AWS - Redshift Privesc

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Redshift

Für weitere Informationen zu RDS siehe:

`redshift:DescribeClusters`, `redshift:GetClusterCredentials`

Mit diesen Berechtigungen können Sie Informationen zu allen Clustern abrufen (einschließlich Name und Cluster-Benutzername) und Anmeldeinformationen zum Zugriff darauf erhalten:

# Get creds
aws redshift get-cluster-credentials --db-user postgres --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAM:<username>" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

`redshift:DescribeClusters`, `redshift:GetClusterCredentialsWithIAM`

Mit diesen Berechtigungen können Sie Informationen zu allen Clustern abrufen und Anmeldeinformationen zum Zugriff darauf erhalten. Beachten Sie, dass der postgres-Benutzer die Berechtigungen hat, die die IAM-Identität hat, die zum Abrufen der Anmeldeinformationen verwendet wurde.

# Get creds
aws redshift get-cluster-credentials-with-iam --cluster-identifier redshift-cluster-1
# Connect, even if the password is a base64 string, that is the password
psql -h redshift-cluster-1.asdjuezc439a.us-east-1.redshift.amazonaws.com -U "IAMR:AWSReservedSSO_AdministratorAccess_4601154638985c45" -d template1 -p 5439

Potenzielle Auswirkungen: Sensible Informationen in den Datenbanken finden.

`redshift:DescribeClusters`, `redshift:ModifyCluster?`

Es ist möglich, das Hauptpasswort des internen Postgres (redshit) Benutzers über die AWS-Befehlszeile zu ändern (Ich denke, dass dies die erforderlichen Berechtigungen sind, aber ich habe sie noch nicht getestet):

aws redshift modify-cluster –cluster-identifier <identifier-for-the cluster> –master-user-password ‘master-password’;

Potenzielle Auswirkungen: Finden sensibler Informationen in den Datenbanken.

Zugriff auf externe Dienste

Um auf alle folgenden Ressourcen zuzugreifen, müssen Sie die zu verwendende Rolle angeben. Ein Redshift-Cluster kann eine Liste von AWS-Rollen zugewiesen haben, die Sie verwenden können, wenn Sie die ARN kennen oder Sie können einfach "default" setzen, um die standardmäßig zugewiesene Rolle zu verwenden.

Darüber hinaus erlaubt Redshift auch, wie hier erklärt, Rollen zu verketten (solange die erste die zweite annehmen kann), um weiteren Zugriff zu erhalten, indem Sie sie einfach mit einem Komma trennen: iam_role 'arn:aws:iam::123456789012:role/RoleA,arn:aws:iam::210987654321:role/RoleB';

Lambdas

Wie in https://docs.aws.amazon.com/redshift/latest/dg/r_CREATE_EXTERNAL_FUNCTION.html erklärt, ist es möglich, eine Lambda-Funktion von Redshift aus aufzurufen mit etwas wie:

CREATE EXTERNAL FUNCTION exfunc_sum2(INT,INT)
RETURNS INT
STABLE
LAMBDA 'lambda_function'
IAM_ROLE default;

S3

Wie in https://docs.aws.amazon.com/redshift/latest/dg/tutorial-loading-run-copy.html erläutert, ist es möglich, in S3-Buckets zu lesen und zu schreiben:

# Read
copy table from 's3://<your-bucket-name>/load/key_prefix'
credentials 'aws_iam_role=arn:aws:iam::<aws-account-id>:role/<role-name>'
region '<region>'
options;

# Write
unload ('select * from venue')
to 's3://mybucket/tickit/unload/venue_'
iam_role default;

Dynamo

Wie in https://docs.aws.amazon.com/redshift/latest/dg/t_Loading-data-from-dynamodb.html erläutert, ist es möglich, Daten aus DynamoDB abzurufen:

copy favoritemovies
from 'dynamodb://ProductCatalog'
iam_role 'arn:aws:iam::0123456789012:role/MyRedshiftRole';

Die Amazon DynamoDB-Tabelle, die die Daten bereitstellt, muss in derselben AWS-Region erstellt werden wie Ihr Cluster, es sei denn, Sie verwenden die REGION-Option, um die AWS-Region anzugeben, in der sich die Amazon DynamoDB-Tabelle befindet.

EMR

Überprüfen Sie https://docs.aws.amazon.com/redshift/latest/dg/loading-data-from-emr.html

Referenzen

https://gist.github.com/kmcquade/33860a617e651104d243c324ddf7992a

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks in PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

PreviousAWS - RDS Privesc NextAWS - Route53 Privesc

Last updated 1 month ago