Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kwa maelezo zaidi kuhusu SSM angalia:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
ssm:SendCommandMshambuliaji mwenye ruhusa ssm:SendCommand anaweza kutekeleza amri katika mifano inayotumia Amazon SSM Agent na kuathiri IAM Role inayotenda ndani yake.
Katika kesi unapotumia mbinu hii kuongeza mamlaka ndani ya EC2 instance ambayo tayari imeathiriwa, unaweza tu kukamata rev shell kwa ndani kwa:
Madhara Yanayoweza Kutokea: Privesc moja kwa moja kwa EC2 IAM roles zilizounganishwa na mifano inayotembea yenye SSM Agents inayoendesha.
ssm:StartSessionMshambuliaji mwenye ruhusa ssm:StartSession anaweza kuanzisha kikao kama cha SSH katika mifano inayotembea yenye Amazon SSM Agent na kuathiri IAM Role inayotembea ndani yake.
Ili kuanza kikao unahitaji SessionManagerPlugin iliyosakinishwa: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Athari Zinazoweza Kutokea: Privesc moja kwa moja kwa EC2 IAM roles zilizounganishwa na mifano inayoendesha SSM Agents.
Wakati ECS tasks zinaendesha na ExecuteCommand imewezeshwa watumiaji wenye ruhusa za kutosha wanaweza kutumia ecs execute-command ili kutekeleza amri ndani ya kontena.
Kulingana na nyaraka hii inafanywa kwa kuunda channel salama kati ya kifaa unachotumia kuanzisha amri ya “exec“ na kontena lengwa na SSM Session Manager. (SSM Session Manager Plugin inahitajika ili hii ifanye kazi)
Hivyo, watumiaji wenye ssm:StartSession wataweza kupata shell ndani ya ECS tasks na chaguo hicho kikiwa kimewezeshwa kwa kukimbia:
Madhara Yanayoweza Kutokea: Privesc moja kwa moja kwa ECSIAM roles zilizounganishwa na kazi zinazotembea zikiwa na ExecuteCommand iliyoanzishwa.
ssm:ResumeSessionMshambuliaji mwenye ruhusa ssm:ResumeSession anaweza ku-anzisha tena kikao kama cha SSH katika mifano inayotembea na Amazon SSM Agent ikiwa na hali ya kikao cha SSM kilichounganishwa na kuathiri IAM Role inayotembea ndani yake.
Madhara Yanayoweza Kutokea: Privesc moja kwa moja kwa EC2 IAM roles zilizounganishwa na mifano inayotembea yenye SSM Agents zinazotembea na vikao vilivyokatishwa.
ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)Mshambuliaji mwenye ruhusa zilizoelezwa atakuwa na uwezo wa kuorodhesha SSM parameters na kuvisoma kwa maandiko wazi. Katika vigezo hivi mara nyingi unaweza kuyapata maelezo nyeti kama funguo za SSH au funguo za API.
Madhara Yanayoweza Kutokea: Pata taarifa nyeti ndani ya vigezo.
ssm:ListCommandsMshambuliaji mwenye ruhusa hii anaweza kuorodhesha amri zote zilizotumwa na kwa matumaini kupata taarifa nyeti juu yao.
Madhara Yanayoweza Kutokea: Pata taarifa nyeti ndani ya mistari ya amri.
ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)Mshambuliaji mwenye ruhusa hizi anaweza kuorodhesha amri zote zilizotumwa na kusoma matokeo yaliyotolewa akitumaini kupata taarifa nyeti ndani yake.
Madhara Yanayoweza Kutokea: Pata taarifa nyeti ndani ya matokeo ya amri.
Unaweza pia kutumia SSM kuingia ndani ya mradi wa codebuild unaojengwa:
AWS - Codebuild PrivescJifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
