AWS - SSM Privesc
SSM
Для отримання додаткової інформації про SSM перегляньте:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enumssm:SendCommand
ssm:SendCommand
Зловмисник з дозволом ssm:SendCommand
може виконувати команди в екземплярах, що працюють з Amazon SSM Agent, і компрометувати IAM Role, що працює всередині нього.
У випадку, якщо ви використовуєте цю техніку для ескалації привілеїв всередині вже скомпрометованого EC2 екземпляра, ви можете просто захопити rev shell локально за допомогою:
Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM агентами.
ssm:StartSession
ssm:StartSession
Зловмисник з дозволом ssm:StartSession
може розпочати сесію, подібну до SSH, в екземплярах, що працюють з Amazon SSM Agent, і скомпрометувати IAM роль, що працює всередині нього.
Щоб почати сесію, вам потрібно встановити SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM Agents.
Підвищення привілеїв до ECS
Коли ECS завдання виконуються з увімкненим ExecuteCommand
, користувачі з достатніми правами можуть використовувати ecs execute-command
, щоб виконати команду всередині контейнера.
Згідно з документацією, це здійснюється шляхом створення безпечного каналу між пристроєм, який ви використовуєте для ініціювання команди “exec“, і цільовим контейнером за допомогою SSM Session Manager. (Необхідний плагін SSM Session Manager для цього)
Отже, користувачі з ssm:StartSession
зможуть отримати оболонку всередині ECS завдань з увімкненою цією опцією, просто виконавши:
Потенційний вплив: Пряме підвищення привілеїв до ECS
IAM ролей, прикріплених до запущених завдань з увімкненим ExecuteCommand
.
ssm:ResumeSession
ssm:ResumeSession
Зловмисник з дозволом ssm:ResumeSession
може повторно розпочати сесію, подібну до SSH, на екземплярах, що виконують Amazon SSM Agent з відключеним станом сесії SSM та компрометувати IAM роль, що виконується всередині неї.
Потенційний вплив: Пряме підвищення привілеїв до IAM ролей EC2, прикріплених до запущених екземплярів з працюючими SSM агентами та відключеними сесіями.
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)
ssm:DescribeParameters
, (ssm:GetParameter
| ssm:GetParameters
)Зловмисник з вказаними дозволами зможе перерахувати SSM параметри та читати їх у відкритому тексті. У цих параметрах ви часто можете знайти чутливу інформацію, таку як SSH ключі або API ключі.
Потенційний вплив: Знайти чутливу інформацію всередині параметрів.
ssm:ListCommands
ssm:ListCommands
Зловмисник з цим дозволом може перерахувати всі команди, надіслані, і, сподіваючись, знайти чутливу інформацію в них.
Потенційний вплив: Знайти чутливу інформацію всередині командних рядків.
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)
ssm:GetCommandInvocation
, (ssm:ListCommandInvocations
| ssm:ListCommands
)Зловмисник з цими дозволами може перерахувати всі команди, надіслані та прочитати вихідні дані, сподіваючись знайти чутливу інформацію в них.
Потенційний вплив: Знайти чутливу інформацію всередині виходу командних рядків.
Codebuild
Ви також можете використовувати SSM, щоб потрапити всередину проекту codebuild, що будується:
AWS - Codebuild PrivescLast updated