AWS - EMR Privesc

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

EMR

Meer inligting oor EMR in:

AWS - EMR Enum

iam:PassRole, elasticmapreduce:RunJobFlow

'n Aanvaller met hierdie toestemmings kan 'n nuwe EMR-kluster uitvoer met gehegde EC2-rolle en probeer om die geloofsbriewe daarvan te steel. Let daarop dat jy hiervoor 'n SSH-privésleutel moet ken wat ingevoer is in die rekening of een moet invoer, en in staat moet wees om poort 22 in die meester-node oop te maak (jy kan dit moontlik doen met die eienskappe EmrManagedMasterSecurityGroup en/of ServiceAccessSecurityGroup binne --ec2-attributes).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Let daarop hoe 'n EMR rol gespesifiseer word in --service-role en 'n ec2 rol gespesifiseer word in --ec2-attributes binne InstanceProfile. Hierdie tegniek maak egter slegs die diefstal van die EC2 rol se legitimasie moontlik (aangesien jy via ssh sal verbind), maar nie die EMR IAM Rol nie.

Potensiële Impak: Privilege-escalation na die gespesifiseerde EC2 diensrol.

elasticmapreduce:CreateEditor, iam:ListRoles, elasticmapreduce:ListClusters, iam:PassRole, elasticmapreduce:DescribeEditor, elasticmapreduce:OpenEditorInConsole

Met hierdie toestemmings kan 'n aanvaller na die AWS-konsole gaan, 'n Notaboek skep en dit toegang om die IAM Rol te steel.

Selfs as jy 'n IAM-rol aan die notaboekinstansie heg, het ek in my toetse opgemerk dat ek in staat was om AWS-bestuurde legitimasie te steel en nie legitimasie wat verband hou met die IAM-rol nie.

Potensiële Impak: Privilege-escalation na AWS-bestuurde rol arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

elasticmapreduce:OpenEditorInConsole

Net met hierdie toestemming sal 'n aanvaller toegang hê tot die Jupyter Notaboek en die IAM-rol wat daaraan gekoppel is, steel. Die URL van die notaboek is https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/

Selfs as jy 'n IAM-rol aan die notaboekinstansie heg, het ek in my toetse opgemerk dat ek in staat was om AWS-bestuurde legitimasie te steel en nie legitimasie wat verband hou met die IAM-rol nie.

Potensiële Impak: Privilege-escalation na AWS-bestuurde rol arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated