AWS - EMR Privesc

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

EMR

Więcej informacji na temat EMR znajdziesz w:

`iam:PassRole`, `elasticmapreduce:RunJobFlow`

Atakujący posiadający te uprawnienia może uruchomić nowy klaster EMR, dołączając role EC2 i próbować ukraść jego poświadczenia. Należy zauważyć, że w celu wykonania tego zadania musisz znać klucz prywatny ssh zaimportowany do konta lub zaimportować jeden oraz być w stanie otworzyć port 22 w węźle głównym (możesz to zrobić za pomocą atrybutów EmrManagedMasterSecurityGroup i/lub ServiceAccessSecurityGroup wewnątrz --ec2-attributes).

# Import EC2 ssh key (you will need extra permissions for this)
ssh-keygen -b 2048 -t rsa -f /tmp/sshkey -q -N ""
chmod 400 /tmp/sshkey
base64 /tmp/sshkey.pub > /tmp/pub.key
aws ec2 import-key-pair \
--key-name "privesc" \
--public-key-material file:///tmp/pub.key


aws emr create-cluster \
--release-label emr-5.15.0 \
--instance-type m4.large \
--instance-count 1 \
--service-role EMR_DefaultRole \
--ec2-attributes InstanceProfile=EMR_EC2_DefaultRole,KeyName=privesc

# Wait 1min and connect via ssh to an EC2 instance of the cluster)
aws emr describe-cluster --cluster-id <id>
# In MasterPublicDnsName you can find the DNS to connect to the master instance
## You cna also get this info listing EC2 instances

Zauważ, że w --service-role jest określona rola EMR, a w --ec2-attributes wewnątrz InstanceProfile jest określona rola ec2. Jednak ta technika pozwala tylko na kradzież poświadczeń roli EC2 (ponieważ połączysz się za pomocą ssh), ale nie roli IAM EMR.

Potencjalne skutki: Przywileje dla roli usługi EC2.

`elasticmapreduce:CreateEditor`, `iam:ListRoles`, `elasticmapreduce:ListClusters`, `iam:PassRole`, `elasticmapreduce:DescribeEditor`, `elasticmapreduce:OpenEditorInConsole`

Z tymi uprawnieniami atakujący może przejść do konsoli AWS, utworzyć notatnik i uzyskać do niego dostęp w celu kradzieży roli IAM.

Nawet jeśli dołączysz rolę IAM do instancji notatnika, w moich testach zauważyłem, że byłem w stanie ukraść zarządzane poświadczenia AWS, a nie poświadczenia związane z rolą IAM.

Potencjalne skutki: Przywileje dla zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

`elasticmapreduce:OpenEditorInConsole`

Tylko z tym uprawnieniem atakujący będzie mógł uzyskać dostęp do Jupyter Notebook i ukraść rolę IAM z nią związaną. Adres URL notatnika to https://<notebook-id>.emrnotebooks-prod.eu-west-1.amazonaws.com/<notebook-id>/lab/

Nawet jeśli dołączysz rolę IAM do instancji notatnika, w moich testach zauważyłem, że byłem w stanie ukraść zarządzane poświadczenia AWS, a nie poświadczenia związane z rolą IAM.

Potencjalne skutki: Przywileje dla zarządzanej roli AWS arn:aws:iam::420254708011:instance-profile/prod-EditorInstanceProfile

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć reklamę swojej firmy w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi trikami hakerskimi, przesyłając PR do HackTricks i HackTricks Cloud github repos.

PreviousAWS - Elastic Beanstalk Privesc NextAWS - Gamelift

Last updated 2 months ago