VPC & Réseau

Apprenez ce qu'est un VPC et ses composants dans :

EC2

Amazon EC2 est utilisé pour lancer des serveurs virtuels. Il permet la configuration de la sécurité et du réseau et la gestion du stockage. La flexibilité d'Amazon EC2 est évidente dans sa capacité à mettre à l'échelle les ressources à la fois vers le haut et vers le bas, s'adaptant efficacement aux changements de besoins variables ou aux pics de popularité. Cette fonctionnalité réduit la nécessité de prévisions de trafic précises.

Choses intéressantes à énumérer dans EC2 :

• Machines virtuelles

• Clés SSH

• Données utilisateur

• EC2/AMIs/Snapshots existants

• Réseau

• Réseaux

• Sous-réseaux

• Adresses IP publiques

• Ports ouverts

• Connexions intégrées avec d'autres réseaux en dehors d'AWS

Profils d'instance

L'utilisation de rôles pour accorder des autorisations aux applications s'exécutant sur des instances EC2 nécessite une configuration supplémentaire. Une application s'exécutant sur une instance EC2 est abstraite d'AWS par le système d'exploitation virtualisé. En raison de cette séparation supplémentaire, vous avez besoin d'une étape supplémentaire pour attribuer un rôle AWS et ses autorisations associées à une instance EC2 et les rendre disponibles pour ses applications.

Cette étape supplémentaire est la création d'un profil d'instance attaché à l'instance. Le profil d'instance contient le rôle et peut fournir les informations d'identification temporaires du rôle à une application s'exécutant sur l'instance. Ces informations d'identification temporaires peuvent ensuite être utilisées dans les appels API de l'application pour accéder aux ressources et limiter l'accès uniquement aux ressources spécifiées par le rôle. Notez que un seul rôle peut être attribué à une instance EC2 à la fois, et toutes les applications sur l'instance partagent le même rôle et les mêmes autorisations.

Point de terminaison de métadonnées

Les métadonnées AWS EC2 sont des informations sur une instance Amazon Elastic Compute Cloud (EC2) disponibles pour l'instance en cours d'exécution. Ces métadonnées sont utilisées pour fournir des informations sur l'instance, telles que son ID d'instance, la zone de disponibilité dans laquelle elle s'exécute, le rôle IAM associé à l'instance et le nom d'hôte de l'instance.

Énumération

# Get EC2 instances
aws ec2 describe-instances
aws ec2 describe-instance-status #Get status from running instances

# Get user data from each ec2 instance
for instanceid in $(aws ec2 describe-instances --profile <profile> --region us-west-2 | grep -Eo '"i-[a-zA-Z0-9]+' | tr -d '"'); do
echo "Instance ID: $instanceid"
aws ec2 describe-instance-attribute --profile <profile> --region us-west-2 --instance-id "$instanceid" --attribute userData | jq ".UserData.Value" | tr -d '"' | base64 -d
echo ""
echo "-------------------"
done

# Instance profiles
aws iam list-instance-profiles
aws iam list-instance-profiles-for-role --role-name <name>

# Get tags
aws ec2 describe-tags

# Get volumes
aws ec2 describe-volume-status
aws ec2 describe-volumes

# Get snapshots
aws ec2 describe-snapshots --owner-ids self

# Scheduled instances
aws ec2 describe-scheduled-instances

# Get custom images
aws ec2 describe-images --owners self

# Get Elastic IPs
aws ec2 describe-addresses

# Get current output
aws ec2 get-console-output --instance-id [id]

# Get VPN customer gateways
aws ec2 describe-customer-gateways
aws ec2 describe-vpn-gateways
aws ec2 describe-vpn-connections

# List conversion tasks to upload/download VMs
aws ec2 describe-conversion-tasks
aws ec2 describe-import-image-tasks

# Get Bundle Tasks
aws ec2 describe-bundle-tasks

# Get Classic Instances
aws ec2 describe-classic-link-instances

# Get Dedicated Hosts
aws ec2 describe-hosts

# Get SSH Key Pairs
aws ec2 describe-key-pairs

# Get Internet Gateways
aws ec2 describe-internet-gateways

# Get NAT Gateways
aws ec2 describe-nat-gateways

# Get subnetworks
aws ec2 describe-subnets

# Get FW rules
aws ec2 describe-network-acls

# Get security groups
aws ec2 describe-security-groups

# Get interfaces
aws ec2 describe-network-interfaces

# Get routes table
aws ec2 describe-route-tables

# Get VPCs
aws ec2 describe-vpcs
aws ec2 describe-vpc-peering-connections

Accès non authentifié

Élévation de privilèges

Sur la page suivante, vous pouvez vérifier comment abuser des autorisations EC2 pour escalader les privilèges :

Post-Exploitation

EBS

Les instantanés EBS (Elastic Block Store) d'Amazon sont essentiellement des sauvegardes statiques des volumes AWS EBS. En d'autres termes, ce sont des copies des disques attachés à une instance EC2 à un moment précis. Les instantanés EBS peuvent être copiés entre régions et comptes, voire téléchargés et exécutés localement.

Les instantanés peuvent contenir des informations sensibles telles que du code source ou des clés API, il est donc recommandé de les vérifier si vous en avez l'occasion.

Différence entre AMI et EBS

Une AMI est utilisée pour lancer une instance EC2, tandis qu'un instantané EC2 est utilisé pour sauvegarder et récupérer des données stockées sur un volume EBS. Bien qu'un instantané EC2 puisse être utilisé pour créer une nouvelle AMI, ce n'est pas la même chose qu'une AMI et il ne contient pas d'informations sur le système d'exploitation, le serveur d'applications ou d'autres logiciels nécessaires pour exécuter une application.

Élévation de privilèges

Sur la page suivante, vous pouvez vérifier comment abuser des autorisations EBS pour escalader les privilèges :

SSM

Amazon Simple Systems Manager (SSM) permet de gérer à distance des flottes d'instances EC2 pour faciliter leur administration. Chacune de ces instances doit exécuter le service SSM Agent car c'est lui qui recevra les actions et les exécutera à partir de l'API AWS.

L'agent SSM permet à Systems Manager de mettre à jour, gérer et configurer ces ressources. L'agent traite les demandes du service Systems Manager dans le Cloud AWS, puis les exécute comme spécifié dans la demande.

L'agent SSM est préinstallé dans certaines AMI ou vous devez l'installer manuellement sur les instances. De plus, le rôle IAM utilisé à l'intérieur de l'instance doit avoir la politique AmazonEC2RoleforSSM attachée pour pouvoir communiquer.

Énumération

aws ssm describe-instance-information
aws ssm describe-parameters
aws ssm describe-sessions --state [Active|History]
aws ssm describe-instance-patches --instance-id <id>
aws ssm describe-instance-patch-states --instance-ids <id>
aws ssm describe-instance-associations-status --instance-id <id>

Vous pouvez vérifier dans une instance EC2 si Systems Manager est en cours d'exécution en exécutant :

ps aux | grep amazon-ssm

Privesc

Sur la page suivante, vous pouvez vérifier comment abuser des autorisations SSM pour escalader les privilèges:

ELB

Elastic Load Balancing (ELB) est un service d'équilibrage de charge pour les déploiements Amazon Web Services (AWS). ELB distribue automatiquement le trafic d'application entrant et ajuste les ressources pour répondre aux demandes de trafic.

Enumeration

# List internet-facing ELBs
aws elb describe-load-balancers
aws elb describe-load-balancers | jq '.LoadBalancerDescriptions[]| select( .Scheme | contains("internet-facing"))|.DNSName'

# DONT FORGET TO CHECK VERSION 2
aws elbv2 describe-load-balancers
aws elbv2 describe-load-balancers | jq '.LoadBalancers[].DNSName'
aws elbv2 describe-listeners --load-balancer-arn <load_balancer_arn>

Modèles de lancement & Groupes de mise à l'échelle automatique

Énumération

# Launch templates
aws ec2 describe-launch-templates
aws ec2 describe-launch-templates --launch-template-id <launch_template_id>
## Get details, like user data
aws ec2 describe-launch-template-versions --launch-template-id <launch_template_id>

# Autoscaling
aws autoscaling describe-auto-scaling-groups
aws autoscaling describe-auto-scaling-instances
aws autoscaling describe-launch-configurations
aws autoscaling describe-load-balancer-target-groups
aws autoscaling describe-load-balancers

Nitro

AWS Nitro est une suite de technologies innovantes qui forment la plateforme sous-jacente des instances AWS EC2. Introduit par Amazon pour améliorer la sécurité, les performances et la fiabilité, Nitro exploite des composants matériels personnalisés et un hyperviseur léger. Il abstrait une grande partie de la fonctionnalité de virtualisation traditionnelle vers du matériel et des logiciels dédiés, minimisant la surface d'attaque et améliorant l'efficacité des ressources. En déchargeant les fonctions de virtualisation, Nitro permet aux instances EC2 de fournir des performances proches du bare-metal, ce qui est particulièrement bénéfique pour les applications gourmandes en ressources. De plus, la puce de sécurité Nitro garantit spécifiquement la sécurité du matériel et du micrologiciel, renforçant davantage son architecture robuste.

Obtenez plus d'informations et comment l'énumérer à partir de :

VPN

Un VPN permet de connecter votre réseau sur site (VPN site à site) ou les ordinateurs portables des travailleurs (VPN client) avec un VPC AWS afin que les services puissent être accessibles sans avoir besoin de les exposer à Internet.

Composants de base d'un VPN AWS

1. Passerelle client :

• Une passerelle client est une ressource que vous créez dans AWS pour représenter votre côté d'une connexion VPN.

• Il s'agit essentiellement d'un périphérique physique ou d'une application logicielle de votre côté de la connexion VPN site à site.

• Vous fournissez des informations de routage et l'adresse IP publique de votre périphérique réseau (tel qu'un routeur ou un pare-feu) à AWS pour créer une passerelle client.

• Elle sert de point de référence pour la configuration de la connexion VPN et n'entraîne pas de frais supplémentaires.

2. Passerelle privée virtuelle :

• Une passerelle privée virtuelle (VPG) est le concentrateur VPN du côté Amazon de la connexion VPN site à site.

• Elle est attachée à votre VPC et sert de cible pour votre connexion VPN.

• La VPG est le point de terminaison côté AWS pour la connexion VPN.

• Elle gère la communication sécurisée entre votre VPC et votre réseau sur site.

3. Connexion VPN site à site :

• Une connexion VPN site à site connecte votre réseau sur site à un VPC via un tunnel VPN IPsec sécurisé.

• Ce type de connexion nécessite une passerelle client et une passerelle privée virtuelle.

• Elle est utilisée pour une communication sécurisée, stable et cohérente entre votre centre de données ou réseau et votre environnement AWS.

• Généralement utilisée pour des connexions régulières et à long terme, elle est facturée en fonction de la quantité de données transférées sur la connexion.

4. Point de terminaison VPN client :

• Un point de terminaison VPN client est une ressource que vous créez dans AWS pour permettre et gérer des sessions VPN client.

• Il est utilisé pour permettre à des appareils individuels (comme des ordinateurs portables, des smartphones, etc.) de se connecter de manière sécurisée aux ressources AWS ou à votre réseau sur site.

• Il diffère du VPN site à site en ce qu'il est conçu pour des clients individuels plutôt que pour connecter des réseaux entiers.

• Avec le VPN client, chaque appareil client utilise un logiciel client VPN pour établir une connexion sécurisée.

Vous pouvez trouver plus d'informations sur les avantages et les composants des VPN AWS ici.

Énumération

# VPN endpoints
## Check used subnetwork, authentication, SGs, connected...
aws ec2 describe-client-vpn-endpoints

## Get AWS network info related to the vpn endpoint
aws ec2 describe-client-vpn-target-networks --client-vpn-endpoint-id <id>

## Get AWS subnet & ip range the VPN iconnected to
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id <id>

## Check authorization rules
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id <id>

## Get current connections to the VPN endpoint
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id <id>

# Get VPN gateways and check with which VPC each is connected
aws ec2 describe-vpn-gateways

# Get VPN site-to-site connections
aws ec2 describe-vpn-connections

Énumération Locale

Credentials Temporaires Locales

Lorsque le client VPN AWS est utilisé pour se connecter à un VPN, l'utilisateur se connectera généralement à AWS pour accéder au VPN. Ensuite, des informations d'identification AWS sont créées et stockées localement pour établir la connexion VPN. Ces informations d'identification sont stockées dans $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt et contiennent une Clé d'Accès (AccessKey), une Clé Secrète (SecretKey) et un Jeton (Token).

Les informations d'identification appartiennent à l'utilisateur arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: rechercher davantage sur les autorisations de ces informations d'identification).

Fichiers de configuration opvn

Si une connexion VPN a été établie, vous devriez rechercher des fichiers de configuration .opvn dans le système. De plus, un endroit où vous pourriez trouver les configurations est dans $HOME/.config/AWSVPNClient/OpenVpnConfigs

Post Exploitation

Références

• https://docs.aws.amazon.com/batch/latest/userguide/getting-started-ec2.html