Translated ['src/pentesting-cloud/aws-security/aws-privilege-escalation/

2025-12-28 05:33:10 -08:00 · 2025-02-15 01:16:05 +00:00
parent 0a5ef79ad0
commit 772cd2cb71
3 changed files with 26 additions and 128 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -292,6 +292,7 @@
    - [AWS - KMS Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-kms-privesc.md)
    - [AWS - Lambda Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md)
    - [AWS - Lightsail Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lightsail-privesc.md)
+    - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md)
    - [AWS - Mediapackage Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mediapackage-privesc.md)
    - [AWS - MQ Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mq-privesc.md)
    - [AWS - MSK Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-msk-privesc.md)
@@ -320,7 +321,6 @@
      - [AWS - Firewall Manager Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-firewall-manager-enum.md)
      - [AWS - GuardDuty Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-guardduty-enum.md)
      - [AWS - Inspector Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-inspector-enum.md)
-      - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md)
      - [AWS - Security Hub Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-security-hub-enum.md)
      - [AWS - Shield Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-shield-enum.md)
      - [AWS - Trusted Advisor Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-trusted-advisor-enum.md)
@@ -354,6 +354,7 @@
    - [AWS - KMS Enum](pentesting-cloud/aws-security/aws-services/aws-kms-enum.md)
    - [AWS - Lambda Enum](pentesting-cloud/aws-security/aws-services/aws-lambda-enum.md)
    - [AWS - Lightsail Enum](pentesting-cloud/aws-security/aws-services/aws-lightsail-enum.md)
+    - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-macie-enum.md)
    - [AWS - MQ Enum](pentesting-cloud/aws-security/aws-services/aws-mq-enum.md)
    - [AWS - MSK Enum](pentesting-cloud/aws-security/aws-services/aws-msk-enum.md)
    - [AWS - Organizations Enum](pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md)
@@ -399,6 +400,7 @@
    - [Az - Tokens & Public Applications](pentesting-cloud/azure-security/az-basic-information/az-tokens-and-public-applications.md)
  - [Az - Enumeration Tools](pentesting-cloud/azure-security/az-enumeration-tools.md)
  - [Az - Unauthenticated Enum & Initial Entry](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md)
+    - [Az - Container Registry Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-container-registry-unauth.md)
    - [Az - OAuth Apps Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md)
    - [Az - Storage Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md)
    - [Az - VMs Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md)
@@ -413,7 +415,7 @@
    - [Az - Azure App Services](pentesting-cloud/azure-security/az-services/az-app-services.md)
    - [Az - Cloud Shell](pentesting-cloud/azure-security/az-services/az-cloud-shell.md)
    - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-registry.md)
-    - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-instances.md)
+    - [Az - Container Instances](pentesting-cloud/azure-security/az-services/az-container-instances.md)
    - [Az - CosmosDB](pentesting-cloud/azure-security/az-services/az-cosmosDB.md)
    - [Az - Intune](pentesting-cloud/azure-security/az-services/intune.md)
    - [Az - File Shares](pentesting-cloud/azure-security/az-services/az-file-shares.md)
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md
@@ -1,25 +1,37 @@
-# Amazon Macie - Omseil `Reveal Sample` Integriteitskontrole
+# AWS - Macie Privesc

-AWS Macie is 'n sekuriteitsdiens wat outomaties sensitiewe data binne AWS-omgewings opspoor, soos geloofsbriewe, persoonlik identifiseerbare inligting (PII), en ander vertroulike data. Wanneer Macie 'n sensitiewe geloofsbewys identifiseer, soos 'n AWS geheime sleutel wat in 'n S3-bucket gestoor is, genereer dit 'n bevinding wat die eienaar toelaat om 'n "monster" van die opgespoorde data te sien. Gewoonlik, sodra die sensitiewe lêer uit die S3-bucket verwyder is, word verwag dat die geheim nie weer verkry kan word nie.
+{{#include ../../../banners/hacktricks-training.md}}

-Echter, 'n **omseiling** is geïdentifiseer waar 'n aanvaller met voldoende regte **'n lêer met dieselfde naam kan heroplaai** maar wat verskillende, nie-sensitiewe dummy data bevat. Dit veroorsaak dat Macie die nuut opgelaaide lêer met die oorspronklike bevinding assosieer, wat die aanvaller in staat stel om die **"Reveal Sample" kenmerk** te gebruik om die voorheen opgespoorde geheim te onttrek. Hierdie probleem stel 'n beduidende sekuriteitsrisiko voor, aangesien geheime wat veronderstel was om verwyder te wees, steeds deur hierdie metode verkrybaar bly.
+## Macie

-<img src="https://github.com/user-attachments/assets/c44228ae-12cd-41bd-9a04-57f503a63281" height="800" width="auto"/>
+Vir meer inligting oor Macie, kyk:

-## Stappe om te herhaal:
+{{#ref}}
+../aws-services/aws-macie-enum.md
+{{#endref}}
+
+### Amazon Macie - Bypass `Reveal Sample` Integriteitskontrole
+
+AWS Macie is 'n sekuriteitsdiens wat outomaties sensitiewe data binne AWS-omgewings opspoor, soos geloofsbriewe, persoonlik identifiseerbare inligting (PII), en ander vertroulike data. Wanneer Macie 'n sensitiewe geloofsbrief identifiseer, soos 'n AWS geheime sleutel wat in 'n S3-bucket gestoor is, genereer dit 'n bevinding wat die eienaar toelaat om 'n "monster" van die opgespoorde data te sien. Gewoonlik, sodra die sensitiewe lêer uit die S3-bucket verwyder is, word verwag dat die geheim nie weer verkry kan word nie.
+
+Daar is egter 'n **bypass** geïdentifiseer waar 'n aanvaller met voldoende regte 'n **lêer met dieselfde naam** kan **heroplaai** maar met verskillende, nie-sensitiewe dummy data. Dit veroorsaak dat Macie die nuut opgelaaide lêer met die oorspronklike bevinding assosieer, wat die aanvaller in staat stel om die **"Reveal Sample" funksie** te gebruik om die voorheen opgespoorde geheim te onttrek. Hierdie probleem stel 'n beduidende sekuriteitsrisiko voor, aangesien geheime wat veronderstel was om verwyder te wees, steeds deur hierdie metode verkrybaar bly.
+
+![flow](https://github.com/user-attachments/assets/7b83f2d3-1690-41f1-98cc-05ccd0154a66)
+
+**Stappe om te herhaal:**

 1. Laai 'n lêer op (bv. `test-secret.txt`) na 'n S3-bucket met sensitiewe data, soos 'n AWS geheime sleutel. Wag vir AWS Macie om te skandeer en 'n bevinding te genereer.

-2. Navigeer na AWS Macie Findings, vind die gegenereerde bevinding, en gebruik die **Reveal Sample** kenmerk om die opgespoorde geheim te sien.
+2. Navigeer na AWS Macie Findings, vind die gegenereerde bevinding, en gebruik die **Reveal Sample** funksie om die opgespoorde geheim te sien.

 3. Verwyder `test-secret.txt` uit die S3-bucket en verifieer dat dit nie meer bestaan nie.

-4. Skep 'n nuwe lêer met die naam `test-secret.txt` met dummy data en laai dit weer op na dieselfde S3-bucket met behulp van **die aanvaller se rekening**.
+4. Skep 'n nuwe lêer met die naam `test-secret.txt` met dummy data en laai dit weer op na dieselfde S3-bucket met behulp van **aanvaller se rekening**.

 5. Keer terug na AWS Macie Findings, toegang die oorspronklike bevinding, en klik weer op **Reveal Sample**.

-6. Observeer dat Macie steeds die oorspronklike geheim onthul, ten spyte daarvan dat die lêer verwyder en met verskillende inhoud **van verskillende rekeninge, in ons geval sal dit die aanvaller se rekening wees** vervang is.
+6. Observeer dat Macie steeds die oorspronklike geheim onthul, ten spyte daarvan dat die lêer verwyder is en vervang is met verskillende inhoud **van verskillende rekeninge, in ons geval sal dit die aanvaller se rekening wees**.

-## Samevatting:
+**Samevatting:**

-Hierdie kwesbaarheid laat 'n aanvaller met voldoende AWS IAM-regte toe om voorheen opgespoorde geheime te herstel, selfs nadat die oorspronklike lêer uit S3 verwyder is. As 'n AWS geheime sleutel, toegangstoken, of ander sensitiewe geloofsbewys blootgestel word, kan 'n aanvaller hierdie fout benut om dit te verkry en ongeoorloofde toegang tot AWS-hulpbronne te verkry. Dit kan lei tot regte-omhoog, ongeoorloofde data-toegang, of verdere kompromie van wolk bates, wat lei tot datalekke en diensonderbrekings.
+Hierdie kwesbaarheid laat 'n aanvaller met voldoende AWS IAM-regte toe om voorheen opgespoorde geheime te herstel, selfs nadat die oorspronklike lêer uit S3 verwyder is. As 'n AWS geheime sleutel, toegangstoken, of ander sensitiewe geloofsbrief blootgestel word, kan 'n aanvaller hierdie fout benut om dit te verkry en onbevoegde toegang tot AWS-hulpbronne te verkry. Dit kan lei tot regte-eskalasie, onbevoegde data-toegang, of verdere kompromie van wolk bates, wat lei tot datalekke en diensonderbrekings.
--- a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md
+++ b/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md
@@ -1,116 +0,0 @@
-# AWS - Macie Enum
-
-## AWS - Macie Enum
-
-{{#include ../../../../banners/hacktricks-training.md}}
-
-## Macie
-
-Amazon Macie is 'n diens wat ontwerp is om **outomaties data te ontdek, te klassifiseer en te identifiseer** binne 'n AWS-rekening. Dit benut **masjienleer** om data deurlopend te monitor en te analiseer, met die fokus op die opsporing en waarskuwing teen ongewone of verdagte aktiwiteite deur **cloud trail event** data en gebruikersgedragspatrone te ondersoek.
-
-Belangrike Kenmerke van Amazon Macie:
-
-1. **Aktiewe Data Hersiening**: Gebruik masjienleer om data aktief te hersien soos verskeie aksies binne die AWS-rekening plaasvind.
-2. **Anomalie Opsporing**: Identifiseer onreëlmatige aktiwiteite of toegangspatrone, wat waarskuwings genereer om potensiële data blootstellingsrisiko's te verminder.
-3. **Deurlopende Monitering**: Monitor en ontdek outomaties nuwe data in Amazon S3, wat masjienleer en kunsmatige intelligensie gebruik om aan te pas by data toegangspatrone oor tyd.
-4. **Data Klassifikasie met NLP**: Gebruik natuurlike taalverwerking (NLP) om verskillende datatipes te klassifiseer en te interpreteer, en risiko punte toe te ken om bevindings te prioritiseer.
-5. **Sekuriteitsmonitering**: Identifiseer sekuriteitsgevoelige data, insluitend API sleutels, geheime sleutels, en persoonlike inligting, wat help om data lekke te voorkom.
-
-Amazon Macie is 'n **streekdiens** en vereis die 'AWSMacieServiceCustomerSetupRole' IAM Rol en 'n geaktiveerde AWS CloudTrail vir funksionaliteit.
-
-### Waarskuwingstelsel
-
-Macie kategoriseer waarskuwings in vooraf gedefinieerde kategorieë soos:
-
- Anonimiseerde toegang
- Data nakoming
- Kredensiële verlies
- Privilege eskalasie
- Ransomware
- Verdachte toegang, ens.
-
-Hierdie waarskuwings bied gedetailleerde beskrywings en resultaatontledings vir effektiewe reaksie en oplossing.
-
-### Dashboard Kenmerke
-
-Die dashboard kategoriseer data in verskeie afdelings, insluitend:
-
- S3 Objekte (volgens tydsbereik, ACL, PII)
- Hoë risiko CloudTrail gebeurtenisse/gebruikers
- Aktiwiteit Lokasies
- CloudTrail gebruikersidentiteitstipes, en meer.
-
-### Gebruiker Kategorisering
-
-Gebruikers word geklassifiseer in vlakke gebaseer op die risiko vlak van hul API oproepe:
-
- **Platinum**: Hoë risiko API oproepe, dikwels met admin voorregte.
- **Gold**: Infrastruktuur-verwante API oproepe.
- **Silver**: Medium risiko API oproepe.
- **Bronze**: Lae risiko API oproepe.
-
-### Identiteitstipes
-
-Identiteitstipes sluit Root, IAM gebruiker, Aangenome Rol, Gefedereerde Gebruiker, AWS Rekening, en AWS Diens in, wat die bron van versoeke aandui.
-
-### Data Klassifikasie
-
-Data klassifikasie sluit in:
-
- Inhouds tipe: Gebaseer op gedetecteerde inhoud tipe.
- Lêeruitbreiding: Gebaseer op lêeruitbreiding.
- Tema: Gekategoriseer volgens sleutelwoorde binne lêers.
- Regex: Gekategoriseer gebaseer op spesifieke regex patrone.
-
-Die hoogste risiko onder hierdie kategorieë bepaal die lêer se finale risikoniveau.
-
-### Navorsing en Analise
-
-Amazon Macie se navorsingsfunksie laat vir pasgemaakte navrae oor alle Macie data vir diepgaande analise. Filters sluit CloudTrail Data, S3 Emmer eienskappe, en S3 Objekte in. Boonop ondersteun dit die uitnodiging van ander rekeninge om Amazon Macie te deel, wat samewerkende data bestuur en sekuriteitsmonitering fasiliteer.
-
-### Enumerasie
-```
-# Get buckets
-aws macie2 describe-buckets
-
-# Org config
-aws macie2 describe-organization-configuration
-
-# Get admin account (if any)
-aws macie2 get-administrator-account
-aws macie2 list-organization-admin-accounts # Run from the management account of the org
-
-# Get macie account members (run this form the admin account)
-aws macie2 list-members
-
-# Check if automated sensitive data discovey is enabled
-aws macie2 get-automated-discovery-configuration
-
-# Get findings
-aws macie2 list-findings
-aws macie2 get-findings --finding-ids <ids>
-aws macie2 list-findings-filters
-aws macie2 get -findings-filters --id <id>
-
-# Get allow lists
-aws macie2 list-allow-lists
-aws macie2 get-allow-list --id <id>
-
-# Get different info
-aws macie2 list-classification-jobs
-aws macie2 list-classification-scopes
-aws macie2 list-custom-data-identifiers
-```
-#### Post Exploitation
-
-> [!TIP]
-> Vanuit 'n aanvaller se perspektief is hierdie diens nie gemaak om die aanvaller te ontdek nie, maar om sensitiewe inligting in die gestoor lêers te ontdek. Daarom kan hierdie diens **'n aanvaller help om sensitiewe inligting** binne die emmers te vind.\
-> egter, dalk kan 'n aanvaller ook belangstel om dit te ontwrig om te voorkom dat die slagoffer waarskuwings ontvang en daardie inligting makliker steel.
-
-TODO: PRs is welkom!
-
-## References
-
- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/)
-
-{{#include ../../../../banners/hacktricks-training.md}}