AWS - SSM Privesc
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Za više informacija o SSM proverite:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommandNapadač sa dozvolom ssm:SendCommand može izvršavati komande u instancama koje pokreću Amazon SSM Agent i kompromitovati IAM ulogu koja se izvršava unutar nje.
U slučaju da koristite ovu tehniku za eskalaciju privilegija unutar već kompromitovane EC2 instance, možete jednostavno uhvatiti rev shell lokalno sa:
Potencijalni uticaj: Direktno privesc na EC2 IAM uloge povezane sa aktivnim instancama sa SSM agentima.
ssm:StartSessionNapadač sa dozvolom ssm:StartSession može pokrenuti SSH sličnu sesiju u instancama koje pokreću Amazon SSM Agent i kompromitovati IAM ulogu koja se izvršava unutar nje.
Da biste započeli sesiju, potrebno je da imate instaliran SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Potencijalni uticaj: Direktno privesc do EC2 IAM uloga povezanih sa aktivnim instancama sa SSM Agentima.
Kada ECS zadaci rade sa ExecuteCommand omogućenim, korisnici sa dovoljno dozvola mogu koristiti ecs execute-command da izvrše komandu unutar kontejnera.
Prema dokumentaciji, to se postiže kreiranjem sigurnog kanala između uređaja koji koristite za iniciranje komande “exec” i ciljnog kontejnera sa SSM Session Managerom. (SSM Session Manager Plugin je neophodan za ovo)
Stoga, korisnici sa ssm:StartSession moći će da dobiju shell unutar ECS zadataka sa tom opcijom omogućenom jednostavno pokretanjem:
Potencijalni uticaj: Direktno privesc na ECS IAM uloge povezane sa aktivnim zadacima sa omogućenom ExecuteCommand.
ssm:ResumeSessionNapadač sa dozvolom ssm:ResumeSession može ponovo pokrenuti SSH sličnu sesiju u instancama koje pokreću Amazon SSM Agent sa isključenim stanjem SSM sesije i kompromitovati IAM ulogu koja se izvršava unutar nje.
Potencijalni uticaj: Direktno privesc na EC2 IAM uloge povezane sa aktivnim instancama sa SSM agentima i isključenim sesijama.
ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)Napadač sa pomenutim dozvolama će moći da prikaže SSM parametre i pročita ih u čistom tekstu. U ovim parametrima često možete pronaći osetljive informacije kao što su SSH ključevi ili API ključevi.
Potencijalni Uticaj: Pronaći osetljive informacije unutar parametara.
ssm:ListCommandsNapadač sa ovom dozvolom može da prikaže sve komande koje su poslate i nadati se da će pronaći osetljive informacije u njima.
Potencijalni uticaj: Pronaći osetljive informacije unutar komandnih linija.
ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)Napadač sa ovim dozvolama može da prikaže sve komande koje su poslate i pročita izlaz koji je generisan, nadajući se da će pronaći osetljive informacije u njemu.
Potencijalni Uticaj: Pronađite osetljive informacije unutar izlaza komandnih linija.
Takođe možete koristiti SSM da uđete u projekat codebuild koji se gradi:
AWS - Codebuild PrivescUčite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
