AWS - SQS Privesc

htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

SQS

Daha fazla bilgi için kontrol edin:

https://github.com/carlospolop/hacktricks-cloud/blob/tr/pentesting-cloud/aws-security/aws-hizmetleri/aws-sqs-ve-sns-enum.md

sqs:AddPermission

Bir saldırgan, bu izni kullanarak yetkisiz kullanıcılara veya hizmetlere SQS kuyruğuna erişim sağlayabilir. Bunun sonucunda, kuyruktaki mesajlara yetkisiz erişim veya yetkisiz varlıklar tarafından kuyruğun manipülasyonu gerçekleştirilebilir.

cssCopy codeaws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>

Potansiyel Etki: Yetkisiz kullanıcılar veya hizmetler tarafından kuyruğa yetkisiz erişim, mesajların ortaya çıkması veya kuyruğun manipülasyonu.

sqs:SendMessage, sqs:SendMessageBatch

Bir saldırgan, kötü niyetli veya istenmeyen mesajları SQS kuyruğuna gönderebilir ve potansiyel olarak veri bozulmasına, istenmeyen eylemlerin tetiklenmesine veya kaynakların tükenmesine neden olabilir.

aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>

Potansiyel Etki: Zafiyet sömürüsü, Veri bozulması, istenmeyen eylemler veya kaynak tükenmesi.

sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility

Bir saldırgan, bir SQS kuyruğundaki mesajları alabilir, silebilir veya görünürlüğünü değiştirebilir, bu da bu mesajlara güvenen uygulamalar için mesaj kaybına, veri bozulmasına veya hizmet kesintisine neden olabilir.

aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>

Potansiyel Etki: Hassas bilgilerin çalınması, etkilenen mesajlara dayanan uygulamalar için mesaj kaybı, veri bozulması ve hizmet kesintisi.

AWS hacklemeyi sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'i desteklemenin diğer yolları:

Last updated