iam:PassRole, codestar:CreateProject
Com essas permissões, você pode abusar de uma função IAM do codestar para realizar ações arbitrárias por meio de um modelo cloudformation.
Para explorar isso, você precisa criar um bucket S3 acessível a partir da conta atacada. Faça upload de um arquivo chamado toolchain.json
. Este arquivo deve conter o modelo cloudformation de exploração. O seguinte pode ser usado para definir uma política gerenciada para um usuário sob seu controle e conceder permissões de administrador:
Também faça upload deste arquivo zip vazio
no bucket:
Lembre-se de que o bucket com ambos os arquivos deve ser acessível pela conta da vítima.
Com ambos os arquivos carregados, agora você pode prosseguir com a exploração criando um projeto codestar:
Este exploit é baseado no exploit Pacu desses privilégios: https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam__privesc_scan/main.py#L1997 Nele você pode encontrar uma variação para criar uma política gerenciada de administrador para uma função em vez de um usuário.
Última actualización