AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

VPC & Networking

Aprenda o que é uma VPC e sobre seus componentes em:

EC2

Amazon EC2 é utilizado para iniciar servidores virtuais. Ele permite a configuração de segurança e rede e a gestão de armazenamento. A flexibilidade do Amazon EC2 é evidente em sua capacidade de escalar recursos tanto para cima quanto para baixo, adaptando-se efetivamente a mudanças de requisitos ou aumentos de popularidade. Esta característica diminui a necessidade de previsões precisas de tráfego.

Coisas interessantes para enumerar no EC2:

• Máquinas Virtuais

• Chaves SSH

• Dados do Usuário

• EC2s/AMIs/Snapshots existentes

• Rede

• Redes

• Sub-redes

• IPs Públicos

• Portas abertas

• Conexões integradas com outras redes fora da AWS

Perfis de Instância

Usar roles para conceder permissões a aplicações que rodam em instâncias EC2 requer um pouco de configuração extra. Uma aplicação rodando em uma instância EC2 é abstraída da AWS pelo sistema operacional virtualizado. Devido a essa separação extra, é necessário um passo adicional para atribuir uma role da AWS e suas permissões associadas a uma instância EC2 e torná-las disponíveis para suas aplicações.

Este passo extra é a criação de um perfil de instância anexado à instância. O perfil de instância contém a role e pode fornecer as credenciais temporárias da role para uma aplicação que roda na instância. Essas credenciais temporárias podem então ser usadas nas chamadas de API da aplicação para acessar recursos e limitar o acesso apenas aos recursos especificados pela role. Note que apenas uma role pode ser atribuída a uma instância EC2 por vez, e todas as aplicações na instância compartilham a mesma role e permissões.

Endpoint de Metadados

Metadados do AWS EC2 são informações sobre uma instância do Amazon Elastic Compute Cloud (EC2) que estão disponíveis para a instância em tempo de execução. Esses metadados são usados para fornecer informações sobre a instância, como seu ID de instância, a zona de disponibilidade em que está rodando, a role IAM associada à instância e o hostname da instância.

Enumeração

# Get EC2 instances
aws ec2 describe-instances
aws ec2 describe-instance-status #Get status from running instances

# Get user data from each ec2 instance
for instanceid in $(aws ec2 describe-instances --profile <profile> --region us-west-2 | grep -Eo '"i-[a-zA-Z0-9]+' | tr -d '"'); do
echo "Instance ID: $instanceid"
aws ec2 describe-instance-attribute --profile <profile> --region us-west-2 --instance-id "$instanceid" --attribute userData | jq ".UserData.Value" | tr -d '"' | base64 -d
echo ""
echo "-------------------"
done

# Instance profiles
aws iam list-instance-profiles
aws iam list-instance-profiles-for-role --role-name <name>

# Get tags
aws ec2 describe-tags

# Get volumes
aws ec2 describe-volume-status
aws ec2 describe-volumes

# Get snapshots
aws ec2 describe-snapshots --owner-ids self

# Scheduled instances
aws ec2 describe-scheduled-instances

# Get custom images
aws ec2 describe-images --owners self

# Get Elastic IPs
aws ec2 describe-addresses

# Get current output
aws ec2 get-console-output --instance-id [id]

# Get VPN customer gateways
aws ec2 describe-customer-gateways
aws ec2 describe-vpn-gateways
aws ec2 describe-vpn-connections

# List conversion tasks to upload/download VMs
aws ec2 describe-conversion-tasks
aws ec2 describe-import-image-tasks

# Get Bundle Tasks
aws ec2 describe-bundle-tasks

# Get Classic Instances
aws ec2 describe-classic-link-instances

# Get Dedicated Hosts
aws ec2 describe-hosts

# Get SSH Key Pairs
aws ec2 describe-key-pairs

# Get Internet Gateways
aws ec2 describe-internet-gateways

# Get NAT Gateways
aws ec2 describe-nat-gateways

# Get subnetworks
aws ec2 describe-subnets

# Get FW rules
aws ec2 describe-network-acls

# Get security groups
aws ec2 describe-security-groups

# Get interfaces
aws ec2 describe-network-interfaces

# Get routes table
aws ec2 describe-route-tables

# Get VPCs
aws ec2 describe-vpcs
aws ec2 describe-vpc-peering-connections

Acesso Não Autenticado

Privesc

Na página a seguir, você pode verificar como abusar das permissões do EC2 para escalar privilégios:

Pós-Explotação

EBS

Os snapshots do Amazon EBS (Elastic Block Store) são basicamente backups estáticos dos volumes EBS da AWS. Em outras palavras, são cópias dos discos anexados a uma Instância EC2 em um momento específico. Os snapshots do EBS podem ser copiados entre regiões e contas, ou até mesmo baixados e executados localmente.

Os snapshots podem conter informações sensíveis como código-fonte ou chaves API, portanto, se você tiver a chance, é recomendável verificá-los.

Diferença AMI & EBS

Uma AMI é usada para iniciar uma instância EC2, enquanto um Snapshot do EC2 é usado para fazer backup e recuperar dados armazenados em um volume EBS. Embora um Snapshot do EC2 possa ser usado para criar uma nova AMI, ele não é a mesma coisa que uma AMI e não inclui informações sobre o sistema operacional, servidor de aplicativos ou outro software necessário para executar uma aplicação.

Privesc

Na página a seguir, você pode verificar como abusar das permissões do EBS para escalar privilégios:

SSM

Amazon Simple Systems Manager (SSM) permite gerenciar remotamente grupos de instâncias EC2 para facilitar muito mais suas administrações. Cada uma dessas instâncias precisa estar executando o serviço SSM Agent, pois o serviço será o responsável por receber as ações e executá-las a partir da API da AWS.

O SSM Agent possibilita que o Systems Manager atualize, gerencie e configure esses recursos. O agente processa solicitações do serviço Systems Manager na Nuvem AWS, e então as executa conforme especificado na solicitação.

O SSM Agent vem pré-instalado em algumas AMIs ou você precisa instalá-lo manualmente nas instâncias. Além disso, a Role IAM usada dentro da instância precisa ter a política AmazonEC2RoleforSSM anexada para poder se comunicar.

Enumeração

aws ssm describe-instance-information
aws ssm describe-parameters
aws ssm describe-sessions --state [Active|History]
aws ssm describe-instance-patches --instance-id <id>
aws ssm describe-instance-patch-states --instance-ids <id>
aws ssm describe-instance-associations-status --instance-id <id>

Você pode verificar em uma instância EC2 se o Systems Manager está em execução apenas executando:

ps aux | grep amazon-ssm

Privesc

Na página a seguir, você pode verificar como abusar das permissões do SSM para escalar privilégios:

ELB

Elastic Load Balancing (ELB) é um serviço de balanceamento de carga para implantações da Amazon Web Services (AWS). O ELB distribui automaticamente o tráfego de entrada da aplicação e escala os recursos para atender às demandas de tráfego.

Enumeration

# List internet-facing ELBs
aws elb describe-load-balancers
aws elb describe-load-balancers | jq '.LoadBalancerDescriptions[]| select( .Scheme | contains("internet-facing"))|.DNSName'

# DONT FORGET TO CHECK VERSION 2
aws elbv2 describe-load-balancers
aws elbv2 describe-load-balancers | jq '.LoadBalancers[].DNSName'
aws elbv2 describe-listeners --load-balancer-arn <load_balancer_arn>

Launch Templates & Autoscaling Groups

Enumeração

# Launch templates
aws ec2 describe-launch-templates
aws ec2 describe-launch-templates --launch-template-id <launch_template_id>
## Get details, like user data
aws ec2 describe-launch-template-versions --launch-template-id <launch_template_id>

# Autoscaling
aws autoscaling describe-auto-scaling-groups
aws autoscaling describe-auto-scaling-instances
aws autoscaling describe-launch-configurations
aws autoscaling describe-load-balancer-target-groups
aws autoscaling describe-load-balancers

Nitro

AWS Nitro é um conjunto de tecnologias inovadoras que formam a plataforma subjacente para instâncias AWS EC2. Introduzido pela Amazon para aumentar a segurança, desempenho e confiabilidade, Nitro utiliza componentes de hardware personalizados e um hipervisor leve. Ele abstrai grande parte da funcionalidade de virtualização tradicional para hardware e software dedicados, minimizando a superfície de ataque e melhorando a eficiência dos recursos. Ao descarregar funções de virtualização, Nitro permite que as instâncias EC2 ofereçam desempenho próximo ao bare-metal, sendo particularmente benéfico para aplicações que exigem muitos recursos. Além disso, o Nitro Security Chip garante especificamente a segurança do hardware e firmware, solidificando ainda mais sua arquitetura robusta.

Obtenha mais informações e como enumerá-lo em:

VPN

Uma VPN permite conectar sua rede on-premise (site-to-site VPN) ou os laptops dos trabalhadores (Client VPN) com uma AWS VPC para que os serviços possam ser acessados sem a necessidade de expô-los à internet.

Componentes Básicos da VPN AWS

1. Customer Gateway:

• Um Customer Gateway é um recurso que você cria na AWS para representar seu lado de uma conexão VPN.

• É essencialmente um dispositivo físico ou aplicativo de software do seu lado da conexão Site-to-Site VPN.

• Você fornece informações de roteamento e o endereço IP público do seu dispositivo de rede (como um roteador ou firewall) para a AWS criar um Customer Gateway.

• Serve como um ponto de referência para configurar a conexão VPN e não gera custos adicionais.

2. Virtual Private Gateway:

• Um Virtual Private Gateway (VPG) é o concentrador VPN no lado da Amazon da conexão Site-to-Site VPN.

• Ele é anexado à sua VPC e serve como o alvo para sua conexão VPN.

• VPG é o endpoint do lado da AWS para a conexão VPN.

• Ele lida com a comunicação segura entre sua VPC e sua rede on-premises.

3. Site-to-Site VPN Connection:

• Uma conexão Site-to-Site VPN conecta sua rede on-premises a uma VPC através de um túnel VPN seguro IPsec.

• Esse tipo de conexão requer um Customer Gateway e um Virtual Private Gateway.

• É usado para comunicação segura, estável e consistente entre seu data center ou rede e seu ambiente AWS.

• Tipicamente usado para conexões regulares e de longo prazo e é cobrado com base na quantidade de dados transferidos pela conexão.

4. Client VPN Endpoint:

• Um Client VPN endpoint é um recurso que você cria na AWS para habilitar e gerenciar sessões de VPN de clientes.

• É usado para permitir que dispositivos individuais (como laptops, smartphones, etc.) se conectem com segurança a recursos da AWS ou à sua rede on-premises.

• Difere do Site-to-Site VPN, pois é projetado para clientes individuais em vez de conectar redes inteiras.

• Com o Client VPN, cada dispositivo cliente usa um software cliente VPN para estabelecer uma conexão segura.

Você pode encontrar mais informações sobre os benefícios e componentes das VPNs AWS aqui.

Enumeração

# VPN endpoints
## Check used subnetwork, authentication, SGs, connected...
aws ec2 describe-client-vpn-endpoints

## Get AWS network info related to the vpn endpoint
aws ec2 describe-client-vpn-target-networks --client-vpn-endpoint-id <id>

## Get AWS subnet & ip range the VPN iconnected to
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id <id>

## Check authorization rules
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id <id>

## Get current connections to the VPN endpoint
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id <id>

# Get VPN gateways and check with which VPC each is connected
aws ec2 describe-vpn-gateways

# Get VPN site-to-site connections
aws ec2 describe-vpn-connections

Enumeração Local

Credenciais Temporárias Locais

Quando o AWS VPN Client é usado para conectar a uma VPN, o usuário geralmente faz login na AWS para obter acesso à VPN. Em seguida, algumas credenciais AWS são criadas e armazenadas localmente para estabelecer a conexão VPN. Essas credenciais são armazenadas em $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt e contêm uma AccessKey, uma SecretKey e um Token.

As credenciais pertencem ao usuário arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: pesquisar mais sobre as permissões dessas credenciais).

arquivos de configuração opvn

Se uma conexão VPN foi estabelecida, você deve procurar por arquivos de configuração .opvn no sistema. Além disso, um lugar onde você pode encontrar as configurações é em $HOME/.config/AWSVPNClient/OpenVpnConfigs

Pós-Exploração

Referências

• https://docs.aws.amazon.com/batch/latest/userguide/getting-started-ec2.html