diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md index 1c377ab53..1ae1080f9 100644 --- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md +++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ec2-ebs-ssm-and-vpc-post-exploitation/README.md @@ -23,7 +23,7 @@ aws-malicious-vpc-mirror.md ### Копіювати працюючий інстанс -Інстанси зазвичай містять якийсь чутливий інформацію. Є різні способи потрапити всередину (перегляньте [трюки підвищення привілеїв EC2](../../aws-privilege-escalation/aws-ec2-privesc.md)). Однак інший спосіб перевірити, що він містить, це **створити AMI та запустити новий інстанс (навіть у вашому власному обліковому записі) з нього**: +Інстанси зазвичай містять якийсь чутливий інформацію. Є різні способи потрапити всередину (перегляньте [трюки підвищення привілеїв EC2](../../aws-privilege-escalation/aws-ec2-privesc.md)). Однак інший спосіб перевірити, що він містить, - це **створити AMI та запустити новий інстанс (навіть у вашому власному обліковому записі) з нього**: ```shell # List instances aws ec2 describe-images @@ -62,8 +62,8 @@ aws-ebs-snapshot-dump.md Навіть якщо ви заблокуєте EC2, щоб жоден трафік не міг вийти, він все ще може **експортувати через DNS**. -- **Журнали VPC Flow не зафіксують це**. -- У вас немає доступу до журналів AWS DNS. +- **VPC Flow Logs не зафіксують це**. +- У вас немає доступу до журналів DNS AWS. - Вимкніть це, встановивши "enableDnsSupport" на false за допомогою: `aws ec2 modify-vpc-attribute --no-enable-dns-support --vpc-id ` @@ -284,7 +284,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe ![Pasted image 20231231172655](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/5b9a96cd-6006-4965-84a4-b090456f90c6) ![Pasted image 20231231172734](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/4294289c-0dbd-4eb6-a484-60b4e4266459) -Подібно до прикладу з програмами-вимагачами S3. Ця атака створить копії прикріплених обсягів EBS за допомогою знімків, використає публічно доступний ключ з облікового запису 'зловмисника' для шифрування нових обсягів EBS, потім від'єднає оригінальні обсяги EBS від EC2 екземплярів і видалить їх, а потім нарешті видалить знімки, використані для створення нових зашифрованих обсягів EBS. ![Pasted image 20231231173130](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/34808990-2b3b-4975-a523-8ee45874279e) +Подібно до прикладу з програмою-вимагачем S3. Ця атака створить копії прикріплених обсягів EBS за допомогою знімків, використає публічно доступний ключ з облікового запису 'зловмисника' для шифрування нових обсягів EBS, потім від'єднає оригінальні обсяги EBS від EC2 екземплярів і видалить їх, а потім нарешті видалить знімки, використані для створення нових зашифрованих обсягів EBS. ![Pasted image 20231231173130](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/34808990-2b3b-4975-a523-8ee45874279e) В результаті в обліковому записі залишаться лише зашифровані обсяги EBS. @@ -294,7 +294,7 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe ![Pasted image 20231231173931](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/cc31a5c9-fbb4-4804-ac87-911191bb230e) -Далі, поверніться до політики ключа в обліковому записі 'зловмисника' та видаліть правило політики 'Зовнішнє шифрування' з політики ключа. +Далі, поверніться до політики ключа в обліковому записі 'зловмисника' і видаліть правило політики 'Зовнішнє шифрування' з політики ключа. ```json { "Version": "2012-10-17", @@ -369,11 +369,11 @@ aws ec2 modify-snapshot-attribute --snapshot-id --create-volume-pe ![Pasted image 20231231174131](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/ba9e5340-7020-4af9-95cc-0e02267ced47) ![Pasted image 20231231174258](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/6c3215ec-4161-44e2-b1c1-e32f43ad0fa4) -Але коли ви намагаєтеся фактично запустити EC2-екземпляр з зашифрованим EBS-томом, він просто зазнає невдачі і знову переходить з стану 'очікування' в стан 'зупинено' назавжди, оскільки приєднаний EBS-том не може бути розшифрований за допомогою ключа, оскільки політика ключа більше цього не дозволяє. +Але коли ви намагаєтеся фактично запустити EC2-екземпляр з зашифрованим EBS-томом, він просто не вдасться і знову перейде з стану 'очікування' в стан 'зупинено' назавжди, оскільки приєднаний EBS-том не може бути розшифрований за допомогою ключа, оскільки політика ключа більше не дозволяє цього. ![Pasted image 20231231174322](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/73456c22-0828-4da9-a737-e4d90fa3f514) ![Pasted image 20231231174352](https://github.com/DialMforMukduk/hacktricks-cloud/assets/35155877/4d83a90e-6fa9-4003-b904-a4ba7f5944d0) -Це python-скрипт, який використовується. Він приймає AWS облікові дані для облікового запису 'жертви' та загальнодоступне значення AWS ARN для ключа, який буде використовуватися для шифрування. Скрипт створить зашифровані копії ВСІХ доступних EBS-томів, приєднаних до ВСІХ EC2-екземплярів у цільовому обліковому записі AWS, потім зупинить кожен EC2-екземпляр, від'єднає оригінальні EBS-томи, видалить їх і, нарешті, видалить всі знімки, використані під час процесу. Це залишить лише зашифровані EBS-томи в цільовому обліковому записі 'жертви'. ВИКОРИСТОВУЙТЕ ЦЕЙ СКРИПТ ТІЛЬКИ В ТЕСТОВОМУ СЕРЕДОВИЩІ, ВІН ДЕСТРУКТИВНИЙ І ВИДАЛИТЬ УСІ ОРИГІНАЛЬНІ EBS-ТОМИ. Ви можете відновити їх, використовуючи KMS-ключ, і відновити їх до їхнього початкового стану через знімки, але просто хочу, щоб ви знали, що в кінцевому підсумку це є PoC для програм-вимагачів. +Це python-скрипт, який використовується. Він приймає AWS облікові дані для облікового запису 'жертви' та загальнодоступне значення AWS ARN для ключа, який буде використовуватися для шифрування. Скрипт створить зашифровані копії ВСІХ доступних EBS-томів, приєднаних до ВСІХ EC2-екземплярів у цільовому обліковому записі AWS, потім зупинить кожен EC2-екземпляр, від'єднає оригінальні EBS-томи, видалить їх і, нарешті, видалить всі знімки, використані під час процесу. Це залишить лише зашифровані EBS-томи в цільовому обліковому записі 'жертви'. ВИКОРИСТОВУЙТЕ ЦЕЙ СКРИПТ ТІЛЬКИ В ТЕСТОВОМУ СЕРЕДОВИЩІ, ВІН ДЕСТРУКТИВНИЙ І ВИДАЛИТЬ УСІ ОРИГІНАЛЬНІ EBS-ТОМИ. Ви можете відновити їх, використовуючи KMS-ключ, і відновити їх до їхнього початкового стану через знімки, але просто хочу, щоб ви знали, що в кінцевому підсумку це є PoC програм-вимагачів. ``` import boto3 import argparse diff --git a/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudbuild-privesc.md b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudbuild-privesc.md index 667f28749..fcfce9a15 100644 --- a/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudbuild-privesc.md +++ b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudbuild-privesc.md @@ -15,7 +15,7 @@ З цією дозволом ви можете **надіслати cloud build**. Машина cloudbuild за замовчуванням матиме у своїй файловій системі **токен облікового запису служби cloudbuild**: `@cloudbuild.gserviceaccount.com`. Однак ви можете **вказати будь-який обліковий запис служби всередині проекту** в конфігурації cloudbuild.\ Отже, ви можете просто змусити машину ексфільтрувати токен на ваш сервер або **отримати зворотний шелл всередині неї і отримати токен** (файл, що містить токен, може змінюватися). -#### Пряме використання через gcloud CLI +#### Пряме експлуатація через gcloud CLI 1- Створіть `cloudbuild.yaml` і змініть його, використовуючи дані вашого слухача. ```yaml