AWS - Route53 Privesc

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。

For more information about Route53 check:

AWS - Route53 Enum

`route53:CreateHostedZone`, `route53:ChangeResourceRecordSets`, `acm-pca:IssueCertificate`, `acm-pca:GetCertificate`

Note

要执行此攻击，目标账户必须已经在账户中设置了 AWS Certificate Manager Private Certificate Authority (AWS-PCA)，并且 VPC(s) 中的 EC2 实例必须已经导入证书以信任它。在具备该基础设施的情况下，以下攻击可以用来拦截 AWS API 流量。

其他建议但非枚举阶段必需的权限：route53:GetHostedZone, route53:ListHostedZones, acm-pca:ListCertificateAuthorities, ec2:DescribeVpcs

假设存在一个 AWS VPC，里面有多个 cloud-native 应用相互通信并与 AWS API 交互。由于微服务之间的通信通常使用 TLS 加密，因此需要一个私有 CA 来为这些服务签发有效证书。若为此使用 ACM-PCA 并且对手设法以上述最小权限集获得对 route53 和 acm-pca 私有 CA 的控制，则可以劫持应用对 AWS API 的调用，继而接管它们的 IAM 权限。

之所以可行，原因如下：

AWS SDKs do not have Certificate Pinning
Route53 允许为 AWS APIs 的域名创建 Private Hosted Zone 和 DNS 记录
ACM-PCA 中的 Private CA 无法被限制为只为特定的 Common Names 签发证书

潜在影响： 通过拦截流量中的敏感信息实现间接 privesc。

利用

在原始研究中查看利用步骤： https://niebardzo.github.io/2022-03-11-aws-hijacking-route53/

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 subscription plans!

加入 💬 Discord group 或者 telegram group 或关注我们的 Twitter 🐦 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PRs 来分享 hacking tricks。

HackTricks Cloud

AWS - Route53 Privesc

route53:CreateHostedZone, route53:ChangeResourceRecordSets, acm-pca:IssueCertificate, acm-pca:GetCertificate

利用

`route53:CreateHostedZone`, `route53:ChangeResourceRecordSets`, `acm-pca:IssueCertificate`, `acm-pca:GetCertificate`