AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Reading time: 13 minutes

VPC & Networking

Aprenda o que é uma VPC e sobre seus componentes em:

AWS - VPC & Networking Basic Information

EC2

Amazon EC2 é utilizado para iniciar servidores virtuais. Ele permite a configuração de segurança e rede e a gestão de armazenamento. A flexibilidade do Amazon EC2 é evidente em sua capacidade de escalar recursos tanto para cima quanto para baixo, adaptando-se efetivamente a mudanças de requisitos ou picos de popularidade. Esse recurso diminui a necessidade de previsões precisas de tráfego.

Coisas interessantes para enumerar no EC2:

• Máquinas Virtuais
• Chaves SSH
• Dados do Usuário
• EC2s/AMIs/Snapshots existentes
• Rede
• Redes
• Subredes
• IPs Públicos
• Portas abertas
• Conexões integradas com outras redes fora da AWS

Instance Profiles

Usar funções para conceder permissões a aplicativos que rodam em instâncias EC2 requer um pouco de configuração extra. Um aplicativo rodando em uma instância EC2 é abstraído da AWS pelo sistema operacional virtualizado. Por causa dessa separação extra, você precisa de um passo adicional para atribuir uma função da AWS e suas permissões associadas a uma instância EC2 e torná-las disponíveis para seus aplicativos.

Esse passo extra é a criação de um instance profile anexado à instância. O instance profile contém a função e pode fornecer as credenciais temporárias da função a um aplicativo que roda na instância. Essas credenciais temporárias podem então ser usadas nas chamadas de API do aplicativo para acessar recursos e limitar o acesso apenas aos recursos que a função especifica. Observe que apenas uma função pode ser atribuída a uma instância EC2 de cada vez, e todos os aplicativos na instância compartilham a mesma função e permissões.

Metadata Endpoint

Os metadados do AWS EC2 são informações sobre uma instância do Amazon Elastic Compute Cloud (EC2) que estão disponíveis para a instância em tempo de execução. Esses metadados são usados para fornecer informações sobre a instância, como seu ID de instância, a zona de disponibilidade em que está rodando, a função IAM associada à instância e o nome do host da instância.

Cloud SSRF - HackTricks

Enumeration

# Get EC2 instances
aws ec2 describe-instances
aws ec2 describe-instance-status #Get status from running instances

# Get user data from each ec2 instance
for instanceid in $(aws ec2 describe-instances --profile <profile> --region us-west-2 | grep -Eo '"i-[a-zA-Z0-9]+' | tr -d '"'); do
echo "Instance ID: $instanceid"
aws ec2 describe-instance-attribute --profile <profile> --region us-west-2 --instance-id "$instanceid" --attribute userData | jq ".UserData.Value" | tr -d '"' | base64 -d
echo ""
echo "-------------------"
done

# Instance profiles
aws iam list-instance-profiles
aws iam list-instance-profiles-for-role --role-name <name>

# Get tags
aws ec2 describe-tags

# Get volumes
aws ec2 describe-volume-status
aws ec2 describe-volumes

# Get snapshots
aws ec2 describe-snapshots --owner-ids self

# Scheduled instances
aws ec2 describe-scheduled-instances

# Get custom images
aws ec2 describe-images --owners self

# Get Elastic IPs
aws ec2 describe-addresses

# Get current output
aws ec2 get-console-output --instance-id [id]

# Get VPN customer gateways
aws ec2 describe-customer-gateways
aws ec2 describe-vpn-gateways
aws ec2 describe-vpn-connections

# List conversion tasks to upload/download VMs
aws ec2 describe-conversion-tasks
aws ec2 describe-import-image-tasks

# Get Bundle Tasks
aws ec2 describe-bundle-tasks

# Get Classic Instances
aws ec2 describe-classic-link-instances

# Get Dedicated Hosts
aws ec2 describe-hosts

# Get SSH Key Pairs
aws ec2 describe-key-pairs

# Get Internet Gateways
aws ec2 describe-internet-gateways

# Get NAT Gateways
aws ec2 describe-nat-gateways

# Get subnetworks
aws ec2 describe-subnets

# Get FW rules
aws ec2 describe-network-acls

# Get security groups
aws ec2 describe-security-groups

# Get interfaces
aws ec2 describe-network-interfaces

# Get routes table
aws ec2 describe-route-tables

# Get VPCs
aws ec2 describe-vpcs
aws ec2 describe-vpc-peering-connections

Acesso Não Autenticado

AWS - EC2 Unauthenticated Enum

Escalação de Privilégios

Na página a seguir, você pode verificar como abusar das permissões do EC2 para escalar privilégios:

AWS - EC2 Privesc

Pós-Exploração

AWS - EC2, EBS, SSM & VPC Post Exploitation

EBS

Amazon EBS (Elastic Block Store) snapshots são basicamente backups estáticos dos volumes EBS da AWS. Em outras palavras, são cópias dos discos anexados a uma instância EC2 em um ponto específico no tempo. Os snapshots do EBS podem ser copiados entre regiões e contas, ou até mesmo baixados e executados localmente.

Os snapshots podem conter informações sensíveis como código-fonte ou chaves de API, portanto, se você tiver a chance, é recomendável verificá-los.

Diferença entre AMI e EBS

Uma AMI é usada para iniciar uma instância EC2, enquanto um Snapshot do EC2 é usado para fazer backup e recuperar dados armazenados em um volume EBS. Embora um Snapshot do EC2 possa ser usado para criar uma nova AMI, não é a mesma coisa que uma AMI, e não inclui informações sobre o sistema operacional, servidor de aplicativos ou outro software necessário para executar um aplicativo.

Escalação de Privilégios

Na página a seguir, você pode verificar como abusar das permissões do EBS para escalar privilégios:

AWS - EBS Privesc

SSM

Amazon Simple Systems Manager (SSM) permite gerenciar remotamente grupos de instâncias EC2 para facilitar muito suas administrações. Cada uma dessas instâncias precisa estar executando o serviço SSM Agent, pois o serviço será o responsável por receber as ações e executá-las a partir da API da AWS.

O SSM Agent possibilita que o Systems Manager atualize, gerencie e configure esses recursos. O agente processa solicitações do serviço Systems Manager na Nuvem AWS, e então as executa conforme especificado na solicitação.

O SSM Agent vem pré-instalado em algumas AMIs ou você precisa instalá-los manualmente nas instâncias. Além disso, a função IAM usada dentro da instância precisa ter a política AmazonEC2RoleforSSM anexada para poder se comunicar.

Enumeração

aws ssm describe-instance-information
aws ssm describe-parameters
aws ssm describe-sessions --state [Active|History]
aws ssm describe-instance-patches --instance-id <id>
aws ssm describe-instance-patch-states --instance-ids <id>
aws ssm describe-instance-associations-status --instance-id <id>

Você pode verificar em uma instância EC2 se o Systems Manager está em execução apenas executando:

ps aux | grep amazon-ssm

Privesc

Na página a seguir, você pode verificar como abusar das permissões do SSM para escalar privilégios:

AWS - SSM Privesc

ELB

Elastic Load Balancing (ELB) é um serviço de balanceamento de carga para implantações da Amazon Web Services (AWS). O ELB automaticamente distribui o tráfego de aplicação de entrada e dimensiona recursos para atender às demandas de tráfego.

Enumeration

# List internet-facing ELBs
aws elb describe-load-balancers
aws elb describe-load-balancers | jq '.LoadBalancerDescriptions[]| select( .Scheme | contains("internet-facing"))|.DNSName'

# DONT FORGET TO CHECK VERSION 2
aws elbv2 describe-load-balancers
aws elbv2 describe-load-balancers | jq '.LoadBalancers[].DNSName'
aws elbv2 describe-listeners --load-balancer-arn <load_balancer_arn>

Modelos de Lançamento e Grupos de Autoescalonamento

Enumeração

# Launch templates
aws ec2 describe-launch-templates
aws ec2 describe-launch-templates --launch-template-id <launch_template_id>
## Get details, like user data
aws ec2 describe-launch-template-versions --launch-template-id <launch_template_id>

# Autoscaling
aws autoscaling describe-auto-scaling-groups
aws autoscaling describe-auto-scaling-instances
aws autoscaling describe-launch-configurations
aws autoscaling describe-load-balancer-target-groups
aws autoscaling describe-load-balancers

Nitro

AWS Nitro é um conjunto de tecnologias inovadoras que formam a plataforma subjacente para instâncias AWS EC2. Introduzido pela Amazon para aumentar a segurança, desempenho e confiabilidade, Nitro aproveita componentes de hardware personalizados e um hipervisor leve. Ele abstrai grande parte da funcionalidade de virtualização tradicional para hardware e software dedicados, minimizando a superfície de ataque e melhorando a eficiência dos recursos. Ao descarregar funções de virtualização, Nitro permite que as instâncias EC2 ofereçam desempenho quase bare-metal, tornando-se particularmente benéfico para aplicações que consomem muitos recursos. Além disso, o Nitro Security Chip garante especificamente a segurança do hardware e firmware, solidificando ainda mais sua arquitetura robusta.

Obtenha mais informações e como enumerá-las em:

AWS - Nitro Enum

VPN

Uma VPN permite conectar sua rede local (site-to-site VPN) ou os laptops dos trabalhadores (Client VPN) com uma AWS VPC para que os serviços possam ser acessados sem precisar expô-los à internet.

Componentes Básicos da AWS VPN

1. Customer Gateway:

• Um Customer Gateway é um recurso que você cria na AWS para representar seu lado de uma conexão VPN.
• É essencialmente um dispositivo físico ou aplicativo de software do seu lado da conexão Site-to-Site VPN.
• Você fornece informações de roteamento e o endereço IP público do seu dispositivo de rede (como um roteador ou um firewall) para a AWS para criar um Customer Gateway.
• Ele serve como um ponto de referência para configurar a conexão VPN e não gera cobranças adicionais.

2. Virtual Private Gateway:

• Um Virtual Private Gateway (VPG) é o concentrador VPN do lado da Amazon da conexão Site-to-Site VPN.
• Ele está anexado à sua VPC e serve como o alvo para sua conexão VPN.
• O VPG é o endpoint do lado da AWS para a conexão VPN.
• Ele gerencia a comunicação segura entre sua VPC e sua rede local.

3. Site-to-Site VPN Connection:

• Uma conexão Site-to-Site VPN conecta sua rede local a uma VPC através de um túnel VPN IPsec seguro.
• Esse tipo de conexão requer um Customer Gateway e um Virtual Private Gateway.
• É usado para comunicação segura, estável e consistente entre seu data center ou rede e seu ambiente AWS.
• Normalmente usado para conexões regulares e de longo prazo e é cobrado com base na quantidade de dados transferidos pela conexão.

4. Client VPN Endpoint:

• Um endpoint Client VPN é um recurso que você cria na AWS para habilitar e gerenciar sessões de VPN de clientes.
• É usado para permitir que dispositivos individuais (como laptops, smartphones, etc.) se conectem de forma segura aos recursos da AWS ou à sua rede local.
• Ele difere da Site-to-Site VPN na medida em que é projetado para clientes individuais, em vez de conectar redes inteiras.
• Com o Client VPN, cada dispositivo cliente usa um software cliente VPN para estabelecer uma conexão segura.

Você pode encontrar mais informações sobre os benefícios e componentes das VPNs da AWS aqui.

Enumeração

# VPN endpoints
## Check used subnetwork, authentication, SGs, connected...
aws ec2 describe-client-vpn-endpoints

## Get AWS network info related to the vpn endpoint
aws ec2 describe-client-vpn-target-networks --client-vpn-endpoint-id <id>

## Get AWS subnet & ip range the VPN iconnected to
aws ec2 describe-client-vpn-routes --client-vpn-endpoint-id <id>

## Check authorization rules
aws ec2 describe-client-vpn-authorization-rules --client-vpn-endpoint-id <id>

## Get current connections to the VPN endpoint
aws ec2 describe-client-vpn-connections --client-vpn-endpoint-id <id>

# Get VPN gateways and check with which VPC each is connected
aws ec2 describe-vpn-gateways

# Get VPN site-to-site connections
aws ec2 describe-vpn-connections

Enumeração Local

Credenciais Temporárias Locais

Quando o AWS VPN Client é usado para se conectar a uma VPN, o usuário geralmente faz login no AWS para obter acesso à VPN. Em seguida, algumas credenciais do AWS são criadas e armazenadas localmente para estabelecer a conexão VPN. Essas credenciais são armazenadas em $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt e contêm uma AccessKey, uma SecretKey e um Token.

As credenciais pertencem ao usuário arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: pesquisar mais sobre as permissões dessas credenciais).

Arquivos de configuração opvn

Se uma conexão VPN foi estabelecida, você deve procurar por arquivos de configuração .opvn no sistema. Além disso, um lugar onde você poderia encontrar as configurações é em $HOME/.config/AWSVPNClient/OpenVpnConfigs

Pós Exploração

AWS - VPN Post Exploitation

Referências

• https://docs.aws.amazon.com/batch/latest/userguide/getting-started-ec2.html