HackTricks CloudAWS - S3 Post Exploitation
Reading time: 4 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
S3
Kwa maelezo zaidi angalia:
AWS - S3, Athena & Glacier Enum
Taarifa Nyeti
Wakati mwingine utaweza kupata taarifa nyeti zinazoweza kusomwa katika makundi. Kwa mfano, siri za hali ya terraform.
Pivoting
Majukwaa tofauti yanaweza kutumia S3 kuhifadhi mali nyeti.
Kwa mfano, airflow inaweza kuwa inahifadhi DAGs code humo, au kurasa za wavuti zinaweza kutolewa moja kwa moja kutoka S3. Mshambuliaji mwenye ruhusa za kuandika anaweza kubadilisha code kutoka kwenye kundi ili pivot kwa majukwaa mengine, au kuchukua akaunti kwa kubadilisha faili za JS.
S3 Ransomware
Katika hali hii, mshambuliaji anaunda funguo ya KMS (Key Management Service) katika akaunti yake ya AWS au akaunti nyingine iliyovunjwa. Kisha wanafanya funguo hii ipatikane kwa mtu yeyote duniani, ikiruhusu mtumiaji yeyote wa AWS, jukumu, au akaunti kuandika vitu kwa kutumia funguo hii. Hata hivyo, vitu haviwezi kufutwa.
Mshambuliaji anabaini lengo S3 bucket na kupata ufikiaji wa kiwango cha kuandika kwa kutumia mbinu mbalimbali. Hii inaweza kuwa kutokana na usanidi mbaya wa kundi unaoonyesha hadharani au mshambuliaji kupata ufikiaji wa mazingira ya AWS yenyewe. Mshambuliaji kwa kawaida anawalenga makundi yanay contain taarifa nyeti kama vile taarifa zinazoweza kutambulika binafsi (PII), taarifa za afya zilizolindwa (PHI), kumbukumbu, nakala za akiba, na zaidi.
Ili kubaini kama kundi linaweza kulengwa kwa ransomware, mshambuliaji anachunguza usanidi wake. Hii inajumuisha kuthibitisha kama S3 Object Versioning imewezeshwa na kama kuondoa uthibitisho wa hatua nyingi (MFA delete) kumewashwa. Ikiwa Object Versioning haijawezeshwa, mshambuliaji anaweza kuendelea. Ikiwa Object Versioning imewezeshwa lakini MFA delete haijawashwa, mshambuliaji anaweza kuondoa Object Versioning. Ikiwa zote Object Versioning na MFA delete zimewezeshwa, inakuwa vigumu zaidi kwa mshambuliaji kufanya ransomware kwenye kundi hilo maalum.
Kwa kutumia AWS API, mshambuliaji anabadilisha kila kitu katika kundi na nakala iliyofichwa kwa kutumia funguo zao za KMS. Hii inafanikisha kuficha data katika kundi, na kuifanya isipatikane bila funguo.
Ili kuongeza shinikizo zaidi, mshambuliaji anapanga kufuta funguo ya KMS iliyotumika katika shambulio. Hii inampa lengo dirisha la siku 7 ili kurejesha data zao kabla funguo hiyo haijafutwa na data kuwa kupotea milele.
Hatimaye, mshambuliaji anaweza kupakia faili ya mwisho, kwa kawaida inayoitwa "ransom-note.txt," ambayo ina maelekezo kwa lengo jinsi ya kurejesha faili zao. Faili hii inapakiwa bila kufichwa, labda ili kuvutia umakini wa lengo na kuwajulisha kuhusu shambulio la ransomware.
Kwa maelezo zaidi angalia utafiti wa asili.
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.