HackTricks CloudAWS - SQS Privesc
Tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
SQS
Kwa maelezo zaidi angalia:
sqs:AddPermission
Mshambuliaji anaweza kutumia ruhusa hii kumpa watumiaji au huduma wasiokuwa na idhini ufikiaji wa SQS queue kwa kuunda policies mpya au kubadilisha policies zilizopo. Hii inaweza kusababisha ufikiaji usioidhinishwa wa ujumbe ulioko kwenye queue au kuingiliwa/kudhibitiwa kwa queue na wahusika wasiokuwa na idhini.
aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>
Athari Inayoweza Kutokea: Ufikiaji usioidhinishwa wa foleni, kufichuliwa kwa ujumbe, au udhibiti wa foleni na watumiaji au huduma wasioidhinishwa.
sqs:SendMessage , sqs:SendMessageBatch
Mshambulizi anaweza kutuma ujumbe hatarishi au usiohitajika kwenye SQS queue, jambo ambalo linaweza kusababisha uharibifu wa data, kusababisha vitendo visivyokusudiwa, au kumaliza rasilimali.
aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>
Athari Zinazoweza Kutokea: Matumizi ya udhaifu, uharibifu wa data, vitendo visivyokusudiwa, au matumizi kupita kiasi ya rasilimali.
sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility
Mshambuliaji anaweza kupokea, kufuta, au kubadilisha uonekano wa ujumbe katika foleni ya SQS, na kusababisha upotevu wa ujumbe, uharibifu wa data, au kukatika kwa huduma kwa programu zinazotegemea ujumbe hizo.
aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>
Athari Zinazoweza Kutokea: Kuiba taarifa nyeti, upotevu wa ujumbe, uharibifu wa data, na kukatizwa kwa huduma kwa programu zinazotegemea ujumbe ulioathiriwa.
Tip
Jifunze na fanya mazoezi ya AWS Hacking:
Jifunze na fanya mazoezi ya GCP Hacking:Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.