AWS - EMR Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Więcej informacji o EMR w:
AWS - EMR Enumiam:PassRole
, elasticmapreduce:RunJobFlow
Atakujący z tymi uprawnieniami może uruchomić nowy klaster EMR, dołączając role EC2 i próbować ukraść jego poświadczenia.
Należy zauważyć, że aby to zrobić, musisz znać jakiś klucz prywatny ssh zaimportowany do konta lub zaimportować jeden, oraz być w stanie otworzyć port 22 w węźle głównym (możesz to zrobić za pomocą atrybutów EmrManagedMasterSecurityGroup
i/lub ServiceAccessSecurityGroup
w --ec2-attributes
).
Zauważ, jak rola EMR jest określona w --service-role
, a rola ec2 jest określona w --ec2-attributes
wewnątrz InstanceProfile
. Jednak ta technika pozwala jedynie na kradzież poświadczeń roli EC2 (ponieważ połączysz się przez ssh), ale nie roli EMR IAM.
Potencjalny wpływ: Privesc do roli serwisowej EC2.
elasticmapreduce:CreateEditor
, iam:ListRoles
, elasticmapreduce:ListClusters
, iam:PassRole
, elasticmapreduce:DescribeEditor
, elasticmapreduce:OpenEditorInConsole
Dzięki tym uprawnieniom atakujący może przejść do konsoli AWS, utworzyć Notatnik i uzyskać do niego dostęp, aby ukraść rolę IAM.
Nawet jeśli do instancji notatnika przypiszesz rolę IAM, w moich testach zauważyłem, że mogłem ukraść poświadczenia zarządzane przez AWS, a nie poświadczenia związane z rolą IAM.
Potencjalny wpływ: Privesc do zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
elasticmapreduce:OpenEditorInConsole
Tylko z tym uprawnieniem atakujący będzie mógł uzyskać dostęp do Jupyter Notebook i ukraść rolę IAM z nią związaną.
Adres URL notatnika to https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/
Nawet jeśli do instancji notatnika przypiszesz rolę IAM, w moich testach zauważyłem, że mogłem ukraść poświadczenia zarządzane przez AWS, a nie poświadczenia związane z rolą IAM.
Potencjalny wpływ: Privesc do zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)