AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

VPC & Networking

Scopri cos'è un VPC e i suoi componenti in:

EC2

Amazon EC2 è utilizzato per avviare server virtuali. Consente la configurazione della sicurezza e della rete e la gestione dello storage. La flessibilità di Amazon EC2 è evidente nella sua capacità di scalare le risorse sia verso l'alto che verso il basso, adattandosi efficacemente ai cambiamenti delle esigenze o agli aumenti di popolarità. Questa caratteristica riduce la necessità di previsioni precise del traffico.

Cose interessanti da enumerare in EC2:

• Macchine Virtuali

• Chiavi SSH

• Dati Utente

• EC2/AMIs/Snapshot esistenti

• Networking

• Reti

• Sottoreti

• IP Pubblici

• Porte aperte

• Connessioni integrate con altre reti al di fuori di AWS

Instance Profiles

Utilizzare i ruoli per concedere permessi alle applicazioni che girano su istanze EC2 richiede una configurazione aggiuntiva. Un'applicazione che gira su un'istanza EC2 è astratta da AWS dal sistema operativo virtualizzato. A causa di questa separazione aggiuntiva, è necessario un passaggio aggiuntivo per assegnare un ruolo AWS e i relativi permessi a un'istanza EC2 e renderli disponibili alle sue applicazioni.

Questo passaggio aggiuntivo è la creazione di un instance profile collegato all'istanza. Il instance profile contiene il ruolo e può fornire le credenziali temporanee del ruolo a un'applicazione che gira sull'istanza. Queste credenziali temporanee possono quindi essere utilizzate nelle chiamate API dell'applicazione per accedere alle risorse e limitare l'accesso solo a quelle risorse specificate dal ruolo. Nota che solo un ruolo può essere assegnato a un'istanza EC2 alla volta, e tutte le applicazioni sull'istanza condividono lo stesso ruolo e permessi.

Metadata Endpoint

I metadati di AWS EC2 sono informazioni su un'istanza Amazon Elastic Compute Cloud (EC2) disponibili all'istanza in fase di runtime. Questi metadati sono utilizzati per fornire informazioni sull'istanza, come il suo ID, la zona di disponibilità in cui è in esecuzione, il ruolo IAM associato all'istanza e il nome host dell'istanza.

Enumeration

# Get EC2 instances
aws ec2 describe-instances
aws ec2 describe-instance-status #Get status from running instances

# Get user data from each ec2 instance
for instanceid in $(aws ec2 describe-instances --profile <profile> --region us-west-2 | grep -Eo '"i-[a-zA-Z0-9]+' | tr -d '"'); do
echo "Instance ID: $instanceid"
aws ec2 describe-instance-attribute --profile <profile> --region us-west-2 --instance-id "$instanceid" --attribute userData | jq ".UserData.Value" | tr -d '"' | base64 -d
echo ""
echo "-------------------"
done

# Instance profiles
aws iam list-instance-profiles
aws iam list-instance-profiles-for-role --role-name <name>

# Get tags
aws ec2 describe-tags

# Get volumes
aws ec2 describe-volume-status
aws ec2 describe-volumes

# Get snapshots
aws ec2 describe-snapshots --owner-ids self

# Scheduled instances
aws ec2 describe-scheduled-instances

# Get custom images
aws ec2 describe-images --owners self

# Get Elastic IPs
aws ec2 describe-addresses

# Get current output
aws ec2 get-console-output --instance-id [id]

# Get VPN customer gateways
aws ec2 describe-customer-gateways
aws ec2 describe-vpn-gateways
aws ec2 describe-vpn-connections

# List conversion tasks to upload/download VMs
aws ec2 describe-conversion-tasks
aws ec2 describe-import-image-tasks

# Get Bundle Tasks
aws ec2 describe-bundle-tasks

# Get Classic Instances
aws ec2 describe-classic-link-instances

# Get Dedicated Hosts
aws ec2 describe-hosts

# Get SSH Key Pairs
aws ec2 describe-key-pairs

# Get Internet Gateways
aws ec2 describe-internet-gateways

# Get NAT Gateways
aws ec2 describe-nat-gateways

# Get subnetworks
aws ec2 describe-subnets

# Get FW rules
aws ec2 describe-network-acls

# Get security groups
aws ec2 describe-security-groups

# Get interfaces
aws ec2 describe-network-interfaces

# Get routes table
aws ec2 describe-route-tables

# Get VPCs
aws ec2 describe-vpcs
aws ec2 describe-vpc-peering-connections

Accesso Non Autenticato

Privesc

Nella seguente pagina puoi vedere come abusare dei permessi EC2 per scalare i privilegi:

Post-Exploitation

EBS

Gli EBS (Elastic Block Store) snapshots di Amazon sono fondamentalmente backup statici dei volumi EBS di AWS. In altre parole, sono copie dei dischi collegati a un'istanza EC2 in un momento specifico. Gli snapshot EBS possono essere copiati tra regioni e account, o persino scaricati ed eseguiti localmente.

Gli snapshot possono contenere informazioni sensibili come codice sorgente o chiavi API, quindi, se ne hai la possibilità, è consigliato controllarli.

Differenza AMI & EBS

Un'AMI viene utilizzata per avviare un'istanza EC2, mentre uno Snapshot EC2 viene utilizzato per eseguire il backup e il recupero dei dati memorizzati su un volume EBS. Sebbene uno Snapshot EC2 possa essere utilizzato per creare una nuova AMI, non è la stessa cosa di un'AMI e non include informazioni sul sistema operativo, server applicativo o altro software necessario per eseguire un'applicazione.

Privesc

Nella seguente pagina puoi vedere come abusare dei permessi EBS per scalare i privilegi:

SSM

Amazon Simple Systems Manager (SSM) consente di gestire da remoto flotte di istanze EC2 per rendere la loro amministrazione molto più semplice. Ciascuna di queste istanze deve eseguire il servizio SSM Agent poiché sarà il servizio a ricevere le azioni e ad eseguirle dall'API AWS.

SSM Agent rende possibile per Systems Manager aggiornare, gestire e configurare queste risorse. L'agente elabora le richieste dal servizio Systems Manager nel cloud AWS, e poi le esegue come specificato nella richiesta.

L'SSM Agent viene preinstallato in alcune AMI oppure è necessario installarlo manualmente sulle istanze. Inoltre, il ruolo IAM utilizzato all'interno dell'istanza deve avere la policy AmazonEC2RoleforSSM allegata per poter comunicare.

Enumerazione

aws ssm describe-instance-information
aws ssm describe-parameters
aws ssm describe-sessions --state [Active|History]
aws ssm describe-instance-patches --instance-id <id>
aws ssm describe-instance-patch-states --instance-ids <id>
aws ssm describe-instance-associations-status --instance-id <id>

Puoi verificare se Systems Manager è in esecuzione in un'istanza EC2 semplicemente eseguendo:

ps aux | grep amazon-ssm

Privesc

Nella seguente pagina puoi vedere come abusare dei permessi SSM per scalare i privilegi:

ELB

Elastic Load Balancing (ELB) è un servizio di bilanciamento del carico per le distribuzioni Amazon Web Services (AWS). ELB distribuisce automaticamente il traffico delle applicazioni in entrata e scala le risorse per soddisfare le richieste di traffico.

Enumeration

# List internet-facing ELBs
aws elb describe-load-balancers
aws elb describe-load-balancers | jq '.LoadBalancerDescriptions[]| select( .Scheme | contains("internet-facing"))|.DNSName'

# DONT FORGET TO CHECK VERSION 2
aws elbv2 describe-load-balancers
aws elbv2 describe-load-balancers | jq '.LoadBalancers[].DNSName'
aws elbv2 describe-listeners --load-balancer-arn <load_balancer_arn>

Launch Templates & Autoscaling Groups

Enumerazione

# Launch templates
aws ec2 describe-launch-templates
aws ec2 describe-launch-templates --launch-template-id <launch_template_id>
## Get details, like user data
aws ec2 describe-launch-template-versions --launch-template-id <launch_template_id>

# Autoscaling
aws autoscaling describe-auto-scaling-groups
aws autoscaling describe-auto-scaling-instances
aws autoscaling describe-launch-configurations
aws autoscaling describe-load-balancer-target-groups
aws autoscaling describe-load-balancers

Nitro

AWS Nitro è una suite di tecnologie innovative che costituiscono la piattaforma sottostante per le istanze AWS EC2. Introdotto da Amazon per migliorare la sicurezza, le prestazioni e l'affidabilità, Nitro sfrutta componenti hardware personalizzati e un hypervisor leggero. Astrae gran parte della funzionalità di virtualizzazione tradizionale su hardware e software dedicati, minimizzando la superficie di attacco e migliorando l'efficienza delle risorse. Delegando le funzioni di virtualizzazione, Nitro consente alle istanze EC2 di offrire prestazioni quasi a livello di metallo nudo, rendendolo particolarmente vantaggioso per applicazioni ad alta intensità di risorse. Inoltre, il Nitro Security Chip garantisce specificamente la sicurezza dell'hardware e del firmware, consolidando ulteriormente la sua robusta architettura.

Ottieni maggiori informazioni e come enumerarlo da:

VPN

Una VPN consente di connettere la tua rete on-premise (site-to-site VPN) o i laptop dei lavoratori (Client VPN) con un AWS VPC in modo che i servizi possano essere accessibili senza doverli esporre a internet.

Componenti di base della VPN AWS

1. Customer Gateway:

• Un Customer Gateway è una risorsa che crei in AWS per rappresentare il tuo lato di una connessione VPN.

• È essenzialmente un dispositivo fisico o un'applicazione software sul tuo lato della connessione Site-to-Site VPN.

• Fornisci informazioni di routing e l'indirizzo IP pubblico del tuo dispositivo di rete (come un router o un firewall) ad AWS per creare un Customer Gateway.

• Serve come punto di riferimento per configurare la connessione VPN e non comporta costi aggiuntivi.

2. Virtual Private Gateway:

• Un Virtual Private Gateway (VPG) è il concentratore VPN sul lato Amazon della connessione Site-to-Site VPN.

• È collegato al tuo VPC e serve come obiettivo per la tua connessione VPN.

• VPG è il punto finale lato AWS per la connessione VPN.

• Gestisce la comunicazione sicura tra il tuo VPC e la tua rete on-premises.

3. Site-to-Site VPN Connection:

• Una connessione Site-to-Site VPN collega la tua rete on-premises a un VPC tramite un tunnel VPN sicuro IPsec.

• Questo tipo di connessione richiede un Customer Gateway e un Virtual Private Gateway.

• È utilizzato per una comunicazione sicura, stabile e coerente tra il tuo data center o rete e il tuo ambiente AWS.

• Tipicamente utilizzato per connessioni regolari e a lungo termine ed è fatturato in base alla quantità di dati trasferiti sulla connessione.

4. Client VPN Endpoint:

• Un Client VPN endpoint è una risorsa che crei in AWS per abilitare e gestire le sessioni VPN client.

• È utilizzato per consentire ai singoli dispositivi (come laptop, smartphone, ecc.) di connettersi in modo sicuro alle risorse AWS o alla tua rete on-premises.

• Differisce dalla Site-to-Site VPN in quanto è progettato per singoli client piuttosto che per connettere intere reti.

• Con Client VPN, ogni dispositivo client utilizza un software client VPN per stabilire una connessione sicura.

Puoi trovare maggiori informazioni sui vantaggi e componenti delle VPN AWS qui.

Enumerazione

# VPN endpoints
## Check used subnetwork, authentication, SGs, connected...
aws ec2 describe-client-vpn-endpoints

## Get AWS network info related to the vpn endpoint
aws ec2 describe-client-vpn-target-networks --client-vpn-endpoint-id <id>

## Get AWS subnet & ip range the VPN iconnected to
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id <id>

## Check authorization rules
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id <id>

## Get current connections to the VPN endpoint
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id <id>

# Get VPN gateways and check with which VPC each is connected
aws ec2 describe-vpn-gateways

# Get VPN site-to-site connections
aws ec2 describe-vpn-connections

Local Enumeration

Local Temporary Credentials

Quando AWS VPN Client viene utilizzato per connettersi a una VPN, l'utente di solito accede ad AWS per ottenere l'accesso alla VPN. Successivamente, alcune credenziali AWS vengono create e memorizzate localmente per stabilire la connessione VPN. Queste credenziali sono memorizzate in $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt e contengono un AccessKey, un SecretKey e un Token.

Le credenziali appartengono all'utente arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: fare ulteriori ricerche sui permessi di queste credenziali).

opvn config files

Se una connessione VPN è stata stabilita dovresti cercare i file di configurazione .opvn nel sistema. Inoltre, un luogo dove potresti trovare le configurazioni è in $HOME/.config/AWSVPNClient/OpenVpnConfigs

Post Exploitaiton

References

• https://docs.aws.amazon.com/batch/latest/userguide/getting-started-ec2.html