iam:PassRole, codestar:CreateProject
Com essas permissões, você pode abusar de uma função IAM do codestar para realizar ações arbitrárias por meio de um modelo cloudformation.
Para explorar isso, você precisa criar um bucket S3 acessível a partir da conta atacada. Faça upload de um arquivo chamado toolchain.json
. Este arquivo deve conter o modelo de exploração do cloudformation. O seguinte pode ser usado para definir uma política gerenciada para um usuário sob seu controle e dar a ele permissões de administrador:
Também faça upload deste arquivo zip vazio
para o bucket:
Lembre-se de que o bucket com ambos os arquivos deve ser acessível pela conta da vítima.
Com ambas as coisas carregadas, agora você pode prosseguir com a exploração criando um projeto codestar:
Este exploit é baseado no exploit Pacu desses privilégios: https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam__privesc_scan/main.py#L1997 Nele você pode encontrar uma variação para criar uma política gerenciada por administradores para uma função em vez de para um usuário.
Last updated