AWS - EventBridge Scheduler Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Više informacija o EventBridge Scheduler-u u:
AWS - EventBridge Scheduler Enumiam:PassRole
, (scheduler:CreateSchedule
| scheduler:UpdateSchedule
)Napadač sa tim dozvolama će moći da kreira
|ažurira
raspored i zloupotrebi dozvole uloge rasporeda koja je povezana sa njim da izvrši bilo koju akciju.
Na primer, mogli bi da konfigurišu raspored da pozove Lambda funkciju koja je akcija sa šablonom:
Pored akcija usluga zasnovanih na šablonima, možete koristiti univerzalne ciljeve u EventBridge Scheduler-u za pozivanje širokog spektra API operacija za mnoge AWS usluge. Univerzalni ciljevi nude fleksibilnost za pozivanje gotovo bilo kog API-ja. Jedan primer može biti korišćenje univerzalnih ciljeva za dodavanje "AdminAccessPolicy", koristeći ulogu koja ima "putRolePolicy" politiku:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)