AWS - DynamoDB Post Exploitation
DynamoDB
Für weitere Informationen überprüfen Sie:
pageAWS - DynamoDB Enumdynamodb:BatchGetItem
dynamodb:BatchGetItem
Ein Angreifer mit diesen Berechtigungen kann Elemente aus Tabellen anhand des Primärschlüssels abrufen (Sie können nicht einfach alle Daten der Tabelle anfordern). Dies bedeutet, dass Sie die Primärschlüssel kennen müssen (diese können Sie erhalten, indem Sie die Metadaten der Tabelle abrufen (describe-table
).
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:GetItem
dynamodb:GetItem
Ähnlich wie die vorherigen Berechtigungen ermöglicht diese Berechtigung einem potenziellen Angreifer das Lesen von Werten aus nur 1 Tabelle, wenn der Primärschlüssel des Eintrags zum Abrufen bekannt ist:
Mit dieser Berechtigung ist es auch möglich, die Methode transact-get-items
zu verwenden, wie:
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:Query
dynamodb:Query
Ähnlich wie die vorherigen Berechtigungen ermöglicht diese Berechtigung einem potenziellen Angreifer das Lesen von Werten aus nur einer Tabelle anhand des Primärschlüssels des Eintrags, der abgerufen werden soll. Es erlaubt die Verwendung eines Teils der Vergleiche, aber der einzige erlaubte Vergleich mit dem Primärschlüssel (der erscheinen muss) ist "EQ", sodass kein Vergleich verwendet werden kann, um die gesamte Datenbank in einer Anfrage zu erhalten.
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:Scan
dynamodb:Scan
Sie können diese Berechtigung verwenden, um die gesamte Tabelle einfach zu dumpen.
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:PartiQLSelect
dynamodb:PartiQLSelect
Sie können diese Berechtigung verwenden, um die gesamte Tabelle einfach zu dumpen.
Diese Berechtigung ermöglicht auch die Durchführung von batch-execute-statement
wie:
aber Sie müssen den Primärschlüssel mit einem Wert angeben, daher ist es nicht so nützlich.
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:ExportTableToPointInTime|(dynamodb:UpdateContinuousBackups)
dynamodb:ExportTableToPointInTime|(dynamodb:UpdateContinuousBackups)
Diese Berechtigung ermöglicht es einem Angreifer, die gesamte Tabelle in einen von ihm gewählten S3-Bucket zu exportieren:
Beachten Sie, dass für dieses Verfahren die Tabelle die Point-in-Time-Wiederherstellung aktiviert haben muss. Sie können überprüfen, ob die Tabelle dies hat mit:
Wenn es nicht aktiviert ist, müssen Sie es aktivieren und dafür die Berechtigung dynamodb:ExportTableToPointInTime
benötigen:
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabelle
dynamodb:CreateTable
, dynamodb:RestoreTableFromBackup
, (dynamodb:CreateBackup)
dynamodb:CreateTable
, dynamodb:RestoreTableFromBackup
, (dynamodb:CreateBackup)
Mit diesen Berechtigungen könnte ein Angreifer eine neue Tabelle aus einem Backup erstellen (oder sogar ein Backup erstellen, um es dann in einer anderen Tabelle wiederherzustellen). Anschließend könnte er mit den erforderlichen Berechtigungen Informationen aus den Backups überprüfen, die nicht mehr in der Produktionsdatenbank vorhanden sein könnten.
Potenzielle Auswirkungen: Indirekter Privilege Escalation durch Auffinden sensibler Informationen in der Tabellensicherung
dynamodb:PutItem
dynamodb:PutItem
Diese Berechtigung ermöglicht es Benutzern, ein neues Element zur Tabelle hinzuzufügen oder ein vorhandenes Element durch ein neues Element zu ersetzen. Wenn bereits ein Element mit demselben Primärschlüssel vorhanden ist, wird das gesamte Element durch das neue Element ersetzt. Wenn der Primärschlüssel nicht vorhanden ist, wird ein neues Element mit dem angegebenen Primärschlüssel erstellt.
Potenzielle Auswirkungen: Ausnutzung weiterer Schwachstellen/Bypasses durch die Möglichkeit, Daten in einer DynamoDB-Tabelle hinzuzufügen/zu ändern
dynamodb:UpdateItem
dynamodb:UpdateItem
Diese Berechtigung ermöglicht es Benutzern, die vorhandenen Attribute eines Elements zu ändern oder neue Attribute hinzuzufügen. Es ersetzt nicht das gesamte Element; es aktualisiert nur die angegebenen Attribute. Wenn der Primärschlüssel in der Tabelle nicht existiert, wird der Vorgang ein neues Element erstellen mit dem angegebenen Primärschlüssel und die in dem Aktualisierungsausdruck angegebenen Attribute setzen.
Potenzielle Auswirkungen: Ausnutzung weiterer Schwachstellen/Bypasses durch die Möglichkeit, Daten in einer DynamoDB-Tabelle hinzuzufügen/zu ändern
dynamodb:DeleteTable
dynamodb:DeleteTable
Ein Angreifer mit dieser Berechtigung kann eine DynamoDB-Tabelle löschen, was zu Datenverlust führt.
Potenzielle Auswirkungen: Datenverlust und Störung von Diensten, die auf der gelöschten Tabelle basieren.
dynamodb:DeleteBackup
dynamodb:DeleteBackup
Ein Angreifer mit dieser Berechtigung kann ein DynamoDB-Backup löschen und somit potenziell Datenverlust in einem Katastrophenwiederherstellungsszenario verursachen.
Potenzielle Auswirkungen: Datenverlust und Unfähigkeit, sich während eines Notfallwiederherstellungsszenarios von einem Backup zu erholen.
dynamodb:StreamSpecification
, dynamodb:UpdateTable
, dynamodb:DescribeStream
, dynamodb:GetShardIterator
, dynamodb:GetRecords
dynamodb:StreamSpecification
, dynamodb:UpdateTable
, dynamodb:DescribeStream
, dynamodb:GetShardIterator
, dynamodb:GetRecords
TODO: Überprüfen, ob dies tatsächlich funktioniert
Ein Angreifer mit diesen Berechtigungen kann einen Stream auf einer DynamoDB-Tabelle aktivieren, die Tabelle aktualisieren, um Änderungen zu streamen, und dann auf den Stream zugreifen, um Änderungen an der Tabelle in Echtzeit zu überwachen. Dies ermöglicht es dem Angreifer, Datenänderungen zu überwachen und abzuschöpfen, was potenziell zu Datenlecks führen kann.
Aktivieren eines Streams auf einer DynamoDB-Tabelle:
Beschreiben Sie den Vorgang, um die ARN und andere Details zu erhalten:
Holen Sie den Shard-Iterator mithilfe des Stream-ARN:
Verwenden Sie den Shard-Iterator, um auf Daten im Stream zuzugreifen und sie zu exfiltrieren:
Potenzielle Auswirkungen: Echtzeitüberwachung und Datenleckage der Änderungen an der DynamoDB-Tabelle.
Last updated