AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

VPC & Networking

Дізнайтеся, що таке VPC та про його компоненти в:

EC2

Amazon EC2 використовується для запуску віртуальних серверів. Це дозволяє налаштовувати безпеку та мережу і керувати зберіганням. Гнучкість Amazon EC2 очевидна в його здатності масштабувати ресурси як вгору, так і вниз, ефективно адаптуючись до змін вимог або сплесків популярності. Ця функція зменшує необхідність у точних прогнозах трафіку.

Цікаві речі для перерахування в EC2:

• Віртуальні машини

• SSH Keys

• User Data

• Існуючі EC2/AMIs/Snapshots

• Мережа

• Мережі

• Підмережі

• Публічні IP

• Відкриті порти

• Інтегровані з'єднання з іншими мережами поза AWS

Instance Profiles

Використання ролей для надання дозволів додаткам, які працюють на EC2 instances, вимагає трохи додаткової конфігурації. Додаток, що працює на EC2 instance, абстрагований від AWS віртуалізованою операційною системою. Через цей додатковий розподіл вам потрібен додатковий крок для призначення ролі AWS та її пов'язаних дозволів EC2 instance і зробити їх доступними для додатків.

Цей додатковий крок - це створення instance profile, прикріпленого до instance. Instance profile містить роль і може надавати тимчасові облікові дані ролі додатку, що працює на instance. Ці тимчасові облікові дані можуть бути використані в API викликах додатку для доступу до ресурсів і обмеження доступу лише до тих ресурсів, які вказані в ролі. Зверніть увагу, що лише одна роль може бути призначена EC2 instance одночасно, і всі додатки на instance поділяють одну і ту ж роль і дозволи.

Metadata Endpoint

AWS EC2 metadata - це інформація про Amazon Elastic Compute Cloud (EC2) instance, яка доступна instance під час виконання. Ця metadata використовується для надання інформації про instance, такої як його instance ID, зона доступності, в якій він працює, IAM роль, пов'язана з instance, та hostname instance.

Enumeration

# Get EC2 instances
aws ec2 describe-instances
aws ec2 describe-instance-status #Get status from running instances

# Get user data from each ec2 instance
for instanceid in $(aws ec2 describe-instances --profile <profile> --region us-west-2 | grep -Eo '"i-[a-zA-Z0-9]+' | tr -d '"'); do
echo "Instance ID: $instanceid"
aws ec2 describe-instance-attribute --profile <profile> --region us-west-2 --instance-id "$instanceid" --attribute userData | jq ".UserData.Value" | tr -d '"' | base64 -d
echo ""
echo "-------------------"
done

# Instance profiles
aws iam list-instance-profiles
aws iam list-instance-profiles-for-role --role-name <name>

# Get tags
aws ec2 describe-tags

# Get volumes
aws ec2 describe-volume-status
aws ec2 describe-volumes

# Get snapshots
aws ec2 describe-snapshots --owner-ids self

# Scheduled instances
aws ec2 describe-scheduled-instances

# Get custom images
aws ec2 describe-images --owners self

# Get Elastic IPs
aws ec2 describe-addresses

# Get current output
aws ec2 get-console-output --instance-id [id]

# Get VPN customer gateways
aws ec2 describe-customer-gateways
aws ec2 describe-vpn-gateways
aws ec2 describe-vpn-connections

# List conversion tasks to upload/download VMs
aws ec2 describe-conversion-tasks
aws ec2 describe-import-image-tasks

# Get Bundle Tasks
aws ec2 describe-bundle-tasks

# Get Classic Instances
aws ec2 describe-classic-link-instances

# Get Dedicated Hosts
aws ec2 describe-hosts

# Get SSH Key Pairs
aws ec2 describe-key-pairs

# Get Internet Gateways
aws ec2 describe-internet-gateways

# Get NAT Gateways
aws ec2 describe-nat-gateways

# Get subnetworks
aws ec2 describe-subnets

# Get FW rules
aws ec2 describe-network-acls

# Get security groups
aws ec2 describe-security-groups

# Get interfaces
aws ec2 describe-network-interfaces

# Get routes table
aws ec2 describe-route-tables

# Get VPCs
aws ec2 describe-vpcs
aws ec2 describe-vpc-peering-connections

Неаутентифікований доступ

Підвищення привілеїв

На наступній сторінці ви можете дізнатися, як зловживати дозволами EC2 для підвищення привілеїв:

Постексплуатація

EBS

Amazon EBS (Elastic Block Store) snapshots — це, по суті, статичні резервні копії томів AWS EBS. Іншими словами, це копії дисків, підключених до EC2 Instance на певний момент часу. Знімки EBS можна копіювати між регіонами та обліковими записами або навіть завантажувати та запускати локально.

Знімки можуть містити чутливу інформацію, таку як вихідний код або ключі API, тому, якщо у вас є така можливість, рекомендується перевірити їх.

Різниця між AMI та EBS

AMI використовується для запуску EC2 instance, тоді як Snapshot EC2 використовується для резервного копіювання та відновлення даних, збережених на томі EBS. Хоча знімок EC2 можна використовувати для створення нового AMI, це не те саме, що AMI, і він не містить інформації про операційну систему, сервер додатків або інше програмне забезпечення, необхідне для запуску програми.

Підвищення привілеїв

На наступній сторінці ви можете дізнатися, як зловживати дозволами EBS для підвищення привілеїв:

SSM

Amazon Simple Systems Manager (SSM) дозволяє віддалено керувати флотами EC2 instances, щоб значно полегшити їх адміністрування. Кожен з цих instances повинен запускати SSM Agent service, оскільки саме цей сервіс буде отримувати дії та виконувати їх з AWS API.

SSM Agent дозволяє Systems Manager оновлювати, керувати та налаштовувати ці ресурси. Агент обробляє запити від служби Systems Manager у хмарі AWS, а потім виконує їх відповідно до запиту.

SSM Agent попередньо встановлений у деяких AMIs (preinstalled agent) або його потрібно встановити вручну на instances. Крім того, IAM Role, яка використовується всередині instance, повинна мати політику AmazonEC2RoleforSSM, щоб мати можливість спілкуватися.

Перерахування

aws ssm describe-instance-information
aws ssm describe-parameters
aws ssm describe-sessions --state [Active|History]
aws ssm describe-instance-patches --instance-id <id>
aws ssm describe-instance-patch-states --instance-ids <id>
aws ssm describe-instance-associations-status --instance-id <id>

Ви можете перевірити, чи працює Systems Manager на EC2 інстансі, просто виконавши:

ps aux | grep amazon-ssm

Privesc

На наступній сторінці ви можете дізнатися, як зловживати дозволами SSM для підвищення привілеїв:

ELB

Elastic Load Balancing (ELB) — це сервіс балансування навантаження для Amazon Web Services (AWS). ELB автоматично розподіляє вхідний трафік додатків і масштабує ресурси для задоволення потреб у трафіку.

Enumeration

# List internet-facing ELBs
aws elb describe-load-balancers
aws elb describe-load-balancers | jq '.LoadBalancerDescriptions[]| select( .Scheme | contains("internet-facing"))|.DNSName'

# DONT FORGET TO CHECK VERSION 2
aws elbv2 describe-load-balancers
aws elbv2 describe-load-balancers | jq '.LoadBalancers[].DNSName'
aws elbv2 describe-listeners --load-balancer-arn <load_balancer_arn>

Launch Templates & Autoscaling Groups

Enumeration

# Launch templates
aws ec2 describe-launch-templates
aws ec2 describe-launch-templates --launch-template-id <launch_template_id>
## Get details, like user data
aws ec2 describe-launch-template-versions --launch-template-id <launch_template_id>

# Autoscaling
aws autoscaling describe-auto-scaling-groups
aws autoscaling describe-auto-scaling-instances
aws autoscaling describe-launch-configurations
aws autoscaling describe-load-balancer-target-groups
aws autoscaling describe-load-balancers

Nitro

AWS Nitro — це набір інноваційних технологій, які формують основну платформу для AWS EC2 інстансів. Введений Amazon для підвищення безпеки, продуктивності та надійності, Nitro використовує спеціальні апаратні компоненти та легкий гіпервізор. Він абстрагує більшу частину традиційної функціональності віртуалізації до виділеного апаратного та програмного забезпечення, мінімізуючи поверхню атаки та покращуючи ефективність використання ресурсів. Вивантажуючи функції віртуалізації, Nitro дозволяє EC2 інстансам забезпечувати майже металеву продуктивність, що особливо корисно для ресурсомістких додатків. Крім того, Nitro Security Chip спеціально забезпечує безпеку апаратного та мікропрограмного забезпечення, ще більше зміцнюючи його надійну архітектуру.

Отримайте більше інформації та як його перерахувати з:

VPN

VPN дозволяє підключити вашу локальну мережу (site-to-site VPN) або ноутбуки працівників (Client VPN) до AWS VPC, щоб сервіси могли бути доступні без необхідності відкривати їх в інтернет.

Основні компоненти AWS VPN

1. Customer Gateway:

• Customer Gateway — це ресурс, який ви створюєте в AWS для представлення вашої сторони VPN-з'єднання.

• Це, по суті, фізичний пристрій або програмний додаток на вашій стороні Site-to-Site VPN-з'єднання.

• Ви надаєте інформацію про маршрутизацію та публічну IP-адресу вашого мережевого пристрою (наприклад, маршрутизатора або брандмауера) AWS для створення Customer Gateway.

• Він служить точкою відліку для налаштування VPN-з'єднання і не несе додаткових витрат.

2. Virtual Private Gateway:

• Virtual Private Gateway (VPG) — це VPN-концентратор на стороні Amazon у Site-to-Site VPN-з'єднанні.

• Він приєднаний до вашого VPC і служить ціллю для вашого VPN-з'єднання.

• VPG — це кінцева точка на стороні AWS для VPN-з'єднання.

• Він обробляє безпечне спілкування між вашим VPC та вашою локальною мережею.

3. Site-to-Site VPN Connection:

• Site-to-Site VPN-з'єднання з'єднує вашу локальну мережу з VPC через безпечний IPsec VPN-тунель.

• Цей тип з'єднання вимагає Customer Gateway та Virtual Private Gateway.

• Використовується для безпечного, стабільного та постійного спілкування між вашим дата-центром або мережею та вашим AWS середовищем.

• Зазвичай використовується для регулярних, довгострокових з'єднань і оплачується на основі кількості даних, переданих через з'єднання.

4. Client VPN Endpoint:

• Client VPN endpoint — це ресурс, який ви створюєте в AWS для увімкнення та керування клієнтськими VPN-сеансами.

• Використовується для дозволу окремим пристроям (наприклад, ноутбукам, смартфонам тощо) безпечно підключатися до ресурсів AWS або вашої локальної мережі.

• Відрізняється від Site-to-Site VPN тим, що призначений для окремих клієнтів, а не для з'єднання цілих мереж.

• З Client VPN кожен клієнтський пристрій використовує VPN-клієнтське програмне забезпечення для встановлення безпечного з'єднання.

Ви можете знайти більше інформації про переваги та компоненти AWS VPN тут.

Enumeration

# VPN endpoints
## Check used subnetwork, authentication, SGs, connected...
aws ec2 describe-client-vpn-endpoints

## Get AWS network info related to the vpn endpoint
aws ec2 describe-client-vpn-target-networks --client-vpn-endpoint-id <id>

## Get AWS subnet & ip range the VPN iconnected to
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id <id>

## Check authorization rules
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id <id>

## Get current connections to the VPN endpoint
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id <id>

# Get VPN gateways and check with which VPC each is connected
aws ec2 describe-vpn-gateways

# Get VPN site-to-site connections
aws ec2 describe-vpn-connections

Локальне Перерахування

Локальні Тимчасові Облікові Дані

Коли використовується AWS VPN Client для підключення до VPN, користувач зазвичай входить в AWS, щоб отримати доступ до VPN. Потім деякі AWS облікові дані створюються і зберігаються локально для встановлення VPN-з'єднання. Ці облікові дані зберігаються в $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt і містять AccessKey, SecretKey та Token.

Облікові дані належать користувачу arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: дослідити більше про дозволи цих облікових даних).

opvn config файли

Якщо VPN-з'єднання було встановлено, слід шукати .opvn конфігураційні файли в системі. Крім того, одне з місць, де можна знайти конфігурації, це $HOME/.config/AWSVPNClient/OpenVpnConfigs

Постексплуатація

Посилання

• https://docs.aws.amazon.com/batch/latest/userguide/getting-started-ec2.html