hipervisor ligero. Abstrae gran parte de la funcionalidad de virtualización tradicional a hardware y software dedicados, minimizando la superficie de ataque y mejorando la eficiencia de los recursos. Al descargar funciones de virtualización, Nitro permite que las instancias de EC2 ofrezcan un rendimiento casi bare-metal, lo que resulta particularmente beneficioso para aplicaciones que requieren muchos recursos. Además, el Nitro Security Chip asegura específicamente la seguridad del hardware y el firmware, solidificando aún más su robusta arquitectura.
Obtén más información y cómo enumerarlo desde:
AWS - Nitro EnumUna VPN permite conectar tu red local (VPN sitio a sitio) o las laptops de los trabajadores (VPN de cliente) con un AWS VPC para que los servicios puedan ser accedidos sin necesidad de exponerlos a internet.
Customer Gateway:
Un Customer Gateway es un recurso que creas en AWS para representar tu lado de una conexión VPN.
Es esencialmente un dispositivo físico o una aplicación de software en tu lado de la conexión VPN sitio a sitio.
Proporcionas información de enrutamiento y la dirección IP pública de tu dispositivo de red (como un enrutador o un firewall) a AWS para crear un Customer Gateway.
Sirve como un punto de referencia para configurar la conexión VPN y no incurre en cargos adicionales.
Virtual Private Gateway:
Un Virtual Private Gateway (VPG) es el concentrador VPN en el lado de Amazon de la conexión VPN sitio a sitio.
Está adjunto a tu VPC y sirve como el objetivo para tu conexión VPN.
VPG es el punto final del lado de AWS para la conexión VPN.
Maneja la comunicación segura entre tu VPC y tu red local.
Site-to-Site VPN Connection:
Una conexión VPN sitio a sitio conecta tu red local a un VPC a través de un túnel VPN IPsec seguro.
Este tipo de conexión requiere un Customer Gateway y un Virtual Private Gateway.
Se utiliza para una comunicación segura, estable y consistente entre tu centro de datos o red y tu entorno AWS.
Típicamente se utiliza para conexiones regulares y a largo plazo y se factura según la cantidad de datos transferidos a través de la conexión.
Client VPN Endpoint:
Un endpoint de Client VPN es un recurso que creas en AWS para habilitar y gestionar sesiones de VPN de cliente.
Se utiliza para permitir que dispositivos individuales (como laptops, smartphones, etc.) se conecten de forma segura a los recursos de AWS o a tu red local.
Se diferencia de la VPN sitio a sitio en que está diseñado para clientes individuales en lugar de conectar redes enteras.
Con Client VPN, cada dispositivo cliente utiliza un software de cliente VPN para establecer una conexión segura.
Puedes encontrar más información sobre los beneficios y componentes de las VPN de AWS aquí.
Credenciales Temporales Locales
Cuando se utiliza el Cliente VPN de AWS para conectarse a una VPN, el usuario generalmente inicia sesión en AWS para obtener acceso a la VPN. Luego, algunas credenciales de AWS se crean y almacenan localmente para establecer la conexión VPN. Estas credenciales se almacenan en $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt
y contienen un AccessKey, un SecretKey y un Token.
Las credenciales pertenecen al usuario arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials
(TODO: investigar más sobre los permisos de estas credenciales).
Archivos de configuración opvn
Si se estableció una conexión VPN, deberías buscar archivos de configuración .opvn
en el sistema. Además, un lugar donde podrías encontrar las configuraciones es en $HOME/.config/AWSVPNClient/OpenVpnConfigs
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)