AWS - EBS Snapshot Dump
Überprüfen eines Snapshots lokal
Hinweis: dsnap
wird es Ihnen nicht erlauben, öffentliche Snapshots herunterzuladen. Um dies zu umgehen, können Sie eine Kopie des Snapshots in Ihrem persönlichen Konto erstellen und diesen herunterladen:
Für weitere Informationen zu dieser Technik lesen Sie die Originalforschung unter https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Sie können dies mit Pacu mithilfe des Moduls ebs__download_snapshots durchführen.
Überprüfen eines Snapshots in AWS
Hängen Sie es in einer EC2-VM unter Ihrer Kontrolle ein (es muss sich in derselben Region wie die Kopie des Backups befinden):
Schritt 1: Erstellen Sie ein neues Volume Ihrer bevorzugten Größe und Art, indem Sie zu EC2 –> Volumes gehen.
Um diese Aktion auszuführen, befolgen Sie diese Befehle:
Erstellen Sie ein EBS-Volume, das an die EC2-Instanz angehängt werden soll.
Stellen Sie sicher, dass das EBS-Volume und die Instanz in derselben Zone sind.
Schritt 2: Wählen Sie die Option "Volume anhängen", indem Sie mit der rechten Maustaste auf das erstellte Volume klicken.
Schritt 3: Wählen Sie die Instanz aus dem Instanz-Textfeld aus.
Um diese Aktion auszuführen, verwenden Sie den folgenden Befehl:
Hängen Sie das EBS-Volume an.
Schritt 4: Melden Sie sich bei der EC2-Instanz an und listen Sie die verfügbaren Laufwerke mit dem Befehl lsblk
auf.
Schritt 5: Überprüfen Sie, ob das Volume Daten enthält, indem Sie den Befehl sudo file -s /dev/xvdf
verwenden.
Wenn die Ausgabe des obigen Befehls "/dev/xvdf: data" zeigt, bedeutet dies, dass das Volume leer ist.
Schritt 6: Formatieren Sie das Volume im ext4-Dateisystem mit dem Befehl sudo mkfs -t ext4 /dev/xvdf
. Alternativ können Sie auch das xfs-Format verwenden, indem Sie den Befehl sudo mkfs -t xfs /dev/xvdf
verwenden. Beachten Sie, dass Sie entweder ext4 oder xfs verwenden sollten.
Schritt 7: Erstellen Sie ein Verzeichnis Ihrer Wahl, um das neue ext4-Volume zu mounten. Verwenden Sie beispielsweise den Namen "newvolume".
Um diese Aktion auszuführen, verwenden Sie den Befehl sudo mkdir /newvolume
.
Schritt 8: Hängen Sie das Volume am Verzeichnis "newvolume" mit dem Befehl sudo mount /dev/xvdf /newvolume/
an.
Schritt 9: Wechseln Sie zum Verzeichnis "newvolume" und überprüfen Sie den Festplattenspeicher, um das gemountete Volume zu validieren.
Um diese Aktion auszuführen, verwenden Sie die folgenden Befehle:
Wechseln Sie zum Verzeichnis
/newvolume
.Überprüfen Sie den Festplattenspeicher mit dem Befehl
df -h .
. Die Ausgabe dieses Befehls sollte den freien Speicherplatz im Verzeichnis "newvolume" anzeigen.
Dies können Sie mit Pacu mithilfe des Moduls ebs__explore_snapshots
tun.
Überprüfen eines Snapshots in AWS (mit cli)
Schattenkopie
Jeder AWS-Benutzer, der die Berechtigung EC2:CreateSnapshot
besitzt, kann die Hashes aller Domänenbenutzer stehlen, indem er einen Snapshot des Domänencontrollers erstellt, ihn an eine von ihm kontrollierte Instanz anhängt und die Dateien NTDS.dit und SYSTEM-Registrierungshive für die Verwendung mit Impacket's secretsdump-Projekt exportiert.
Sie können dieses Tool verwenden, um den Angriff zu automatisieren: https://github.com/Static-Flow/CloudCopy oder Sie könnten eine der vorherigen Techniken verwenden, nachdem Sie einen Snapshot erstellt haben.
Referenzen
Last updated