HackTricks CloudAWS - SQS Privesc
Tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Підтримайте HackTricks
- Перегляньте the subscription plans!
- Приєднуйтесь до 💬 Discord group або до telegram group або стежте за нами в Twitter 🐦 @hacktricks_live.
- Діліться hacking tricks, надсилаючи PRs до HackTricks та HackTricks Cloud github repos.
SQS
Для отримання додаткової інформації див.:
sqs:AddPermission
Атакуючий може використати цей дозвіл, щоб надати неавторизованим користувачам або сервісам доступ до SQS queue шляхом створення нових політик або модифікації існуючих. Це може призвести до неавторизованого доступу до повідомлень у черзі або до маніпуляцій з чергою з боку неавторизованих осіб.
aws sqs add-permission --queue-url <value> --actions <value> --aws-account-ids <value> --label <value>
Можливий вплив: Несанкціонований доступ до черги, розкриття повідомлень або маніпуляції з чергою з боку неавторизованих користувачів або сервісів.
sqs:SendMessage , sqs:SendMessageBatch
Зловмисник може відправляти шкідливі або небажані повідомлення в чергу SQS, що потенційно може призвести до пошкодження даних, запуску небажаних дій або вичерпання ресурсів.
aws sqs send-message --queue-url <value> --message-body <value>
aws sqs send-message-batch --queue-url <value> --entries <value>
Потенційний вплив: Використання вразливості, пошкодження даних, непередбачені дії або виснаження ресурсів.
sqs:ReceiveMessage, sqs:DeleteMessage, sqs:ChangeMessageVisibility
Зловмисник може отримувати, видаляти або змінювати видимість повідомлень у черзі SQS, що може призвести до втрати повідомлень, пошкодження даних або порушення роботи сервісів для додатків, які покладаються на ці повідомлення.
aws sqs receive-message --queue-url <value>
aws sqs delete-message --queue-url <value> --receipt-handle <value>
aws sqs change-message-visibility --queue-url <value> --receipt-handle <value> --visibility-timeout <value>
Потенційний вплив: Викрадення конфіденційної інформації, втрата повідомлень, пошкодження даних та порушення роботи сервісів для застосунків, які залежать від уражених повідомлень.
Tip
Вивчайте та практикуйте AWS Hacking:
Вивчайте та практикуйте GCP Hacking:
Вивчайте та практикуйте Az Hacking:Підтримайте HackTricks
- Перегляньте the subscription plans!
- Приєднуйтесь до 💬 Discord group або до telegram group або стежте за нами в Twitter 🐦 @hacktricks_live.
- Діліться hacking tricks, надсилаючи PRs до HackTricks та HackTricks Cloud github repos.