AWS - SSM Privesc
SSM
SSM에 대한 자세한 정보는 다음을 확인하세요:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommand
ssm:SendCommand
ssm:SendCommand
권한을 가진 공격자는 Amazon SSM 에이전트가 실행되는 인스턴스에서 명령을 실행하고 내부에서 실행되는 IAM 역할을 침해할 수 있습니다.
만약 이미 침입당한 EC2 인스턴스 내에서 권한 상승을 위해 이 기술을 사용하는 경우, 다음과 같이 로컬에서 rev 쉘을 캡처할 수 있습니다:
잠재적 영향: SSM 에이전트가 실행 중인 EC2 IAM 역할로 직접 권한 상승.
ssm:StartSession
ssm:StartSession
ssm:StartSession
권한을 가진 공격자는 Amazon SSM 에이전트가 실행 중인 인스턴스에서 SSH와 유사한 세션을 시작하고 그 안에서 실행되는 IAM 역할을 침해할 수 있습니다.
세션을 시작하려면 SessionManagerPlugin이 설치되어 있어야 합니다: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
잠재적인 영향: SSM 에이전트가 실행 중인 EC2 IAM 역할에 직접적인 권한 상승.
ECS로의 권한 상승
ECS 작업이 ExecuteCommand
가 활성화된 상태에서 실행될 때, 충분한 권한을 가진 사용자는 ecs execute-command
를 사용하여 컨테이너 내에서 명령을 실행할 수 있습니다.
문서에 따르면, 이는 "exec" 명령을 시작하는 기기와 SSM 세션 관리자를 통해 대상 컨테이너 사이에 안전한 채널을 생성함으로써 수행됩니다.
따라서, ssm:StartSession
권한이 있는 사용자는 해당 옵션이 활성화된 ECS 작업 내에서 쉘을 얻을 수 있습니다. 단순히 다음을 실행하면 됩니다:
잠재적 영향: ExecuteCommand
가 활성화된 실행 중인 작업에 연결된 ECS
IAM 역할로의 직접적인 권한 상승.
ssm:ResumeSession
ssm:ResumeSession
ssm:ResumeSession
권한을 가진 공격자는 Amazon SSM 에이전트가 실행되는 인스턴스에서 SSH와 유사한 세션을 다시 시작할 수 있으며, 끊어진 SSM 세션 상태와 함께 그 안에서 실행되는 IAM 역할을 손상시킬 수 있습니다.
잠재적 영향: SSM 에이전트가 실행되고 세션이 끊어진 상태에서 실행 중인 인스턴스에 연결된 EC2 IAM 역할로 직접 권한 상승이 가능합니다.
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)언급된 권한을 가진 공격자는 SSM 매개변수를 나열하고 이를 평문으로 읽을 수 있게 됩니다. 이러한 매개변수에는 종종 SSH 키 또는 API 키와 같은 민감한 정보가 포함되어 있을 수 있습니다.
잠재적 영향: 매개변수 내에서 민감한 정보를 찾을 수 있습니다.
ssm:ListCommands
ssm:ListCommands
이 권한을 가진 공격자는 모든 명령어를 나열하고, 그 중에서 민감한 정보를 발견할 수 있습니다.
잠재적 영향: 명령어 라인 안에 민감한 정보를 찾을 수 있습니다.
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)이 권한을 가진 공격자는 모든 보낸 명령어를 나열하고 생성된 출력을 읽어 민감한 정보를 발견할 수 있습니다.
잠재적 영향: 명령 라인의 출력 내에서 민감한 정보를 찾을 수 있습니다.
Codebuild
빌드 중인 codebuild 프로젝트 내부로 들어가려면 SSM을 사용할 수도 있습니다:
pageAWS - Codebuild Privesc最終更新