AWS - CloudFront Post Exploitation

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

CloudFront

Za više informacija pogledajte:

AWS - CloudFront Enum

Čovek-u-sredini

Ovaj blog post predlaže nekoliko različitih scenarija gde se Lambda može dodati (ili izmeniti ako se već koristi) u komunikaciju preko CloudFront-a sa ciljem krađe korisničkih informacija (kao što je sesijski kolačić) i izmena odgovora (ubacivanje zlonamernog JS skripta).

scenario 1: Čovek-u-sredini gde je CloudFront konfigurisan za pristupanje nekom HTML-u iz bucket-a

  • Kreirajte zlonamernu funkciju.

  • Povežite je sa CloudFront distribucijom.

  • Postavite tip događaja na "Viewer Response".

Pristupanjem odgovoru možete ukrasti korisnički kolačić i ubaciti zlonamerni JS.

scenario 2: Čovek-u-sredini gde CloudFront već koristi lambda funkciju

  • Izmenite kod lambda funkcije da biste ukrali osetljive informacije

Možete proveriti tf kod za rekreiranje ovih scenarija ovde.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Last updated