AWS - S3 Post Exploitation

Jifunze na zoea Uchimbaji wa AWS:Mafunzo ya HackTricks ya Mtaalam wa Timu Nyekundu ya AWS (ARTE) Jifunze na zoea Uchimbaji wa GCP: Mafunzo ya HackTricks ya Mtaalam wa Timu Nyekundu ya GCP (GRTE)

unga mkono HackTricks

Angalia mpango wa michango!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za uchimbaji kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

S3

Kwa maelezo zaidi angalia:

AWS - S3, Athena & Glacier Enum

Taarifa Zenye Hisia

Maranyingi utaweza kupata taarifa zenye hisia zinazoweza kusomwa kwenye makasha. Kwa mfano, siri za hali ya hewa ya terraform.

Kupindua

Jukwaa tofauti linaweza kutumia S3 kuhifadhi mali zenye hisia. Kwa mfano, airflow inaweza kuhifadhi mimba za kanuni hapo, au kurasa za wavuti zinaweza kutumika moja kwa moja kutoka S3. Mshambuliaji mwenye ruhusa ya kuandika anaweza kurekebisha kanuni kutoka kwenye kasha ili kupindua kwenye majukwaa mengine, au kuchukua akaunti kwa kurekebisha faili za JS.

Ransomware ya S3

Katika hali hii, mshambuliaji anaunda ufunguo wa KMS (Key Management Service) kwenye akaunti yao ya AWS au akaunti nyingine iliyovamiwa. Kisha wanafanya ufunguo huu uwe upatikane kwa kila mtu duniani, kuruhusu mtumiaji yeyote wa AWS, jukumu, au akaunti kuchipua vitu kwa kutumia ufunguo huu. Hata hivyo, vitu hivyo haviwezi kufunguliwa.

Mshambuliaji anatambua kasha la S3 la lengo na kupata ufikiaji wa kiwango cha kuandika kwake kwa kutumia njia mbalimbali. Hii inaweza kuwa kutokana na usanidi duni wa kasha ambao unauweka wazi au mshambuliaji kupata ufikiaji wa mazingira ya AWS yenyewe. Mshambuliaji kwa kawaida ananuia makasha yanayohifadhi taarifa zenye hisia kama vile taarifa inayoweza kutambulika kibinafsi (PII), taarifa iliyolindwa ya afya (PHI), magogo, nakala rudufu, na zaidi.

Ili kubaini ikiwa kasha linaweza kulengwa kwa ransomware, mshambuliaji anachunguza usanidi wake. Hii ni pamoja na kuhakiki ikiwa S3 Object Versioning imeanzishwa na ikiwa kufuta kwa uthibitishaji wa hatua maradufu (MFA delete) kumewezeshwa. Ikiwa Object Versioning haijaanzishwa, mshambuliaji anaweza kuendelea. Ikiwa Object Versioning imeanzishwa lakini MFA delete imelemazwa, mshambuliaji anaweza kulemaza Object Versioning. Ikiwa Object Versioning na MFA delete zimeanzishwa, inakuwa ngumu zaidi kwa mshambuliaji kufanya ransomware kwenye kasha maalum.

Kwa kutumia API ya AWS, mshambuliaji anachukua nafasi ya kila kitu kwenye kasha na nakala iliyofungwa kwa kutumia ufunguo wao wa KMS. Hii kimsingi inafanya data kwenye kasha iwe imefungwa, ikifanya isiweze kufikiwa bila ufunguo.

Kuongeza shinikizo zaidi, mshambuliaji anapanga kufuta ufunguo wa KMS uliotumiwa kwenye shambulio. Hii inampa lengo siku 7 za kupona data yao kabla ya ufunguo kufutwa na data kuwa imepotea kabisa.

Hatimaye, mshambuliaji anaweza kupakia faili ya mwisho, kawaida iitwayo "ransom-note.txt," ambayo ina maagizo kwa lengo juu ya jinsi ya kupata faili zao. Faili hii inapakiwa bila kufungwa, labda ili kuvutia tahadhari ya lengo na kuwafanya waweze kufahamu shambulio la ransomware.

Kwa maelezo zaidi angalia utafiti wa awali.

unga mkono HackTricks

Angalia mpango wa michango!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za uchimbaji kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago