# AWS - Lambda Post Exploitation {{#include ../../../../banners/hacktricks-training.md}} ## Lambda Für weitere Informationen siehe: {{#ref}} ../../aws-services/aws-lambda-enum.md {{#endref}} ### Exfiltriere Lambda-Anmeldeinformationen Lambda verwendet Umgebungsvariablen, um Anmeldeinformationen zur Laufzeit einzufügen. Wenn du Zugriff auf sie erhältst (indem du `/proc/self/environ` liest oder die anfällige Funktion selbst verwendest), kannst du sie selbst nutzen. Sie befinden sich in den Standardvariablennamen `AWS_SESSION_TOKEN`, `AWS_SECRET_ACCESS_KEY` und `AWS_ACCESS_KEY_ID`. Standardmäßig haben diese Zugriff auf das Schreiben in eine CloudWatch-Loggruppe (deren Name in `AWS_LAMBDA_LOG_GROUP_NAME` gespeichert ist) sowie auf das Erstellen beliebiger Loggruppen. Lambda-Funktionen haben jedoch häufig mehr Berechtigungen, die basierend auf ihrer beabsichtigten Verwendung zugewiesen sind. ### Stehle andere Lambda-URL-Anfragen Wenn es einem Angreifer gelingt, RCE innerhalb eines Lambdas zu erlangen, kann er die HTTP-Anfragen anderer Benutzer an das Lambda stehlen. Wenn die Anfragen sensible Informationen enthalten (Cookies, Anmeldeinformationen...), kann er sie stehlen. {{#ref}} aws-warm-lambda-persistence.md {{#endref}} ### Stehle andere Lambda-URL-Anfragen & Erweiterungsanfragen Durch den Missbrauch von Lambda Layers ist es auch möglich, Erweiterungen zu missbrauchen und im Lambda persistent zu bleiben, aber auch Anfragen zu stehlen und zu modifizieren. {{#ref}} ../../aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md {{#endref}} {{#include ../../../../banners/hacktricks-training.md}}