AWS - KMS Persistence

Reading time: 3 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

KMS

Für mehr Informationen siehe:

AWS - KMS Enum

Grant-Zugriff via KMS policies

Ein Angreifer könnte die Berechtigung kms:PutKeyPolicy verwenden, um einem unter seiner Kontrolle stehenden Benutzer oder sogar einem externen Account Zugriff auf einen Key zu geben. Check the KMS Privesc page für mehr Informationen.

Eternal Grant

Grants sind eine weitere Möglichkeit, einem principal bestimmte Berechtigungen für einen spezifischen key zu geben. Es ist möglich, ein grant zu vergeben, das einem Benutzer erlaubt, grants zu erstellen. Außerdem kann ein Benutzer mehrere grants (sogar identische) für denselben key haben.

Daher ist es möglich, dass ein Benutzer 10 grants mit allen Berechtigungen hat. Der Angreifer sollte dies konstant überwachen. Und wenn zu irgendeinem Zeitpunkt 1 grant entfernt wird, sollten weitere 10 erzeugt werden.

(We are using 10 and not 2 to be able to detect that a grant was removed while the user still has some grant)

bash
# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>

note

Ein grant kann Berechtigungen nur aus diesem Bereich erteilen: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks