AWS - SSM Privesc
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
SSM hakkında daha fazla bilgi için kontrol edin:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommand
ssm:SendCommand
iznine sahip bir saldırgan, Amazon SSM Agent'ı çalıştıran örneklerde komutlar çalıştırabilir ve içindeki IAM Rolünü tehdit edebilir.
Eğer bu tekniği zaten ele geçirilmiş bir EC2 örneği içinde ayrıcalıkları artırmak için kullanıyorsanız, rev shell'i yerel olarak şu şekilde yakalayabilirsiniz:
Potansiyel Etki: SSM Agent'ları çalışan örneklere bağlı EC2 IAM rollerine doğrudan yetki yükseltme.
ssm:StartSession
ssm:StartSession
iznine sahip bir saldırgan, Amazon SSM Agent'ı çalışan örneklerde SSH benzeri bir oturum başlatabilir ve içinde çalışan IAM Rolünü tehlikeye atabilir.
Bir oturum başlatmak için SessionManagerPlugin'in kurulu olması gerekir: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Olası Etki: SSM Agent'ları çalışan örneklere bağlı EC2 IAM rollerine doğrudan privesc.
ECS görevleri ExecuteCommand
etkinleştirildiğinde yeterli izinlere sahip kullanıcılar ecs execute-command
kullanarak bir komut çalıştırabilirler konteyner içinde.
belgelere göre bu, “exec“ komutunu başlatmak için kullandığınız cihaz ile hedef konteyner arasında güvenli bir kanal oluşturarak yapılır. (Bunun çalışması için SSM Session Manager Plugin gereklidir)
Bu nedenle, ssm:StartSession
iznine sahip kullanıcılar, bu seçenek etkinleştirildiğinde ECS görevleri içinde bir shell alabileceklerdir sadece şunu çalıştırarak:
Potansiyel Etki: ExecuteCommand
etkin olan çalışan görevlere bağlı ECS
IAM rollerine doğrudan yetki yükseltme.
ssm:ResumeSession
ssm:ResumeSession
iznine sahip bir saldırgan, Amazon SSM Agent'ını çalıştıran örneklerde bağlantısı kesilmiş SSM oturum durumu ile bir SSH benzeri oturumu yeniden başlatabilir ve içindeki IAM Rolünü tehdit edebilir.
Potansiyel Etki: Çalışan SSM Ajansı olan EC2 IAM rollerine doğrudan yetki yükseltme ve bağlantısı kesilmiş oturumlar.
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)Belirtilen izinlere sahip bir saldırgan, SSM parametrelerini listeleyebilecek ve açık metin olarak okuyabilecektir. Bu parametrelerde sıklıkla hassas bilgiler bulabilirsiniz, örneğin SSH anahtarları veya API anahtarları.
Olası Etki: Parametreler içinde hassas bilgileri bulma.
ssm:ListCommands
Bu izne sahip bir saldırgan, gönderilen tüm komutları listeleyebilir ve umarım bunlar üzerinde hassas bilgileri bulabilir.
Potansiyel Etki: Komut satırlarında hassas bilgileri bulmak.
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)Bu izinlere sahip bir saldırgan, gönderilen tüm komutları listeleyebilir ve çıktıyı okuyabilir, umarım üzerinde hassas bilgiler bulabilir.
Potansiyel Etki: Komut satırlarının çıktısında hassas bilgileri bulmak.
Ayrıca, SSM'yi kullanarak inşa edilen bir codebuild projesine girebilirsiniz:
AWS - Codebuild PrivescAWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)