AWS - RDS Privesc
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para mais informações sobre RDS, confira:
AWS - Relational Database (RDS) Enumrds:ModifyDBInstance
Com essa permissão, um atacante pode modificar a senha do usuário mestre, e o login dentro do banco de dados:
Você precisará ser capaz de contatar o banco de dados (eles geralmente são acessíveis apenas de redes internas).
Impacto Potencial: Encontrar informações sensíveis dentro dos bancos de dados.
De acordo com os docs, um usuário com essa permissão poderia se conectar à instância do DB.
Se ao executar SELECT datname FROM pg_database;
você encontrar um banco de dados chamado rdsadmin
, você sabe que está dentro de um banco de dados postgresql da AWS.
Primeiro, você pode verificar se este banco de dados foi usado para acessar qualquer outro serviço da AWS. Você pode verificar isso observando as extensões instaladas:
Se você encontrar algo como aws_s3
, pode assumir que este banco de dados tem algum tipo de acesso ao S3 (existem outras extensões como aws_ml
e aws_lambda
).
Além disso, se você tiver permissões para executar aws rds describe-db-clusters
, pode ver lá se o cluster tem algum IAM Role associado no campo AssociatedRoles
. Se houver, você pode assumir que o banco de dados foi preparado para acessar outros serviços da AWS. Com base no nome da função (ou se você puder obter as permissões da função), você poderia adivinhar que acesso extra o banco de dados possui.
Agora, para ler um arquivo dentro de um bucket, você precisa saber o caminho completo. Você pode lê-lo com:
Se você tivesse credenciais AWS brutas, também poderia usá-las para acessar dados do S3 com:
Postgresql não precisa mudar nenhuma variável do grupo de parâmetros para poder acessar o S3.
Dentro de um mysql, se você executar a consulta SELECT User, Host FROM mysql.user;
e houver um usuário chamado rdsadmin
, você pode assumir que está dentro de um banco de dados mysql AWS RDS.
Dentro do mysql, execute show variables;
e se as variáveis como aws_default_s3_role
, aurora_load_from_s3_role
, aurora_select_into_s3_role
, tiverem valores, você pode assumir que o banco de dados está preparado para acessar dados do S3.
Além disso, se você tiver permissões para executar aws rds describe-db-clusters
, pode verificar se o cluster tem alguma função associada, o que geralmente significa acesso a serviços da AWS.
Agora, para ler um arquivo dentro de um bucket você precisa saber o caminho completo. Você pode lê-lo com:
rds:AddRoleToDBCluster
, iam:PassRole
Um atacante com as permissões rds:AddRoleToDBCluster
e iam:PassRole
pode adicionar um papel especificado a uma instância RDS existente. Isso pode permitir que o atacante acesse dados sensíveis ou modifique os dados dentro da instância.
Impacto Potencial: Acesso a dados sensíveis ou modificações não autorizadas nos dados na instância RDS. Observe que alguns DBs requerem configurações adicionais, como Mysql, que precisa especificar o ARN da função nos grupos de parâmetros também.
rds:CreateDBInstance
Apenas com essa permissão, um atacante poderia criar uma nova instância dentro de um cluster que já existe e tem uma função IAM anexada. Ele não poderá alterar a senha do usuário mestre, mas pode ser capaz de expor a nova instância de banco de dados à internet:
rds:CreateDBInstance
, iam:PassRole
TODO: Test
Um atacante com as permissões rds:CreateDBInstance
e iam:PassRole
pode criar uma nova instância RDS com um papel especificado anexado. O atacante pode então potencialmente acessar dados sensíveis ou modificar os dados dentro da instância.
Alguns requisitos do papel/perfil de instância para anexar (de aqui):
O perfil deve existir em sua conta.
O perfil deve ter um papel IAM que o Amazon EC2 tenha permissões para assumir.
O nome do perfil da instância e o nome do papel IAM associado devem começar com o prefixo AWSRDSCustom
.
Impacto Potencial: Acesso a dados sensíveis ou modificações não autorizadas nos dados na instância RDS.
rds:AddRoleToDBInstance
, iam:PassRole
Um atacante com as permissões rds:AddRoleToDBInstance
e iam:PassRole
pode adicionar um papel especificado a uma instância RDS existente. Isso poderia permitir que o atacante acessasse dados sensíveis ou modificasse os dados dentro da instância.
A instância do DB deve estar fora de um cluster para isso
Impacto Potencial: Acesso a dados sensíveis ou modificações não autorizadas nos dados na instância RDS.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)