HackTricks CloudAWS - Elastic Beanstalk Enum
Reading time: 7 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.
Elastic Beanstalk
Amazon Elastic Beanstalk fornisce una piattaforma semplificata per il deployment, la gestione e la scalabilità di applicazioni e servizi web. Supporta una varietà di linguaggi di programmazione e framework, come Java, .NET, PHP, Node.js, Python, Ruby e Go, oltre a contenitori Docker. Il servizio è compatibile con server ampiamente utilizzati, tra cui Apache, Nginx, Passenger e IIS.
Elastic Beanstalk offre un modo semplice e flessibile per deployare le tue applicazioni nel cloud AWS, senza la necessità di preoccuparsi dell'infrastruttura sottostante. Gestisce automaticamente i dettagli della provisioning della capacità, del bilanciamento del carico, della scalabilità e del monitoraggio della salute dell'applicazione, permettendoti di concentrarti sulla scrittura e sul deployment del tuo codice.
L'infrastruttura creata da Elastic Beanstalk è gestita da Autoscaling Groups in EC2 (con un bilanciatore di carico). Ciò significa che alla fine della giornata, se comprometti l'host, dovresti sapere riguardo a EC2:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Inoltre, se viene utilizzato Docker, è possibile utilizzare ECS.
Applicazione & Ambienti
In AWS Elastic Beanstalk, i concetti di "applicazione" e "ambiente" servono a scopi diversi e hanno ruoli distinti nel processo di deployment.
Applicazione
- Un'applicazione in Elastic Beanstalk è un contenitore logico per il codice sorgente, gli ambienti e le configurazioni della tua applicazione. Raggruppa diverse versioni del codice della tua applicazione e ti consente di gestirle come un'unica entità.
- Quando crei un'applicazione, fornisci un nome e una descrizione, ma nessuna risorsa viene provisionata in questa fase. È semplicemente un modo per organizzare e gestire il tuo codice e le risorse correlate.
- Puoi avere più versioni dell'applicazione all'interno di un'applicazione. Ogni versione corrisponde a un rilascio specifico del tuo codice, che può essere deployato in uno o più ambienti.
Ambiente
- Un ambiente è un'istanza provisionata della tua applicazione che gira sull'infrastruttura AWS. È dove il codice della tua applicazione viene deployato ed eseguito. Elastic Beanstalk provisiona le risorse necessarie (ad es., istanze EC2, bilanciatori di carico, gruppi di auto-scaling, database) in base alla configurazione dell'ambiente.
- Ogni ambiente esegue una singola versione della tua applicazione, e puoi avere più ambienti per scopi diversi, come sviluppo, testing, staging e produzione.
- Quando crei un ambiente, scegli una piattaforma (ad es., Java, .NET, Node.js, ecc.) e un tipo di ambiente (ad es., server web o worker). Puoi anche personalizzare la configurazione dell'ambiente per controllare vari aspetti dell'infrastruttura e delle impostazioni dell'applicazione.
2 tipi di Ambienti
- Web Server Environment: È progettato per ospitare e servire applicazioni web e API. Queste applicazioni gestiscono tipicamente richieste HTTP/HTTPS in arrivo. L'ambiente del server web provisiona risorse come istanze EC2, bilanciatori di carico e gruppi di auto-scaling per gestire il traffico in arrivo, gestire la capacità e garantire l'alta disponibilità dell'applicazione.
- Worker Environment: È progettato per elaborare compiti in background, che sono spesso operazioni che richiedono tempo o risorse eccessive che non richiedono risposte immediate ai client. L'ambiente worker provisiona risorse come istanze EC2 e gruppi di auto-scaling, ma non ha un bilanciatore di carico poiché non gestisce direttamente le richieste HTTP/HTTPS. Invece, consuma compiti da una coda Amazon Simple Queue Service (SQS), che funge da buffer tra l'ambiente worker e i compiti che elabora.
Sicurezza
Quando crei un'app in Beanstalk ci sono 3 opzioni di sicurezza molto importanti da scegliere:
- EC2 key pair: Questa sarà la chiave SSH che potrà accedere alle istanze EC2 che eseguono l'app.
- IAM instance profile: Questo è il profilo dell'istanza che le istanze avranno (privilegi IAM).
- Il ruolo generato automaticamente si chiama
aws-elasticbeanstalk-ec2-rolee ha accesso interessante su tutto ECS, tutto SQS, DynamoDB elasticbeanstalk e elasticbeanstalk S3 utilizzando le politiche gestite da AWS: AWSElasticBeanstalkWebTier, AWSElasticBeanstalkMulticontainerDocker, AWSElasticBeanstalkWorkerTier. - Service role: Questo è il ruolo che il servizio AWS utilizzerà per eseguire tutte le azioni necessarie. A quanto ne so, un utente AWS normale non può accedere a quel ruolo.
- Questo ruolo generato da AWS si chiama
aws-elasticbeanstalk-service-rolee utilizza le politiche gestite da AWS AWSElasticBeanstalkEnhancedHealth e AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy
Per impostazione predefinita, la versione dei metadati 1 è disabilitata:
.png)
Esposizione
I dati di Beanstalk sono memorizzati in un bucket S3 con il seguente nome: elasticbeanstalk-<region>-<acc-id> (se è stato creato nella console AWS). All'interno di questo bucket troverai il codice sorgente dell'applicazione caricato.
L'URL della pagina web creata è http://<webapp-name>-env.<random>.<region>.elasticbeanstalk.com/
warning
Se ottieni accesso in lettura sul bucket, puoi leggere il codice sorgente e persino trovare credenziali sensibili in esso.
Se ottieni accesso in scrittura sul bucket, potresti modificare il codice sorgente per compromettere il ruolo IAM che l'applicazione sta utilizzando la prossima volta che viene eseguita.
Enumerazione
# Find S3 bucket
ACCOUNT_NUMBER=<account_number>
for r in us-east-1 us-east-2 us-west-1 us-west-2 ap-south-1 ap-south-2 ap-northeast-1 ap-northeast-2 ap-northeast-3 ap-southeast-1 ap-southeast-2 ap-southeast-3 ca-central-1 eu-central-1 eu-central-2 eu-west-1 eu-west-2 eu-west-3 eu-north-1 sa-east-1 af-south-1 ap-east-1 eu-south-1 eu-south-2 me-south-1 me-central-1; do aws s3 ls elasticbeanstalk-$r-$ACCOUNT_NUMBER 2>/dev/null && echo "Found in: elasticbeanstalk-$r-$ACCOUNT_NUMBER"; done
# Get apps and URLs
aws elasticbeanstalk describe-applications # List apps
aws elasticbeanstalk describe-application-versions # Get apps & bucket name with source code
aws elasticbeanstalk describe-environments # List envs
aws elasticbeanstalk describe-environments | grep -E "EndpointURL|CNAME"
aws elasticbeanstalk describe-configuration-settings --application-name <app_name> --environment-name <env_name>
aws elasticbeanstalk describe-environment-resources --environment-name <env_name> # Get env info such as SQS used queues
aws elasticbeanstalk describe-instances-health --environment-name <env_name> # Get the instances of an environment
# Get events
aws elasticbeanstalk describe-events
Accesso non autenticato
AWS - Elastic Beanstalk Unauthenticated Enum
Persistenza
AWS - Elastic Beanstalk Persistence
Privesc
AWS - Elastic Beanstalk Privesc
Post Exploitation
AWS - Elastic Beanstalk Post Exploitation
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.