AWS - EBS Snapshot Dump
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
참고: dsnap
은 공개 스냅샷을 다운로드할 수 없습니다. 이를 우회하려면 스냅샷을 개인 계정에 복사한 후 해당 스냅샷을 다운로드할 수 있습니다:
이 기술에 대한 자세한 정보는 https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/의 원본 연구를 확인하세요.
Pacu를 사용하여 ebs__download_snapshots 모듈로 이 작업을 수행할 수 있습니다.
당신의 제어 하에 있는 EC2 VM에 마운트하기 (백업 복사본과 동일한 지역에 있어야 함):
1단계: EC2 –> 볼륨으로 이동하여 원하는 크기와 유형의 새 볼륨을 생성합니다.
이 작업을 수행하려면 다음 명령을 따르십시오:
EC2 인스턴스에 연결할 EBS 볼륨을 생성합니다.
EBS 볼륨과 인스턴스가 동일한 존에 있는지 확인합니다.
2단계: 생성된 볼륨을 마우스 오른쪽 버튼으로 클릭하여 "볼륨 연결" 옵션을 선택합니다.
3단계: 인스턴스 텍스트 상자에서 인스턴스를 선택합니다.
이 작업을 수행하려면 다음 명령을 사용하십시오:
EBS 볼륨을 연결합니다.
4단계: EC2 인스턴스에 로그인하고 lsblk
명령을 사용하여 사용 가능한 디스크를 나열합니다.
5단계: sudo file -s /dev/xvdf
명령을 사용하여 볼륨에 데이터가 있는지 확인합니다.
위 명령의 출력이 "/dev/xvdf: data"를 보여주면 볼륨이 비어 있다는 의미입니다.
6단계: sudo mkfs -t ext4 /dev/xvdf
명령을 사용하여 볼륨을 ext4 파일 시스템으로 포맷합니다. 또는 sudo mkfs -t xfs /dev/xvdf
명령을 사용하여 xfs 형식도 사용할 수 있습니다. ext4 또는 xfs 중 하나를 사용해야 함을 유의하십시오.
7단계: 새 ext4 볼륨을 마운트할 선택한 디렉토리를 생성합니다. 예를 들어 "newvolume"이라는 이름을 사용할 수 있습니다.
이 작업을 수행하려면 sudo mkdir /newvolume
명령을 사용하십시오.
8단계: sudo mount /dev/xvdf /newvolume/
명령을 사용하여 볼륨을 "newvolume" 디렉토리에 마운트합니다.
9단계: "newvolume" 디렉토리로 이동하고 디스크 공간을 확인하여 볼륨 마운트를 검증합니다.
이 작업을 수행하려면 다음 명령을 사용하십시오:
/newvolume
으로 디렉토리를 변경합니다.
df -h .
명령을 사용하여 디스크 공간을 확인합니다. 이 명령의 출력은 "newvolume" 디렉토리의 여유 공간을 보여야 합니다.
Pacu를 사용하여 ebs__explore_snapshots
모듈로 이 작업을 수행할 수 있습니다.
EC2:CreateSnapshot
권한을 가진 AWS 사용자는 도메인 컨트롤러의 스냅샷을 생성하여 이를 자신이 제어하는 인스턴스에 마운트하고 NTDS.dit 및 SYSTEM 레지스트리 하이브 파일을 Impacket의 secretsdump 프로젝트에 사용할 수 있도록 내보내어 모든 도메인 사용자 해시를 훔칠 수 있습니다.
이 도구를 사용하여 공격을 자동화할 수 있습니다: https://github.com/Static-Flow/CloudCopy 또는 스냅샷을 생성한 후 이전 기술 중 하나를 사용할 수 있습니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)