AWS - Lambda Post Exploitation

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Lambda

For more information check:

AWS - Lambda Enum

Exfilrtate Lambda Credentials

Lambda, çalışma zamanında kimlik bilgilerini enjekte etmek için ortam değişkenlerini kullanır. Eğer onlara erişebilirseniz (ör. /proc/self/environ dosyasını okuyarak veya zafiyetli fonksiyonu kullanarak), bu kimlik bilgilerini kendiniz kullanabilirsiniz. Bu bilgiler varsayılan değişken adlarında bulunur: AWS_SESSION_TOKEN, AWS_SECRET_ACCESS_KEY ve AWS_ACCESS_KEY_ID.

Varsayılan olarak, bunların bir cloudwatch log group’una yazma (adının AWS_LAMBDA_LOG_GROUP_NAME içinde saklandığı) ve keyfi log group’lar oluşturma erişimi vardır; ancak lambda fonksiyonlarına genellikle amaçlarına göre daha fazla izin atanır.

lambda:Delete*

lambda:Delete* yetkisi verilen bir saldırgan, Lambda functions, versions/aliases, layers, event source mappings ve diğer ilgili yapılandırmaları silebilir.

aws lambda delete-function \
--function-name <LAMBDA_NAME>

Diğerlerinin Lambda URL İsteklerini Çalma

Bir saldırgan bir şekilde Lambda içinde RCE elde ederse, diğer kullanıcıların Lambda’ya gönderdiği HTTP isteklerini çalabilir. İstekler hassas bilgiler (cookies, credentials…) içeriyorsa, bunları çalabilir.

AWS - Lambda Steal Requests

Diğerlerinin Lambda URL İsteklerini ve Extensions İsteklerini Çalma

Lambda Layers’ı kötüye kullanarak extensions’ları da kötüye kullanmak, lambda içinde kalıcılık sağlamak ve istekleri çalmak/değiştirmek mümkündür.

AWS - Abusing Lambda Extensions

AWS Lambda – VPC Egress Bypass

Force a Lambda function out of a restricted VPC by updating its configuration with an empty VpcConfig (SubnetIds=[], SecurityGroupIds=[]). The function will then run in the Lambda-managed networking plane, regaining outbound internet access and bypassing egress controls enforced by private VPC subnets without NAT.

AWS - Lambda VPC Egress Bypass

AWS Lambda – Runtime Pinning/Rollback Abuse

Abuse lambda:PutRuntimeManagementConfig to pin a function to a specific runtime version (Manual) or freeze updates (FunctionUpdate). This preserves compatibility with malicious layers/wrappers and can keep the function on an outdated, vulnerable runtime to aid exploitation and long-term persistence.

AWS - Lambda Runtime Pinning Abuse

AWS Lambda – Log Siphon via LoggingConfig.LogGroup Redirection

Abuse lambda:UpdateFunctionConfiguration advanced logging controls to redirect a function’s logs to an attacker-chosen CloudWatch Logs log group. This works without changing code or the execution role (most Lambda roles already include logs:CreateLogGroup/CreateLogStream/PutLogEvents via AWSLambdaBasicExecutionRole). If the function prints secrets/request bodies or crashes with stack traces, you can collect them from the new log group.

AWS - Lambda LoggingConfig Redirection

AWS - Lambda Function URL Public Exposure

Turn a private Lambda Function URL into a public unauthenticated endpoint by switching the Function URL AuthType to NONE and attaching a resource-based policy that grants lambda:InvokeFunctionUrl to everyone. This enables anonymous invocation of internal functions and can expose sensitive backend operations.

AWS - Lambda Function URL Public Exposure

AWS Lambda – Event Source Mapping Target Hijack

Abuse UpdateEventSourceMapping to change the target Lambda function of an existing Event Source Mapping (ESM) so that records from DynamoDB Streams, Kinesis, or SQS are delivered to an attacker-controlled function. This silently diverts live data without touching producers or the original function code.

AWS - Lambda Event Source Mapping Hijack

AWS Lambda – EFS Mount Injection data exfiltration

Abuse lambda:UpdateFunctionConfiguration to attach an existing EFS Access Point to a Lambda, then deploy trivial code that lists/reads files from the mounted path to exfiltrate shared secrets/config that the function previously couldn’t access.

AWS - Lambda EFS Mount Injection

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• Abonelik planlarını kontrol edin!
• Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
• PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.