AWS - RDS Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RDS에 대한 자세한 정보는 다음을 확인하세요:
rds:ModifyDBInstance
이 권한을 통해 공격자는 마스터 사용자 비밀번호를 수정하고 데이터베이스 내에서 로그인할 수 있습니다:
데이터베이스에 연결할 수 있어야 합니다 (일반적으로 내부 네트워크에서만 접근 가능합니다).
잠재적 영향: 데이터베이스 내에서 민감한 정보를 찾습니다.
문서에 따르면, 이 권한을 가진 사용자는 DB 인스턴스에 연결할 수 있습니다.
**SELECT datname FROM pg_database;
**를 실행했을 때 **rdsadmin
**이라는 데이터베이스를 찾으면 AWS postgresql 데이터베이스에 있는 것입니다.
먼저 이 데이터베이스가 다른 AWS 서비스에 접근하는 데 사용되었는지 확인할 수 있습니다. 설치된 확장을 살펴보면 확인할 수 있습니다:
만약 **aws_s3
**와 같은 것을 찾으면 이 데이터베이스가 S3에 대한 어떤 종류의 접근 권한을 가지고 있다고 가정할 수 있습니다 (다른 확장자도 있습니다, 예: aws_ml
및 aws_lambda
).
또한, **aws rds describe-db-clusters
**를 실행할 수 있는 권한이 있다면, AssociatedRoles
필드에서 클러스터에 연결된 IAM 역할이 있는지 확인할 수 있습니다. 만약 있다면, 데이터베이스가 다른 AWS 서비스에 접근하도록 준비되었다고 가정할 수 있습니다. 역할의 이름(또는 역할의 권한을 얻을 수 있다면)을 기반으로 데이터베이스가 어떤 추가 접근 권한을 가지고 있는지 추측할 수 있습니다.
이제 버킷 안의 파일을 읽으려면 전체 경로를 알아야 합니다. 다음과 같이 읽을 수 있습니다:
만약 원시 AWS 자격 증명이 있다면, 다음과 같이 S3 데이터에 접근할 수 있습니다:
Postgresql 은 S3에 접근하기 위해 어떤 파라미터 그룹 변수를 변경할 필요가 없습니다.
mysql 내부에서 SELECT User, Host FROM mysql.user;
쿼리를 실행했을 때 **rdsadmin
**이라는 사용자가 있다면, AWS RDS mysql db 내부에 있다고 가정할 수 있습니다.
mysql에서 **show variables;
**를 실행하고 aws_default_s3_role
, aurora_load_from_s3_role
, **aurora_select_into_s3_role
**와 같은 변수에 값이 있다면, 데이터베이스가 S3 데이터에 접근할 준비가 되어 있다고 가정할 수 있습니다.
또한, **aws rds describe-db-clusters
**를 실행할 수 있는 권한이 있다면 클러스터에 연관된 역할이 있는지 확인할 수 있으며, 이는 일반적으로 AWS 서비스에 대한 접근을 의미합니다.
이제 버킷 내의 파일을 읽으려면 전체 경로를 알아야 합니다. 다음과 같이 읽을 수 있습니다:
rds:AddRoleToDBCluster
, iam:PassRole
rds:AddRoleToDBCluster
및 iam:PassRole
권한을 가진 공격자는 기존 RDS 인스턴스에 지정된 역할을 추가할 수 있습니다. 이는 공격자가 민감한 데이터에 접근하거나 인스턴스 내의 데이터를 수정할 수 있게 할 수 있습니다.
잠재적 영향: RDS 인스턴스의 민감한 데이터에 대한 접근 또는 데이터에 대한 무단 수정. 일부 DB는 추가 구성이 필요하다는 점에 유의하십시오. 예를 들어 Mysql은 매개변수 그룹에서 역할 ARN을 지정해야 합니다.
rds:CreateDBInstance
이 권한만으로도 공격자는 이미 존재하고 IAM 역할이 연결된 클러스터 내에 새로운 인스턴스를 생성할 수 있습니다. 그는 마스터 사용자 비밀번호를 변경할 수는 없지만, 새로운 데이터베이스 인스턴스를 인터넷에 노출할 수 있을지도 모릅니다:
rds:CreateDBInstance
, iam:PassRole
TODO: 테스트
rds:CreateDBInstance
및 iam:PassRole
권한을 가진 공격자는 지정된 역할이 연결된 새로운 RDS 인스턴스를 생성할 수 있습니다. 공격자는 이후 민감한 데이터에 접근하거나 인스턴스 내의 데이터를 수정할 수 있습니다.
연결할 역할/인스턴스 프로필의 일부 요구 사항 ( 여기에서):
프로필은 귀하의 계정에 존재해야 합니다.
프로필은 Amazon EC2가 가정할 수 있는 IAM 역할을 가져야 합니다.
인스턴스 프로필 이름과 관련된 IAM 역할 이름은 AWSRDSCustom
접두사로 시작해야 합니다.
잠재적 영향: RDS 인스턴스의 민감한 데이터에 대한 접근 또는 데이터에 대한 무단 수정.
rds:AddRoleToDBInstance
, iam:PassRole
rds:AddRoleToDBInstance
및 iam:PassRole
권한을 가진 공격자는 기존 RDS 인스턴스에 지정된 역할을 추가할 수 있습니다. 이는 공격자가 민감한 데이터에 접근하거나 인스턴스 내의 데이터를 수정할 수 있게 할 수 있습니다.
DB 인스턴스는 클러스터 외부에 있어야 합니다.
잠재적 영향: RDS 인스턴스의 민감한 데이터에 대한 접근 또는 데이터에 대한 무단 수정.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)