AWS - EMR Privesc

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
Hacking 트릭을 공유하려면 HackTricks 및 HackTricks Cloud github 저장소에 PR을 제출하세요.

EMR

EMR에 대한 추가 정보는 다음에서 확인할 수 있습니다:

`iam:PassRole`, `elasticmapreduce:RunJobFlow`

이러한 권한을 가진 공격자는 EC2 역할을 연결하여 새로운 EMR 클러스터를 실행하고 해당 자격 증명을 도용하려고 시도할 수 있습니다. 이를 위해 계정에 임포트된 일부 ssh 개인 키를 알아야 하거나 하나를 임포트해야 하며, 마스터 노드에서 포트 22를 열 수 있어야 합니다 (--ec2-attributes 내부의 EmrManagedMasterSecurityGroup 및/또는 ServiceAccessSecurityGroup 속성을 사용하여 이를 수행할 수 있을 수도 있습니다).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

EMR 역할은 --service-role에서 지정되고 ec2 역할은 --ec2-attributes 내부의 InstanceProfile에서 지정됩니다. 그러나 이 기술은 EC2 역할 자격 증명을 도용할 수는 있지만 (ssh를 통해 연결하기 때문에) EMR IAM 역할은 도용할 수 없습니다.

잠재적 영향: 지정된 EC2 서비스 역할로의 권한 상승

`elasticmapreduce:CreateEditor`, `iam:ListRoles`, `elasticmapreduce:ListClusters`, `iam:PassRole`, `elasticmapreduce:DescribeEditor`, `elasticmapreduce:OpenEditorInConsole`

이러한 권한을 가진 공격자는 AWS 콘솔로 이동하여 노트북을 생성하고 액세스하여 IAM 역할을 도용할 수 있습니다.

노트북 인스턴스에 IAM 역할을 연결하더라도 제 테스트에서는 AWS 관리 자격 증명을 도용할 수 있었지만 IAM 역할과 관련된 자격 증명을 도용할 수 없었습니다.

잠재적 영향: AWS 관리 역할 arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile로의 권한 상승

`elasticmapreduce:OpenEditorInConsole`

이 권한만으로도 공격자는 Jupyter Notebook에 액세스하여 연결된 IAM 역할을 도용할 수 있습니다. 노트북의 URL은 https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/입니다.

잠재적 영향: AWS 관리 역할 arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile로의 권한 상승

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

HackTricks에서 회사 광고를 보거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 상품을 구매하세요.
The PEASS Family를 발견하세요. 독점적인 NFT 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

前へAWS - Elastic Beanstalk Privesc 次へAWS - Gamelift

最終更新 2 か月前