HackTricks CloudAWS - SQS Privesc
Reading time: 3 minutes
tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
SQS
For more information check:
sqs:AddPermission
공격자는 이 권한을 사용해 새로운 정책을 생성하거나 기존 정책을 수정하여 SQS 큐에 대한 무단 사용자나 서비스의 접근을 허용할 수 있습니다. 그 결과 큐에 있는 메시지에 대한 무단 접근이나 무단 주체에 의한 큐 조작이 발생할 수 있습니다.
aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>
잠재적 영향: 승인되지 않은 사용자나 서비스가 큐에 무단으로 접근하여 메시지가 노출되거나 큐를 조작할 수 있습니다.
sqs:SendMessage , sqs:SendMessageBatch
공격자는 SQS 큐에 악성 또는 원치 않는 메시지를 전송하여 데이터 손상, 의도치 않은 동작을 유발하거나 리소스를 소진시킬 수 있습니다.
aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>
잠재적 영향: 취약점 악용, 데이터 손상, 의도치 않은 동작 또는 리소스 고갈.
sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility
공격자는 SQS queue의 메시지를 수신, 삭제하거나 가시성을 변경하여 메시지 손실, 데이터 손상 또는 해당 메시지에 의존하는 애플리케이션의 서비스 중단을 초래할 수 있습니다.
aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>
잠재적 영향: 민감한 정보 탈취, 메시지 손실, 데이터 손상 및 영향을 받는 메시지에 의존하는 애플리케이션의 서비스 중단.
tip
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.