Chinese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - Step Functions Post Exploitation

支持 HackTricks

Step Functions

有关此 AWS 服务的更多信息,请查看:

AWS - Step Functions Enum

states:RevealSecrets

此权限允许在执行过程中揭示秘密数据。为此,需要将检查级别设置为 TRACE,并将 revealSecrets 参数设置为 true。

states:DeleteStateMachine, states:DeleteStateMachineVersion, states:DeleteStateMachineAlias

拥有这些权限的攻击者将能够永久删除状态机、其版本和别名。这可能会中断关键工作流程,导致数据丢失,并需要大量时间来恢复和恢复受影响的状态机。此外,这将允许攻击者掩盖所用的痕迹,干扰取证调查,并可能通过删除重要的自动化流程和状态配置来瘫痪操作。

  • 删除状态机时,您还会删除其所有关联的版本和别名。

  • 删除状态机别名时,您不会删除引用此别名的状态机版本。

  • 目前无法删除由一个或多个别名引用的状态机版本。

# Delete state machine
aws stepfunctions delete-state-machine --state-machine-arn <value>
# Delete state machine version
aws stepfunctions delete-state-machine-version --state-machine-version-arn <value>
# Delete state machine alias
aws stepfunctions delete-state-machine-alias --state-machine-alias-arn <value>

  • 潜在影响: 关键工作流程中断、数据丢失和操作停机。

states:UpdateMapRun

拥有此权限的攻击者将能够操纵 Map Run 失败配置和并行设置,能够增加或减少允许的最大子工作流执行数量,直接影响服务的性能。此外,攻击者还可以篡改容忍的失败百分比和计数,能够将此值减少到 0,这样每当一个项目失败时,整个 map run 将失败,直接影响状态机执行,并可能中断关键工作流程。

aws stepfunctions update-map-run --map-run-arn <value> [--max-concurrency <value>] [--tolerated-failure-percentage <value>] [--tolerated-failure-count <value>]

  • 潜在影响:性能下降,以及关键工作流程的中断。

states:StopExecution

拥有此权限的攻击者可能能够停止任何状态机的执行,从而干扰正在进行的工作流程和过程。这可能导致交易不完整、业务操作中断以及潜在的数据损坏。

此操作不支持 express state machines

aws stepfunctions stop-execution --execution-arn <value> [--error <value>] [--cause <value>]

  • 潜在影响:中断正在进行的工作流程、操作停机和潜在的数据损坏。

states:TagResource, states:UntagResource

攻击者可以添加、修改或删除 Step Functions 资源的标签,从而干扰您组织的成本分配、资源跟踪和基于标签的访问控制策略。

aws stepfunctions tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws stepfunctions untag-resource --resource-arn <value> --tag-keys <key>

潜在影响:成本分配、资源跟踪和基于标签的访问控制策略的中断。

支持 HackTricks
PreviousAWS - SSO & identitystore Post ExploitationNextAWS - STS Post Exploitation

Last updated