gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-01 23:39:52 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
44890bfac0931ae480c376ba42a9ce6d9b7547ee
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-s3-post-exploitation.md

3.0 KiB
Raw Blame History

AWS - S3 Post Exploitation

{{#include ../../../banners/hacktricks-training.md}}

S3

Vir meer inligting, kyk:

{{#ref}} ../aws-services/aws-s3-athena-and-glacier-enum.md {{#endref}}

Sensitiewe Inligting

Soms sal jy in staat wees om sensitiewe inligting in leesbare vorm in die emmers te vind. Byvoorbeeld, terraform staat geheime.

Pivoting

Verskillende platforms kan S3 gebruik om sensitiewe bates te stoor.
Byvoorbeeld, airflow kan DAGs kode daarin stoor, of webbladsye kan direk van S3 bedien word. 'n Aanvaller met skryfrechten kan die kode van die emmer wysig om na ander platforms te pivot of rekening oor te neem deur JS-lêers te wysig.

S3 Ransomware

In hierdie scenario, die aanvaller skep 'n KMS (Key Management Service) sleutel in hul eie AWS-rekening of 'n ander gecompromitteerde rekening. Hulle maak hierdie sleutel beskikbaar vir enige iemand in die wêreld, wat enige AWS-gebruiker, rol, of rekening toelaat om voorwerpe met hierdie sleutel te enkripteer. Die voorwerpe kan egter nie gedekripteer word nie.

Die aanvaller identifiseer 'n teiken S3-emmer en verkry skryfniveau toegang daartoe deur verskeie metodes. Dit kan wees as gevolg van swak emmerkonfigurasie wat dit publiek blootstel of die aanvaller wat toegang tot die AWS-omgewing self verkry. Die aanvaller teiken gewoonlik emmers wat sensitiewe inligting bevat soos persoonlik identifiseerbare inligting (PII), beskermde gesondheidsinligting (PHI), logs, rugsteun, en meer.

Om te bepaal of die emmer geteiken kan word vir ransomware, kontroleer die aanvaller die konfigurasie daarvan. Dit sluit in om te verifieer of S3 Object Versioning geaktiveer is en of multi-factor authentication delete (MFA delete) geaktiveer is. As Object Versioning nie geaktiveer is nie, kan die aanvaller voortgaan. As Object Versioning geaktiveer is maar MFA delete gedeaktiveer is, kan die aanvaller Object Versioning deaktiveer. As beide Object Versioning en MFA delete geaktiveer is, word dit moeiliker vir die aanvaller om daardie spesifieke emmer te ransomware.

Met die AWS API, die aanvaller vervang elke voorwerp in die emmer met 'n geënkripteerde kopie met hul KMS-sleutel. Dit enkripteer effektief die data in die emmer, wat dit ontoeganklik maak sonder die sleutel.

Om verdere druk te plaas, skeduleer die aanvaller die verwydering van die KMS-sleutel wat in die aanval gebruik is. Dit gee die teiken 'n 7-dae venster om hul data te herstel voordat die sleutel verwyder word en die data permanent verlore gaan.

Laastens, die aanvaller kan 'n finale lêer oplaai, gewoonlik genaamd "ransom-note.txt," wat instruksies vir die teiken bevat oor hoe om hul lêers te herwin. Hierdie lêer word sonder enkripsie opgelaai, waarskynlik om die teiken se aandag te trek en hulle bewus te maak van die ransomware-aanval.

Vir meer inligting kyk na die oorspronklike navorsing.

{{#include ../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink