Pentesting Cloud Metodolojisi

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Abonelik planlarını kontrol edin!

Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.

PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

Temel Metodoloji

Her bulutun kendine ait özellikleri vardır fakat genel olarak bir pentester’ın bir cloud ortamını test ederken kontrol etmesi gereken birkaç ortak şey vardır:

Benchmark kontrolleri
Bu, ortamın büyüklüğünü ve kullanılan servisleri anlamanıza yardımcı olur
Ayrıca çoğu testi otomatik araçlarla gerçekleştirebileceğiniz için bazı hızlı yanlış yapılandırmaları bulmanızı sağlar
Services Enumeration
Eğer benchmark testlerini doğru yaptıysanız burada muhtemelen çok daha fazla yanlış yapılandırma bulamazsınız, ancak benchmark testinde aranmayan bazı şeyleri bulabilirsiniz.
Bu, cloud ortamında tam olarak nelerin kullanıldığını bilmenizi sağlar
Bir sonraki adımlarda çok yardımcı olur
Check exposed assets
Bu, önceki bölüm sırasında yapılabilir; İnternete bir şekilde potansiyel olarak açık olan her şeyi ve bunun nasıl erişildiğini bulmanız gerekir.
Burada manuel olarak açığa çıkarılan altyapıyı (web sayfası olan instance’lar veya diğer portların açık olduğu örnekler gibi) ve ayrıca açılacak şekilde yapılandırılabilen diğer cloud yönetimli servisleri (ör. DBs veya buckets) ele alıyorum
Sonra bu kaynağın açık olup olmadığını kontrol etmelisiniz (gizli bilgi? zafiyetler? açığa çıkmış serviste yanlış yapılandırmalar?)
Check permissions
Burada cloud içindeki her rol/kullanıcının tüm izinlerini ve bunların nasıl kullanıldığını bulmalısınız
Çok fazla yüksek ayrıcalıklı (her şeyi kontrol eden) hesap var mı? Oluşturulmuş anahtarlar kullanılmıyor mu?… Bu kontrollerin çoğu zaten benchmark testlerinde yapılmış olmalı
Eğer müşteri OpenID veya SAML veya başka bir federation kullanıyorsa, her rolün nasıl atandığı hakkında daha fazla bilgi istemeniz gerekebilir (admin rolünün 1 kullanıcıya mı yoksa 100 kullanıcıya mı atandığı aynı şey değildir)
Sadece hangi kullanıcıların admin izinlerine “*:*” sahip olduğunu bulmak yeterli değildir. Kullanılan servislere bağlı olarak çok duyarlı olabilecek birçok diğer izin vardır.
Dahası, izinleri kötüye kullanarak takip edilebilecek potansiyel privesc yolları vardır. Tüm bu durumlar dikkate alınmalı ve mümkün olduğunca fazla privesc yolu raporlanmalıdır.
Check Integrations
Cloud ortamında muhtemelen başka cloud’lar veya SaaS ile entegrasyonlar kullanılıyordur.
Denetlediğiniz cloud’un başka platformlarla olan integrationsı için, bu entegrasyonu kimlerin (kötüye) kullanabildiğini bildirmeniz ve gerçekleştirilen eylemin ne kadar hassas olduğunu sormanız gerekir.
Örneğin, GCP’nin veri aldığı bir AWS bucket’ına kim yazabiliyor (GCP’de o veriyi işlemenin ne kadar hassas olduğunu sorun).
Denetlediğiniz cloud içindeki entegrasyonlar dış platformlardan geliyorsa, bu entegrasyonu harici olarak kimlerin (kötüye) kullanabildiğini sormalı ve verinin nasıl kullanıldığını kontrol etmelisiniz.
Örneğin, bir servis GCR’de barındırılan bir Docker imajı kullanıyorsa, bu imajı kimlerin değiştirebildiğini ve imaj çalıştırıldığında hangi hassas bilgilerin ve erişimlerin elde edileceğini sormalısınız.

Multi-Cloud tools

Farklı cloud ortamlarını test etmek için kullanılabilecek çeşitli araçlar vardır. Kurulum adımları ve bağlantılar bu bölümde belirtilecektir.

PurplePanda

Bir cloud’larda ve cloud/SaaS çapında kötü yapılandırmaları ve privesc path’leri tespit etmek için bir araçtır.

# You need to install and run neo4j also
git clone https://github.com/carlospolop/PurplePanda
cd PurplePanda
python3 -m venv .
source bin/activate
python3 -m pip install -r requirements.txt
export PURPLEPANDA_NEO4J_URL="bolt://neo4j@localhost:7687"
export PURPLEPANDA_PWD="neo4j_pwd_4_purplepanda"
python3 main.py -h # Get help

export GOOGLE_DISCOVERY=$(echo 'google:
- file_path: ""

- file_path: ""
service_account_id: "some-sa-email@sidentifier.iam.gserviceaccount.com"' | base64)

python3 main.py -a -p google #Get basic info of the account to check it's correctly configured
python3 main.py -e -p google #Enumerate the env

Prowler

AWS, GCP & Azure’yi destekler. Her sağlayıcıyı nasıl yapılandıracağınızı https://docs.prowler.cloud/en/latest/#aws adresinden kontrol edin.

# Install
pip install prowler
prowler -v

# Run
prowler <provider>
# Example
prowler aws --profile custom-profile [-M csv json json-asff html]

# Get info about checks & services
prowler <provider> --list-checks
prowler <provider> --list-services

CloudSploit

AWS, Azure, Github, Google, Oracle, Alibaba

# Install
git clone https://github.com/aquasecurity/cloudsploit.git
cd cloudsploit
npm install
./index.js -h
## Docker instructions in github

## You need to have creds for a service account and set them in config.js file
./index.js --cloud google --config </abs/path/to/config.js>

ScoutSuite

AWS, Azure, GCP, Alibaba Cloud, Oracle Cloud Infrastructure

mkdir scout; cd scout
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help
## Using Docker: https://github.com/nccgroup/ScoutSuite/wiki/Docker-Image

scout gcp --report-dir /tmp/gcp --user-account --all-projects
## use "--service-account KEY_FILE" instead of "--user-account" to use a service account

SCOUT_FOLDER_REPORT="/tmp"
for pid in $(gcloud projects list --format="value(projectId)"); do
echo "================================================"
echo "Checking $pid"
mkdir "$SCOUT_FOLDER_REPORT/$pid"
scout gcp --report-dir "$SCOUT_FOLDER_REPORT/$pid" --no-browser --user-account --project-id "$pid"
done

Steampipe

Steampipe’i indirin ve kurun (https://steampipe.io/downloads). Veya Brew kullanın:

brew tap turbot/tap
brew install steampipe

# Install gcp plugin
steampipe plugin install gcp

# Use https://github.com/turbot/steampipe-mod-gcp-compliance.git
git clone https://github.com/turbot/steampipe-mod-gcp-compliance.git
cd steampipe-mod-gcp-compliance
# To run all the checks from the dashboard
steampipe dashboard
# To run all the checks from rhe cli
steampipe check all

Tüm Projeleri Kontrol Et

Tüm projeleri kontrol etmek için test edilecek tüm projeleri belirten gcp.spc dosyasını oluşturmanız gerekir. Aşağıdaki script’teki yönergeleri takip edebilirsiniz.

FILEPATH="/tmp/gcp.spc"
rm -rf "$FILEPATH" 2>/dev/null

# Generate a json like object for each project
for pid in $(gcloud projects list --format="value(projectId)"); do
echo "connection \"gcp_$(echo -n $pid | tr "-" "_" )\" {
plugin  = \"gcp\"
project = \"$pid\"
}" >> "$FILEPATH"
done

# Generate the aggragator to call
echo 'connection "gcp_all" {
plugin      = "gcp"
type        = "aggregator"
connections = ["gcp_*"]
}' >> "$FILEPATH"

echo "Copy $FILEPATH in ~/.steampipe/config/gcp.spc if it was correctly generated"

Diğer GCP içgörülerini (hizmetleri keşfetmek için faydalı) kontrol etmek için kullanın: https://github.com/turbot/steampipe-mod-gcp-insights

Terraform GCP kodunu kontrol etmek için: https://github.com/turbot/steampipe-mod-terraform-gcp-compliance

Steampipe için daha fazla GCP eklentisi: https://github.com/turbot?q=gcp

# Install aws plugin
steampipe plugin install aws

# Modify the spec indicating in "profile" the profile name to use
nano ~/.steampipe/config/aws.spc

# Get some info on how the AWS account is being used
git clone https://github.com/turbot/steampipe-mod-aws-insights.git
cd steampipe-mod-aws-insights
steampipe dashboard

# Get the services exposed to the internet
git clone https://github.com/turbot/steampipe-mod-aws-perimeter.git
cd steampipe-mod-aws-perimeter
steampipe dashboard

# Run the benchmarks
git clone https://github.com/turbot/steampipe-mod-aws-compliance
cd steampipe-mod-aws-compliance
steampipe dashboard # To see results in browser
steampipe check all --export=/tmp/output4.json

Terraform AWS kodunu kontrol etmek için: https://github.com/turbot/steampipe-mod-terraform-aws-compliance

Steampipe için daha fazla AWS eklentisi: https://github.com/orgs/turbot/repositories?q=aws

cs-suite

AWS, GCP, Azure, DigitalOcean.
python2.7 gerektirir ve bakımsız görünüyor.

Nessus, Audit Cloud Infrastructure taramasıyla şu platformları destekler: AWS, Azure, Office 365, Rackspace, Salesforce. Bir Client Id almak için Azure’da bazı ek yapılandırmalar gereklidir.

cloudlist

Cloudlist, Cloud Providers’dan multi-cloud tool for getting Assets (Hostnames, IP Addresses) elde etmek için kullanılan bir araçtır.

cd /tmp
wget https://github.com/projectdiscovery/cloudlist/releases/latest/download/cloudlist_1.0.1_macOS_arm64.zip
unzip cloudlist_1.0.1_macOS_arm64.zip
chmod +x cloudlist
sudo mv cloudlist /usr/local/bin

## For GCP it requires service account JSON credentials
cloudlist -config </path/to/config>

cartography

Cartography, Neo4j veritabanı tarafından desteklenen sezgisel bir graf görünümünde altyapı varlıklarını ve bunlar arasındaki ilişkileri birleştiren bir Python aracıdır.

# Installation
docker image pull ghcr.io/lyft/cartography
docker run --platform linux/amd64 ghcr.io/lyft/cartography cartography --help
## Install a Neo4j DB version 3.5.*

docker run --platform linux/amd64 \
--volume "$HOME/.config/gcloud/application_default_credentials.json:/application_default_credentials.json" \
-e GOOGLE_APPLICATION_CREDENTIALS="/application_default_credentials.json" \
-e NEO4j_PASSWORD="s3cr3t" \
ghcr.io/lyft/cartography  \
--neo4j-uri bolt://host.docker.internal:7687 \
--neo4j-password-env-var NEO4j_PASSWORD \
--neo4j-user neo4j


# It only checks for a few services inside GCP (https://lyft.github.io/cartography/modules/gcp/index.html)
## Cloud Resource Manager
## Compute
## DNS
## Storage
## Google Kubernetes Engine
### If you can run starbase or purplepanda you will get more info

starbase

Starbase, bulut altyapısı, SaaS uygulamaları, güvenlik kontrolleri ve diğer hizmetler ile sistemlerden varlıkları ve ilişkileri toplayıp Neo4j veritabanı tarafından desteklenen sezgisel bir grafik görünümünde sunar.

# You are going to need Node version 14, so install nvm following https://tecadmin.net/install-nvm-macos-with-homebrew/
npm install --global yarn
nvm install 14
git clone https://github.com/JupiterOne/starbase.git
cd starbase
nvm use 14
yarn install
yarn starbase --help
# Configure manually config.yaml depending on the env to analyze
yarn starbase setup
yarn starbase run

# Docker
git clone https://github.com/JupiterOne/starbase.git
cd starbase
cp config.yaml.example config.yaml
# Configure manually config.yaml depending on the env to analyze
docker build --no-cache -t starbase:latest .
docker-compose run starbase setup
docker-compose run starbase run

## Config for GCP
### Check out: https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md
### It requires service account credentials

integrations:
- name: graph-google-cloud
instanceId: testInstanceId
directory: ./.integrations/graph-google-cloud
gitRemoteUrl: https://github.com/JupiterOne/graph-google-cloud.git
config:
SERVICE_ACCOUNT_KEY_FILE: "{Check https://github.com/JupiterOne/graph-google-cloud/blob/main/docs/development.md#service_account_key_file-string}"
PROJECT_ID: ""
FOLDER_ID: ""
ORGANIZATION_ID: ""
CONFIGURE_ORGANIZATION_PROJECTS: false

storage:
engine: neo4j
config:
username: neo4j
password: s3cr3t
uri: bolt://localhost:7687
#Consider using host.docker.internal if from docker

SkyArk

Taranan AWS veya Azure ortamındaki en ayrıcalıklı kullanıcıları (AWS Shadow Admins dahil) keşfeder. powershell kullanır.

Import-Module .\SkyArk.ps1 -force
Start-AzureStealth

# in the Cloud Console
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cyberark/SkyArk/master/AzureStealth/AzureStealth.ps1')
Scan-AzureAdmins

Cloud Brute

Bir şirketin (target) altyapısını, dosyalarını ve uygulamalarını en büyük bulut sağlayıcılarında (Amazon, Google, Microsoft, DigitalOcean, Alibaba, Vultr, Linode) bulmak için bir araç.

CloudFox

CloudFox, bulut altyapısında sömürülebilir saldırı yollarını bulmak için bir araçtır (şu an için yalnızca AWS ve Azure destekleniyor; GCP yakında eklenecek).
Manuel pentesting’i tamamlayacak şekilde tasarlanmış bir keşif aracıdır.
Bulut ortamında herhangi bir veri oluşturmaz veya değiştirmez.

More lists of cloud security tools

https://github.com/RyanJarv/awesome-cloud-sec

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Abonelik planlarını kontrol edin!

Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.

PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.

HackTricks Cloud