AWS - EBS Snapshot Dump
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Verificando um snapshot localmente
Nota que dsnap
não permitirá que você baixe snapshots públicos. Para contornar isso, você pode fazer uma cópia do snapshot em sua conta pessoal e baixar isso:
Para mais informações sobre esta técnica, consulte a pesquisa original em https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Você pode fazer isso com o Pacu usando o módulo ebs__download_snapshots
Verificando um snapshot na AWS
Monte-o em uma VM EC2 sob seu controle (tem que estar na mesma região que a cópia do backup):
Passo 1: Um novo volume do seu tamanho e tipo preferidos deve ser criado acessando EC2 –> Volumes.
Para poder realizar esta ação, siga estes comandos:
Crie um volume EBS para anexar à instância EC2.
Certifique-se de que o volume EBS e a instância estão na mesma zona.
Passo 2: A opção "anexar volume" deve ser selecionada clicando com o botão direito no volume criado.
Passo 3: A instância da caixa de texto da instância deve ser selecionada.
Para poder realizar esta ação, use o seguinte comando:
Anexe o volume EBS.
Passo 4: Faça login na instância EC2 e liste os discos disponíveis usando o comando lsblk
.
Passo 5: Verifique se o volume tem algum dado usando o comando sudo file -s /dev/xvdf
.
Se a saída do comando acima mostrar "/dev/xvdf: data", isso significa que o volume está vazio.
Passo 6: Formate o volume para o sistema de arquivos ext4 usando o comando sudo mkfs -t ext4 /dev/xvdf
. Alternativamente, você também pode usar o formato xfs usando o comando sudo mkfs -t xfs /dev/xvdf
. Por favor, note que você deve usar ext4 ou xfs.
Passo 7: Crie um diretório de sua escolha para montar o novo volume ext4. Por exemplo, você pode usar o nome "newvolume".
Para poder realizar esta ação, use o comando sudo mkdir /newvolume
.
Passo 8: Monte o volume no diretório "newvolume" usando o comando sudo mount /dev/xvdf /newvolume/
.
Passo 9: Mude o diretório para o diretório "newvolume" e verifique o espaço em disco para validar a montagem do volume.
Para poder realizar esta ação, use os seguintes comandos:
Mude o diretório para
/newvolume
.Verifique o espaço em disco usando o comando
df -h .
. A saída deste comando deve mostrar o espaço livre no diretório "newvolume".
Você pode fazer isso com Pacu usando o módulo ebs__explore_snapshots
.
Verificando um snapshot na AWS (usando cli)
Shadow Copy
Qualquer usuário da AWS que possua a permissão EC2:CreateSnapshot
pode roubar os hashes de todos os usuários do domínio criando um snapshot do Controlador de Domínio, montando-o em uma instância que eles controlam e exportando o NTDS.dit e o arquivo do hive do registro SYSTEM para uso com o projeto secretsdump do Impacket.
Você pode usar esta ferramenta para automatizar o ataque: https://github.com/Static-Flow/CloudCopy ou você pode usar uma das técnicas anteriores após criar um snapshot.
References
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated