HackTricks CloudAWS - CloudFront Post Exploitation
Tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
CloudFront
For more information check:
cloudfront:Delete*
cloudfront:Delete* が付与された攻撃者は、distributions、policies、その他の重要なCDN設定オブジェクト(例: distributions、cache/origin policies、key groups、origin access identities、functions/configs、および関連リソース)を削除できます。これにより、サービス停止、コンテンツの損失、設定やフォレンジックアーティファクトの消失が発生する可能性があります。
To delete a distribution an attacker could use:
aws cloudfront delete-distribution \
--id <DISTRIBUTION_ID> \
--if-match <ETAG>
Man-in-the-Middle
This blog post は、Lambdaを(既に使用されている場合は変更する形で)CloudFront経由の通信に追加し、ユーザ情報(セッションのcookieなど)を盗み、レスポンスを改変(悪意あるJSスクリプトを注入)することを目的としたいくつかのシナリオを提案しています。
シナリオ1: MitM where CloudFront is configured to access some HTML of a bucket
- 悪意ある functionを作成する。
- それをCloudFrontのdistributionに関連付ける。
- イベントタイプを “Viewer Response” に設定する。
レスポンスにアクセスすることで、ユーザのcookieを盗み、悪意あるJSを注入できます。
シナリオ2: MitM where CloudFront is already using a lambda function
- Lambda functionのコードを修正して機密情報を盗む。
詳細はtf code to recreate this scenarios hereを確認してください。
Tip
AWSハッキングを学び、実践する:
GCPハッキングを学び、実践する:HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。