AWS - EC2 Unauthenticated Enum

Reading time: 3 minutes

EC2 & Verwandte Dienste

Überprüfen Sie auf dieser Seite weitere Informationen dazu:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Öffentliche Ports

Es ist möglich, irgendeinen Port der virtuellen Maschinen ins Internet zu exponieren. Je nachdem, was auf dem exponierten Port läuft, könnte ein Angreifer dies ausnutzen.

SSRF

Cloud SSRF - HackTricks

Öffentliche AMIs & EBS-Snapshots

AWS erlaubt es, jeden den Zugriff auf AMIs und Snapshots zu gewähren. Sie können diese Ressourcen sehr einfach von Ihrem eigenen Konto aus auflisten:

# Public AMIs
aws ec2 describe-images --executable-users all

## Search AMI by ownerID
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `967541184254/`) == `true`]'

## Search AMI by substr ("shared" in the example)
aws ec2 describe-images --executable-users all --query 'Images[?contains(ImageLocation, `shared`) == `true`]'

# Public EBS snapshots (hard-drive copies)
aws ec2 describe-snapshots --restorable-by-user-ids all
aws ec2 describe-snapshots --restorable-by-user-ids all | jq '.Snapshots[] | select(.OwnerId == "099720109477")'

Wenn Sie einen Snapshot finden, der von jedem wiederhergestellt werden kann, stellen Sie sicher, dass Sie AWS - EBS Snapshot Dump auf Anweisungen zum Herunterladen und Ausplündern des Snapshots überprüfen.

Öffentliches URL-Template

# EC2
ec2-{ip-seperated}.compute-1.amazonaws.com
# ELB
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com

EC2-Instanzen mit öffentlicher IP auflisten

aws ec2 describe-instances --query "Reservations[].Instances[?PublicIpAddress!=null].PublicIpAddress" --output text