AWS - SSM Privesc
SSM
Kwa habari zaidi kuhusu SSM angalia:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommand
ssm:SendCommand
Mshambuliaji mwenye ruhusa ya ssm:SendCommand
anaweza kutekeleza amri kwenye mifano inayotumia Amazon SSM Agent na kudhoofisha Jukumu la IAM linalotumika ndani yake.
Ikiwa unatumia mbinu hii kuinua mamlaka ndani ya kifaa cha EC2 ambacho tayari kimevamiwa, unaweza tu kukamata rev shell kwa ndani kwa kutumia:
Athari Inayowezekana: Privesc moja kwa moja kwa majukumu ya IAM ya EC2 yanayohusishwa na mifano inayotumia Mawakala wa SSM.
ssm:StartSession
ssm:StartSession
Mshambuliaji mwenye ruhusa ya ssm:StartSession
anaweza kuanzisha kikao kama cha SSH kwenye mifano inayotumia Amazon SSM Agent na kuathiri jukumu la IAM linalotumika ndani yake.
Ili kuanza kikao unahitaji SessionManagerPlugin imewekwa: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Matokeo Yanayowezekana: Privesc moja kwa moja kwa EC2 IAM roles zilizowekwa kwenye mifano inayotumika na SSM Agents inayotumika.
Privesc kwenda ECS
Wakati ECS tasks zinaendeshwa na ExecuteCommand
imewezeshwa watumiaji wenye ruhusa za kutosha wanaweza kutumia ecs execute-command
kutekeleza amri ndani ya kontena.
Kulingana na nyaraka hii inafanywa kwa kuanzisha kituo salama kati ya kifaa unachotumia kuanzisha amri ya "exec" na kontena ya lengo na SSM Session Manager.
Kwa hivyo, watumiaji wenye ssm:StartSession
wataweza kupata kabati ndani ya ECS tasks na chaguo hilo limezimwa tu kwa kutekeleza:
Athari Inayowezekana: Privesc moja kwa moja kwa majukumu ya ECS
IAM yanayohusishwa na kazi zinazoendelea na ExecuteCommand
imewezeshwa.
ssm:ResumeSession
ssm:ResumeSession
Mshambuliaji mwenye ruhusa ya ssm:ResumeSession
anaweza kuanzisha upya kikao cha aina ya SSH kwenye mifano inayotumia Amazon SSM Agent na hali ya kikao cha SSM iliyovunjika na kuathiri Jukumu la IAM linaloendeshwa ndani yake.
Athari Inayoweza Kutokea: Privesc moja kwa moja kwa majukumu ya EC2 IAM yaliyounganishwa na mifano inayofanya kazi na Mawakala wa SSM wanaofanya kazi na vikao vilivyovunjika.
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)Mshambuliaji mwenye ruhusa zilizotajwa ataweza kuorodhesha parameta za SSM na kusoma kwa wazi. Katika parameta hizi mara nyingi unaweza kupata habari nyeti kama vile funguo za SSH au funguo za API.
Athari Inayowezekana: Pata habari nyeti ndani ya paramita.
ssm:ListCommands
ssm:ListCommands
Mshambuliaji mwenye idhini hii anaweza kupata orodha ya maagizo yote yaliyotumwa na kwa matumaini kupata habari nyeti juu yao.
Athari Inayoweza Kutokea: Pata habari nyeti ndani ya mistari ya amri.
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)Mshambuliaji mwenye ruhusa hizi anaweza kupata orodha ya amri zote zilizotumwa na kusoma matokeo yaliyozalishwa kwa matumaini ya kupata habari nyeti ndani yake.
Athari Inayoweza Kutokea: Pata habari nyeti ndani ya matokeo ya mistari ya amri.
Codebuild
Unaweza pia kutumia SSM kuingia kwenye mradi wa codebuild unaojengwa:
pageAWS - Codebuild PrivescLast updated