AWS - EMR Privesc

Support HackTricks

EMR

Більше інформації про EMR в:

AWS - EMR Enum

iam:PassRole, elasticmapreduce:RunJobFlow

Зловмисник з цими дозволами може запустити новий кластер EMR, прикріплюючи ролі EC2 та намагатися вкрасти його облікові дані. Зверніть увагу, що для цього вам потрібно знати деякий ssh приватний ключ, імпортований в обліковий запис або імпортувати один, і мати можливість відкрити порт 22 на головному вузлі (ви можете зробити це з атрибутами EmrManagedMasterSecurityGroup та/або ServiceAccessSecurityGroup всередині --ec2-attributes).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Зверніть увагу, як EMR роль вказується в --service-role, а ec2 роль вказується в --ec2-attributes всередині InstanceProfile. Однак ця техніка дозволяє лише вкрасти облікові дані EC2 ролі (оскільки ви підключитеся через ssh), але не EMR IAM роль.

Потенційний вплив: Privesc до EC2 сервісної ролі, що вказана.

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

З цими дозволами зловмисник може перейти до AWS консолі, створити Ноутбук і отримати доступ до нього, щоб вкрасти IAM роль.

Навіть якщо ви прикріпите IAM роль до екземпляра ноутбука, у моїх тестах я помітив, що зміг вкрасти облікові дані, керовані AWS, а не облікові дані, пов'язані з IAM роллю.

Потенційний вплив: Privesc до AWS керованої ролі arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

elasticmapreduce:OpenEditorInConsole

Лише з цим дозволом зловмисник зможе отримати доступ до Jupyter Notebook і вкрасти IAM роль, пов'язану з ним. URL ноутбука: https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/

Навіть якщо ви прикріпите IAM роль до екземпляра ноутбука, у моїх тестах я помітив, що зміг вкрасти облікові дані, керовані AWS, а не облікові дані, пов'язані з IAM роллю.

Потенційний вплив: Privesc до AWS керованої ролі arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

Підтримка HackTricks

Last updated