AWS - Route53 Privesc
Last updated
Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kwa maelezo zaidi kuhusu Route53 angalia:
route53:CreateHostedZone
, route53:ChangeResourceRecordSets
, acm-pca:IssueCertificate
, acm-pca:GetCertificate
Ili kufanya shambulio hili akaunti ya lengo lazima iwe tayari na AWS Certificate Manager Private Certificate Authority (AWS-PCA) iliyowekwa kwenye akaunti, na EC2 instances katika VPC(s) lazima ziwe tayari zimeagiza vyeti ili kuviamini. Kwa miundombinu hii kuwepo, shambulio lifuatalo linaweza kufanywa ili kukamata trafiki ya AWS API.
Ruhusa nyingine zinapendekezwa lakini hazihitajiki kwa sehemu ya utafutaji: route53:GetHostedZone
, route53:ListHostedZones
, acm-pca:ListCertificateAuthorities
, ec2:DescribeVpcs
Tukichukulia kuna AWS VPC yenye programu nyingi za asili ya wingu zinazozungumza kati yao na na AWS API. Kwa kuwa mawasiliano kati ya microservices mara nyingi yana TLS iliyosimbwa, lazima kuwe na CA ya kibinafsi kutoa vyeti halali kwa huduma hizo. Ikiwa ACM-PCA inatumika kwa hilo na adui anafanikiwa kupata ufikiaji wa kudhibiti wote route53 na acm-pca private CA kwa ruhusa ndogo zilizoorodheshwa hapo juu, inaweza kuchukua wito wa programu kwa AWS API ikichukua ruhusa zao za IAM.
Hii inawezekana kwa sababu:
AWS SDKs haina Certificate Pinning
Route53 inaruhusu kuunda Private Hosted Zone na rekodi za DNS kwa majina ya kikoa ya AWS APIs
CA ya kibinafsi katika ACM-PCA haiwezi kupunguzia tu kusaini vyeti kwa Majina ya Pamoja maalum
Athari Zinazoweza Kutokea: Privesc isiyo ya moja kwa moja kwa kukamata taarifa nyeti katika trafiki.
Pata hatua za utekelezaji katika utafiti wa asili: https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)