HackTricks CloudAWS - SQS Privesc
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
SQS
Więcej informacji:
sqs:AddPermission
Atakujący może użyć tego uprawnienia, aby przyznać nieautoryzowanym użytkownikom lub usługom dostęp do kolejki SQS poprzez tworzenie nowych polityk lub modyfikowanie istniejących. Może to skutkować nieautoryzowanym dostępem do wiadomości w kolejce lub manipulacją kolejką przez nieuprawnione podmioty.
aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>
Potencjalny wpływ: Nieautoryzowany dostęp do kolejki, ujawnienie wiadomości lub manipulacja kolejką przez nieautoryzowanych użytkowników lub usługi.
sqs:SendMessage , sqs:SendMessageBatch
Atakujący może wysyłać złośliwe lub niechciane wiadomości do kolejki SQS, co może powodować uszkodzenie danych, wywoływanie niezamierzonych działań lub wyczerpanie zasobów.
aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>
Potencjalny wpływ: Wykorzystanie podatności, uszkodzenie danych, niezamierzone działania lub wyczerpanie zasobów.
sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility
Atakujący może odebrać, usunąć lub zmienić widoczność wiadomości w kolejce SQS, co może spowodować utratę wiadomości, uszkodzenie danych lub przerwanie działania usług aplikacji polegających na tych wiadomościach.
aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>
Potential Impact: Kradzież wrażliwych informacji, utrata wiadomości, uszkodzenie danych i zakłócenie działania usług dla aplikacji zależnych od dotkniętych wiadomości.
Tip
Ucz się & ćwicz AWS Hacking:
Ucz się & ćwicz GCP Hacking:
Ucz się & ćwicz Az Hacking:Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.