AWS - EC2 Persistence

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

EC2

Vir meer inligting, kyk:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Sekuriteitsgroep Verbindingsvolharding

As 'n verdediger vind dat 'n EC2-instantie gekompromitteer is, sal hy waarskynlik probeer om die netwerk van die masjien te isoleer. Hy kan dit doen met 'n eksplisiete Deny NACL (maar NACLs affekteer die hele subnet), of deur die sekuriteitsgroep te verander wat nie enige soort inkomende of uitgaande verkeer toelaat nie.

As die aanvaller 'n omgekeerde dopshell van die masjien gehad het, selfs as die SG gewysig is om nie inkomende of uitgaande verkeer toe te laat nie, sal die verbindings nie beëindig word nie as gevolg van Sekuriteitsgroep Verbindingsvolging.

EC2 Lewensiklusbestuurder

Hierdie diens maak dit moontlik om die skepping van AMIs en afskrifte te skeduleer en selfs dit met ander rekeninge te deel. 'n Aanvaller kan die generering van AMIs of afskrifte van al die beelde of al die volumes elke week instel en dit met sy rekening deel.

Geskeduleerde Instansies

Dit is moontlik om instansies daagliks, weekliks of selfs maandeliks te skeduleer. 'n Aanvaller kan 'n masjien met hoë voorregte of interessante toegang hardloop waar hy toegang tot kan verkry.

Spot Vlootversoek

Spot-instansies is goedkoper as gewone instansies. 'n Aanvaller kan 'n klein spot vlootversoek vir 5 jaar (byvoorbeeld) begin, met outomatiese IP-toewysing en 'n gebruikersdata wat na die aanvaller gestuur word wanneer die spot-instansie begin en die IP-adres en met 'n hoë bevoorregte IAM rol.

Agterdeur Instansies

'n Aanvaller kan toegang tot die instansies kry en hulle agterdeur:

  • Deur 'n tradisionele rootkit byvoorbeeld

  • 'n Nuwe openbare SSH-sleutel by te voeg (kyk na EC2 privesc-opsies)

  • Die Gebruikersdata agterdeur maak

Agterdeur Beginopset

  • Agterdeur die gebruikte AMI

  • Agterdeur die Gebruikersdata

  • Agterdeur die Sleutelpaar

VPN

Skep 'n VPN sodat die aanvaller direk daardeur met die VPC kan verbind.

VPC Koppeling

Skep 'n koppelingsverbinding tussen die slagoffer VPC en die aanvaller VPC sodat hy toegang tot die slagoffer VPC kan verkry.

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated