AWS - Lambda Post Exploitation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Lambda

Για περισσότερες πληροφορίες δείτε:

AWS - Lambda Enum

Exfilrtate Lambda Credentials

Το Lambda χρησιμοποιεί μεταβλητές περιβάλλοντος για να ενσωματώνει διαπιστευτήρια κατά τον χρόνο εκτέλεσης. Αν μπορέσετε να αποκτήσετε πρόσβαση σε αυτές (διαβάζοντας το /proc/self/environ ή χρησιμοποιώντας την ευάλωτη συνάρτηση κατευθείαν), μπορείτε να τις χρησιμοποιήσετε εσείς. Βρίσκονται στις προεπιλεγμένες μεταβλητές AWS_SESSION_TOKEN, AWS_SECRET_ACCESS_KEY, και AWS_ACCESS_KEY_ID.

Εξ ορισμού, αυτά έχουν δικαίωμα να γράφουν σε ένα cloudwatch log group (το όνομα του οποίου αποθηκεύεται στη μεταβλητή AWS_LAMBDA_LOG_GROUP_NAME), καθώς και να δημιουργούν αυθαίρετα log groups, ωστόσο οι συναρτήσεις Lambda συχνά έχουν περισσότερα δικαιώματα ανατεθειμένα βάσει της προοριζόμενης χρήσης τους.

lambda:Delete*

Ένας επιτιθέμενος στον οποίο έχει χορηγηθεί το lambda:Delete* μπορεί να διαγράψει Lambda functions, εκδόσεις/aliases, layers, event source mappings και άλλες σχετικές διαμορφώσεις.

aws lambda delete-function \
--function-name <LAMBDA_NAME>

Κλοπή αιτήσεων URL άλλων στο Lambda

Εάν ένας επιτιθέμενος καταφέρει με κάποιον τρόπο RCE μέσα σε ένα Lambda, θα μπορέσει να κλέψει τις HTTP αιτήσεις άλλων χρηστών προς το Lambda. Αν οι αιτήσεις περιέχουν ευαίσθητες πληροφορίες (cookies, credentials…) θα μπορέσει να τις κλέψει.

AWS - Lambda Steal Requests

Κλοπή αιτήσεων URL άλλων στο Lambda και αιτήσεων Extensions

Κακοχρησιμοποιώντας τα Lambda Layers, είναι επίσης δυνατό να εκμεταλλευτείτε τα extensions και να διατηρήσετε παρουσία στο Lambda, καθώς και να κλέψετε και να τροποποιήσετε αιτήσεις.

AWS - Abusing Lambda Extensions

AWS Lambda – VPC Egress Bypass

Αναγκάστε μια Lambda function να εξέλθει από ένα περιορισμένο VPC ενημερώνοντας τη διαμόρφωσή της με ένα κενό VpcConfig (SubnetIds=[], SecurityGroupIds=[]). Η function θα τρέξει τότε στο Lambda-managed networking plane, αποκτώντας ξανά εξερχόμενη πρόσβαση στο διαδίκτυο και παρακάμπτοντας τους ελέγχους egress που επιβάλλονται από ιδιωτικά VPC subnets χωρίς NAT.

AWS - Lambda VPC Egress Bypass

AWS Lambda – Runtime Pinning/Rollback Abuse

Κακοχρησιμοποιήστε lambda:PutRuntimeManagementConfig για να κλειδώσετε (pin) μια function σε συγκεκριμένη έκδοση runtime (Manual) ή να παγώσετε ενημερώσεις (FunctionUpdate). Αυτό διατηρεί τη συμβατότητα με κακόβουλα layers/wrappers και μπορεί να κρατήσει τη function σε μια ξεπερασμένη, ευάλωτη έκδοση runtime για να διευκολύνει την εκμετάλλευση και τη μακροχρόνια διατήρηση πρόσβασης.

AWS - Lambda Runtime Pinning Abuse

AWS Lambda – Log Siphon via LoggingConfig.LogGroup Redirection

Κακοχρησιμοποιήστε lambda:UpdateFunctionConfiguration και τους advanced logging controls για να ανακατευθύνετε τα logs μιας function σε ένα CloudWatch Logs log group που επιλέγει ο επιτιθέμενος. Αυτό λειτουργεί χωρίς αλλαγή του κώδικα ή του execution role (οι περισσότερες Lambda roles ήδη περιλαμβάνουν logs:CreateLogGroup/CreateLogStream/PutLogEvents μέσω AWSLambdaBasicExecutionRole). Εάν η function εκτυπώνει secrets/request bodies ή καταρρέει με stack traces, μπορείτε να τα συλλέξετε από το νέο log group.

AWS - Lambda LoggingConfig Redirection

AWS - Lambda Function URL Public Exposure

Μετατρέψτε ένα private Lambda Function URL σε δημόσιο μη-επαληθευμένο endpoint αλλάζοντας το Function URL AuthType σε NONE και επισυνάπτοντας ένα resource-based policy που χορηγεί το lambda:InvokeFunctionUrl σε όλους. Αυτό επιτρέπει ανώνυμη κλήση εσωτερικών functions και μπορεί να εκθέσει ευαίσθητες backend λειτουργίες.

AWS - Lambda Function URL Public Exposure

AWS Lambda – Event Source Mapping Target Hijack

Κακοχρησιμοποιήστε το UpdateEventSourceMapping για να αλλάξετε τον target Lambda function ενός υπάρχοντος Event Source Mapping (ESM), ώστε τα records από DynamoDB Streams, Kinesis ή SQS να παραδίδονται σε μια function που ελέγχεται από τον επιτιθέμενο. Αυτό αποκλίνει αθόρυβα live δεδομένα χωρίς να επηρεάζετε τους producers ή τον αρχικό κώδικα της function.

AWS - Lambda Event Source Mapping Hijack

AWS Lambda – EFS Mount Injection data exfiltration

Κακοχρησιμοποιήστε lambda:UpdateFunctionConfiguration για να επισυνάψετε ένα υπάρχον EFS Access Point σε ένα Lambda, και στη συνέχεια αναπτύξτε απλό κώδικα που θα απαριθμεί/διαβάζει αρχεία από το mounted path για να εξάγετε shared secrets/config που η function προηγουμένως δεν μπορούσε να προσπελάσει.

AWS - Lambda EFS Mount Injection

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.