AWS - EC2 Persistence

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Autres façons de soutenir HackTricks:

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

EC2

Pour plus d'informations, consultez :

pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Persistance de suivi de connexion du groupe de sécurité

Si un défenseur découvre qu'une instance EC2 a été compromise, il essaiera probablement de isoler le réseau de la machine. Il pourrait le faire avec un NACL de refus explicite (mais les NACL affectent tout le sous-réseau), ou en changeant le groupe de sécurité ne permettant aucun type de trafic entrant ou sortant.

Si l'attaquant avait un shell inversé originaire de la machine, même si le SG est modifié pour ne pas autoriser de trafic entrant ou sortant, la connexion ne sera pas interrompue en raison du Suivi de connexion du groupe de sécurité.

Gestionnaire de cycle de vie EC2

Ce service permet de planifier la création d'AMIs et de snapshots et même de les partager avec d'autres comptes. Un attaquant pourrait configurer la génération d'AMIs ou de snapshots de toutes les images ou de tous les volumes chaque semaine et les partager avec son compte.

Instances planifiées

Il est possible de planifier des instances pour s'exécuter quotidiennement, hebdomadairement ou même mensuellement. Un attaquant pourrait exécuter une machine avec des privilèges élevés ou un accès intéressant où il pourrait accéder.

Demande de flotte Spot

Les instances Spot sont moins chères que les instances régulières. Un attaquant pourrait lancer une petite demande de flotte Spot pour 5 ans (par exemple), avec attribution automatique d'IP et un user data qui envoie à l'attaquant lorsque l'instance Spot démarre et l'adresse IP et avec un rôle IAM à privilèges élevés.

Instances de porte dérobée

Un attaquant pourrait accéder aux instances et les piéger :

En utilisant un rootkit traditionnel par exemple
Ajoutant une nouvelle clé SSH publique (vérifiez les options de privilège EC2)
Piégeant les User Data

Configuration de lancement de porte dérobée

Piéger l'AMI utilisée
Piéger les User Data
Piéger la paire de clés

VPN

Créez un VPN pour que l'attaquant puisse se connecter directement à travers lui au VPC.

Interconnexion de VPC

Créez une connexion d'interconnexion entre le VPC de la victime et le VPC de l'attaquant afin qu'il puisse accéder au VPC de la victime.

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Autres façons de soutenir HackTricks:

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

PrécédentAWS - DynamoDB Persistence SuivantAWS - ECR Persistence

Dernière mise à jour il y a 1 mois