AWS - CloudFront Post Exploitation
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
अधिक जानकारी के लिए देखें:
AWS - CloudFront Enumयह ब्लॉग पोस्ट कुछ अलग-अलग परिदृश्यों का प्रस्ताव करता है जहाँ एक Lambda को CloudFront के माध्यम से संचार में जोड़ा (या संशोधित) किया जा सकता है, जिसका उद्देश्य उपयोगकर्ता की जानकारी (जैसे सत्र कुकी) को चुराना और प्रतिक्रिया को संशोधित करना (एक दुर्भावनापूर्ण JS स्क्रिप्ट इंजेक्ट करना) है।
दुर्भावनापूर्ण कार्य बनाएं।
इसे CloudFront वितरण के साथ संलग्न करें।
इवेंट प्रकार को "Viewer Response" पर सेट करें।
प्रतिक्रिया को एक्सेस करके आप उपयोगकर्ताओं की कुकी चुरा सकते हैं और एक दुर्भावनापूर्ण JS इंजेक्ट कर सकते हैं।
संवेदनशील जानकारी चुराने के लिए lambda फ़ंक्शन का कोड संशोधित करें।
आप यहाँ इन परिदृश्यों को फिर से बनाने के लिए tf कोड देख सकते हैं.
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)