Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SSMに関する詳細情報は次を確認してください:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
ssm:SendCommandssm:SendCommand の権限を持つ攻撃者は、Amazon SSMエージェントを実行しているインスタンスでコマンドを実行し、その中で実行されているIAMロールを侵害することができます。
潜在的な影響: SSMエージェントが実行されているインスタンスにアタッチされたEC2 IAMロールへの直接的な権限昇格。
ssm:StartSessionssm:StartSession の権限を持つ攻撃者は、Amazon SSMエージェントが実行されているインスタンスでSSHのようなセッションを開始し、その中で実行されているIAMロールを侵害することができます。
セッションを開始するには、SessionManagerPluginをインストールする必要があります: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
潜在的な影響: SSMエージェントが実行されているインスタンスにアタッチされたEC2 IAMロールへの直接的な権限昇格。
ECSタスクが**ExecuteCommandを有効にして実行されると**、十分な権限を持つユーザーはecs execute-commandを使用してコンテナ内でコマンドを実行できます。
ドキュメントによると、これは“exec”コマンドを開始するために使用するデバイスと、SSMセッションマネージャーを使用したターゲットコンテナとの間に安全なチャネルを作成することによって行われます。(これが機能するためにはSSMセッションマネージャープラグインが必要です)
したがって、ssm:StartSessionを持つユーザーは、そのオプションを有効にしてECSタスク内でシェルを取得できるようになります。
潜在的影響: ExecuteCommandが有効な実行中のタスクに添付されたECSIAMロールへの直接的な権限昇格。
ssm:ResumeSessionssm:ResumeSessionの権限を持つ攻撃者は、切断されたSSMセッション状態のAmazon SSMエージェントが実行されているインスタンスでSSHのようなセッションを再開始し、その中で実行されているIAMロールを侵害することができます。
潜在的な影響: SSMエージェントが実行されているインスタンスに接続されたEC2 IAMロールへの直接的な権限昇格と切断されたセッション。
ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)言及された権限を持つ攻撃者は、SSMパラメータをリストし、平文で読むことができるようになります。これらのパラメータには、SSHキーやAPIキーなどの機密情報が頻繁に見つかることがあります。
潜在的な影響: パラメータ内の機密情報を見つける。
ssm:ListCommandsこの権限を持つ攻撃者は、送信されたすべてのコマンドをリストし、そこに機密情報が含まれていることを期待できます。
潜在的な影響: コマンドライン内の機密情報を見つける。
ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)これらの権限を持つ攻撃者は、送信されたすべてのコマンドをリストし、生成された出力を読み取ることができ、そこに機密情報を見つけることが期待されます。
潜在的影響: コマンドラインの出力内に機密情報を見つける。
SSMを使用して、ビルド中のcodebuildプロジェクトにアクセスすることもできます:
AWS - Codebuild PrivescAWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
