AWS - SQS Privesc

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

SQS

Za više informacija pogledajte:

AWS - SQS Enum

sqs:AddPermission

Napadač može iskoristiti ovu permisiju da dodeli neovlašćenim korisnicima ili servisima pristup SQS redu kreiranjem novih policies ili izmenom postojećih policies. To može dovesti do neovlašćenog pristupa porukama u redu ili manipulacije redom od strane neovlašćenih entiteta.

aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>

Mogući uticaj: Neovlašćen pristup redu, izlaganje poruka, ili manipulacija redom od strane neovlašćenih korisnika ili servisa.

sqs:SendMessage , sqs:SendMessageBatch

Napadač može poslati zlonamerne ili neželjene poruke u SQS red, što može dovesti do korupcije podataka, pokretanja neželjenih radnji ili iscrpljivanja resursa.

aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>

Potencijalni uticaj: iskorišćavanje ranjivosti, oštećenje podataka, neželjene radnje ili iscrpljivanje resursa.

sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility

Napadač bi mogao primiti, obrisati ili izmeniti vidljivost poruka u SQS queue, što može dovesti do gubitka poruka, oštećenja podataka ili prekida usluge za aplikacije koje se oslanjaju na te poruke.

aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>

Potencijalni uticaj: Krađa osetljivih informacija, gubitak poruka, oštećenje podataka i prekid usluge za aplikacije koje zavise od pogođenih poruka.

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.