AWS - Lambda Persistence

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Lambda

Vir meer inligting, kyk:

Lambda Laag Volharding

Dit is moontlik om 'n laag in te voer/terugdeur om arbitrêre kode uit te voer wanneer die lambda op 'n sluipende manier uitgevoer word:

pageAWS - Lambda Layers Persistence

Lambda Uitbreiding Volharding

Deur Lambda-lae te misbruik, is dit ook moontlik om uitbreidings te misbruik en in die lambda te volhard, maar ook om versoek te steel en te wysig.

pageAWS - Abusing Lambda Extensions

Via hulpbronnepolisieë

Dit is moontlik om toegang te verleen tot verskillende lambda-aksies (soos aanroep of kode-opdatering) aan eksterne rekeninge:

Weergawes, Aliasse & Gewigte

'n Lambda kan verskillende weergawes hê (met verskillende kode vir elke weergawe). Dan kan jy verskillende aliase met verskillende weergawes van die lambda skep en verskillende gewigte aan elkeen toeken. Op hierdie manier kan 'n aanvaller 'n terugdeur weergawe 1 skep en 'n weergawe 2 met slegs die wettige kode en slegs die weergawe 1 in 1% van die versoek uitvoer om onopgemerk te bly.

Weergawe Terugdeur + API Gateway

Kopieer die oorspronklike kode van die Lambda
Skep 'n nuwe weergawe met 'n terugdeur van die oorspronklike kode (of net met skadelike kode). Publiseer en implementeer daardie weergawe na $LATEST
Roep die API gateway wat verband hou met die lambda aan om die kode uit te voer
Skep 'n nuwe weergawe met die oorspronklike kode, Publiseer en implementeer daardie weergawe na $LATEST.
Dit sal die teruggedeurde kode in 'n vorige weergawe verberg
Gaan na die API Gateway en skep 'n nuwe POST-metode (of kies enige ander metode) wat die teruggedeurde weergawe van die lambda sal uitvoer: arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1
Merk die finale :1 van die arn wat die weergawe van die funksie aandui (weergawe 1 sal die teruggedeurde wees in hierdie scenario).
Kies die geskepte POST-metode en in Aksies kies Implementeer API
Nou, wanneer jy die funksie oproep via POST, sal jou Terugdeur aangeroep word

Cron/Gebeurtenisaktiveerder

Die feit dat jy lambda-funksies kan laat loop wanneer iets gebeur of wanneer 'n tyd verloop maak lambda 'n aangename en algemene manier om volharding te verkry en opsporing te vermy. Hier het jy 'n paar idees om jou teenwoordigheid in AWS meer sluipend te maak deur lambdas te skep.

Elke keer as 'n nuwe gebruiker geskep word, genereer lambda 'n nuwe gebruikersleutel en stuur dit na die aanvaller.
Elke keer as 'n nuwe rol geskep word, gee lambda aanname rol-permissies aan gekompromitteerde gebruikers.
Elke keer as nuwe cloudtrail-logboeke gegenereer word, verwyder/wysig hulle

PreviousAWS - KMS Persistence NextAWS - Abusing Lambda Extensions

Last updated 1 month ago