HackTricks CloudAWS - SQS Privesc
Tip
Jifunze na ufanye mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Saidia HackTricks
- Angalia the subscription plans!
- Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
- Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.
SQS
Kwa maelezo zaidi angalia:
sqs:AddPermission
Mshambuliaji anaweza kutumia ruhusa hii kumpa watumiaji au huduma wasiokuwa na idhini ufikiaji wa SQS queue kwa kuunda policies mpya au kubadilisha policies zilizopo. Hii inaweza kusababisha ufikiaji usioidhinishwa wa ujumbe ulioko kwenye queue au kuingiliwa/kudhibitiwa kwa queue na wahusika wasiokuwa na idhini.
aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>
Athari Inayoweza Kutokea: Ufikiaji usioidhinishwa wa foleni, kufichuliwa kwa ujumbe, au udhibiti wa foleni na watumiaji au huduma wasioidhinishwa.
sqs:SendMessage , sqs:SendMessageBatch
Mshambulizi anaweza kutuma ujumbe hatarishi au usiohitajika kwenye SQS queue, jambo ambalo linaweza kusababisha uharibifu wa data, kusababisha vitendo visivyokusudiwa, au kumaliza rasilimali.
aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>
Athari Zinazoweza Kutokea: Matumizi ya udhaifu, uharibifu wa data, vitendo visivyokusudiwa, au matumizi kupita kiasi ya rasilimali.
sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility
Mshambuliaji anaweza kupokea, kufuta, au kubadilisha uonekano wa ujumbe katika foleni ya SQS, na kusababisha upotevu wa ujumbe, uharibifu wa data, au kukatika kwa huduma kwa programu zinazotegemea ujumbe hizo.
aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>
Athari Zinazoweza Kutokea: Kuiba taarifa nyeti, upotevu wa ujumbe, uharibifu wa data, na kukatizwa kwa huduma kwa programu zinazotegemea ujumbe ulioathiriwa.
Tip
Jifunze na ufanye mazoezi ya AWS Hacking:
Jifunze na ufanye mazoezi ya GCP Hacking:
Jifunze na ufanye mazoezi ya Az Hacking:Saidia HackTricks
- Angalia the subscription plans!
- Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
- Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.