AWS - SQS Privesc

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

SQS

Kwa habari zaidi angalia:

pageAWS - SQS Enum

`sqs:AddPermission`

Mshambuliaji anaweza kutumia ruhusa hii kuwapa watumiaji au huduma wasiohalali ufikiaji kwenye foleni ya SQS kwa kuunda sera mpya au kuhariri sera zilizopo. Hii inaweza kusababisha ufikiaji usiohalali wa ujumbe kwenye foleni au upotoshaji wa foleni na vyombo visivyoruhusiwa.

```bash cssCopy codeaws sqs add-permission --queue-url --actions --aws-account-ids --label ``` **Athari Inayowezekana**: Upatikanaji usiohalali wa foleni, ufunuo wa ujumbe, au udhibiti wa foleni na watumiaji au huduma wasiohalali.

`sqs:SendMessage`, `sqs:SendMessageBatch`

Mshambuliaji anaweza kutuma ujumbe wenye nia mbaya au usiotakiwa kwenye foleni ya SQS, ikisababisha uharibifu wa data, kuzindua hatua zisizokusudiwa, au kumaliza rasilimali.

aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>

Madhara Yanayoweza Kutokea: Uvumbuzi wa Udhaifu, Uharibifu wa Data, hatua zisizokusudiwa, au upungufu wa rasilimali.

`sqs:ReceiveMessage`, `sqs:DeleteMessage`, `sqs:ChangeMessageVisibility`

Mshambuliaji anaweza kupokea, kufuta, au kubadilisha uonekano wa ujumbe katika foleni ya SQS, kusababisha upotevu wa ujumbe, uharibifu wa data, au kuvuruga huduma kwa maombi yanayotegemea ujumbe huo.

aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>

Matokeo Yanayowezekana: Kuiba taarifa nyeti, Upotevu wa ujumbe, uharibifu wa data, na kuvuruga huduma kwa maombi yanayotegemea ujumbe ulioathiriwa.

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAWS - SNS Privesc NextAWS - SSO & identitystore Privesc

Last updated 2 months ago

SQS

sqs:AddPermission

sqs:SendMessage, sqs:SendMessageBatch

sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility

`sqs:AddPermission`

`sqs:SendMessage`, `sqs:SendMessageBatch`

`sqs:ReceiveMessage`, `sqs:DeleteMessage`, `sqs:ChangeMessageVisibility`