AWS - EBS Snapshot Dump
Verifica di uno snapshot in locale
Nota che dsnap
non ti permetterà di scaricare snapshot pubblici. Per aggirare questo problema, puoi fare una copia dello snapshot nel tuo account personale e scaricarlo da lì:
Per ulteriori informazioni su questa tecnica, controlla la ricerca originale su https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Puoi fare ciò con Pacu utilizzando il modulo ebs__download_snapshots
Verifica di uno snapshot in AWS
Montalo in una VM EC2 sotto il tuo controllo (deve essere nella stessa regione della copia del backup):
Passaggio 1: Deve essere creato un nuovo volume della dimensione e tipo preferiti dirigendosi su EC2 –> Volumi.
Per poter eseguire questa azione, segui questi comandi:
Crea un volume EBS da allegare all'istanza EC2.
Assicurati che il volume EBS e l'istanza siano nella stessa zona.
Passaggio 2: Seleziona l'opzione "allega volume" facendo clic con il tasto destro sul volume creato.
Passaggio 3: Seleziona l'istanza dalla casella di testo dell'istanza.
Per poter eseguire questa azione, utilizza il seguente comando:
Allega il volume EBS.
Passaggio 4: Accedi all'istanza EC2 e elenca i dischi disponibili utilizzando il comando lsblk
.
Passaggio 5: Verifica se il volume contiene dati utilizzando il comando sudo file -s /dev/xvdf
.
Se l'output del comando precedente mostra "/dev/xvdf: data", significa che il volume è vuoto.
Passaggio 6: Formatta il volume al filesystem ext4 utilizzando il comando sudo mkfs -t ext4 /dev/xvdf
. In alternativa, puoi utilizzare anche il formato xfs utilizzando il comando sudo mkfs -t xfs /dev/xvdf
. Si noti che è necessario utilizzare ext4 o xfs.
Passaggio 7: Crea una directory a tua scelta per montare il nuovo volume ext4. Ad esempio, puoi utilizzare il nome "newvolume".
Per poter eseguire questa azione, utilizza il comando sudo mkdir /newvolume
.
Passaggio 8: Monta il volume nella directory "newvolume" utilizzando il comando sudo mount /dev/xvdf /newvolume/
.
Passaggio 9: Cambia directory nella directory "newvolume" e controlla lo spazio disco per convalidare il mount del volume.
Per poter eseguire questa azione, utilizza i seguenti comandi:
Cambia directory in
/newvolume
.Controlla lo spazio disco utilizzando il comando
df -h .
. L'output di questo comando dovrebbe mostrare lo spazio libero nella directory "newvolume".
Puoi fare ciò con Pacu utilizzando il modulo ebs__explore_snapshots
.
Verifica di uno snapshot in AWS (utilizzando la cli)
Copia ombra
Qualsiasi utente AWS che possiede il permesso EC2:CreateSnapshot
può rubare gli hash di tutti gli utenti di dominio creando uno snapshot del Domain Controller, montandolo su un'istanza da loro controllata ed esportando il file NTDS.dit e il registro di sistema SYSTEM per l'uso con il progetto secretsdump di Impacket.
Puoi utilizzare questo strumento per automatizzare l'attacco: https://github.com/Static-Flow/CloudCopy oppure potresti utilizzare una delle tecniche precedenti dopo aver creato uno snapshot.
Riferimenti
Last updated