AWS ELB、VPC 和 IAM 服务攻防

渗透技巧 3年前 (2022) admin
516 0 0

文章首发于:

火线Zone社区(https://zone.huoxian.cn/)


0x00 前言


在 AWS 中,不管是 EC2 还是 RDS 都会使用到 VPC (Virtual Private Cloud) 虚拟网络环境服务,在 EC2 中可能会用到 ELB (Elastic Load Balancing) 弹性负载均衡服务,IAM (Identity and Access Management) 可以帮助 AWS 用户安全地控制对 AWS 资源的访问。


这里站在攻击者的视角简单看看 VPC、ELB 和 IAM 服务所面临的一些风险点。


0x01 信息收集


1、网段信息


在 VPC 中可以看到目标网段信息,拿到这些信息后,在进行内网横向时就可以更有专注性,在一定程度上提高内网横向的效率。


AWS ELB、VPC 和 IAM 服务攻防


或者通过命令行获取目标子网信息


aws ec2 describe-subnets --query 'Subnets[].CidrBlock'


AWS ELB、VPC 和 IAM 服务攻防


2、流日志


在 VPC 中,可以通过创建查看流日志的信息,去判断目标 IP 的流量信息,从而判断出高价值目标,方便接下来的内网横向。


AWS ELB、VPC 和 IAM 服务攻防


3、安全组配置信息


在 AWS VPC 控制台中,可以查看到目标的安全组信息,如果安全组配置了一些只允许单个 IP 访问的策略,那么可以认为这个 IP 是一个高价值 IP,例如这样的配置。


AWS ELB、VPC 和 IAM 服务攻防


或者使用命令行查看入站规则中的端口和源IP范围


aws ec2 describe-security-groups --query 'SecurityGroups[].IpPermissions[].[FromPort,IpRanges]'


AWS ELB、VPC 和 IAM 服务攻防


同时在安全组中,如果遇到开放所有端口并且允许所有人访问的情况,那么也可以认为这是存在一定安全风险的。


4、IAM 用户角色权限信息


如果可以访问到目标的 IAM 信息,则可以对当前用户的 IAM 用户角色权限信息进行收集,这有助于更全面的了解到当前目标使用了那些云服务以及策略的划分。


例如通过下面的这些角色,可以猜测出当前目标使用了 EKS、ELB、RDS 等服务,那么在进行横向的时候,就可以多关注关注有没有这方面的资产。


AWS ELB、VPC 和 IAM 服务攻防


或者使用命令行查看


aws iam list-roles --query 'Roles[].RoleName'


AWS ELB、VPC 和 IAM 服务攻防


0x02 权限提升


1、 在 IAM 中分配用户权限


如果当前用户具备编辑 IAM 策略的权限,但没有某些服务权限的话,那么可以在 IAM 中开启这个服务权限,以实现提权。


例如下面这个用户,在打开 EC2 时提示我们没有权限


AWS ELB、VPC 和 IAM 服务攻防


但是这个用户是具有 IAM 的编辑权限的,因此我们可以将 AmazonEC2FullAccess 权限赋予给这个用户


AWS ELB、VPC 和 IAM 服务攻防


此时再次访问 EC2 界面,发现就可以成功访问了,这样就实现了提权。


AWS ELB、VPC 和 IAM 服务攻防


0x03 权限维持


1、利用 IAM 进行权限维持


利用 IAM 进行权限维持的原理也比较简单,直接在 IAM 中创建一个拥有高权限的用户即可。


例如这里选择添加用户,访问类型选择控制台密码

AWS ELB、VPC 和 IAM 服务攻防


「设置权限」选择「直接附加现有策略」,策略选择「AdministratorAccess」,即表示附加所有策略


AWS ELB、VPC 和 IAM 服务攻防


创建完成后,会提供自动生成的密码与登录地址,使用这个登录地址和密码直接登录即可,这时我们就制作好了一个后门账户。


0x04 影响


1、恶意修改安全组


攻击者可以通过恶意修改安全组,比如将允许特定 IP 访问的策略改成允许所有人访问,以方便自己的测试。

或者将安全组修改为禁止允许所有人访问,导致目标对外服务不可访问。


2、恶意释放弹性 IP


攻击者可以通过恶意释放弹性 IP,造成目标实例 IP 变动导致域名绑定 IP 失效,以至于域名不可访问等影响。


3、HTTP 请求走私攻击


如果 EC2 配置了 ELB,那么攻击者可以尝试对 EC2 上的 Web 服务发起 HTTP 请求走私攻击,从而绕过认证。


4、恶意修改防火墙策略


攻击者可以通过恶意修改防火墙策略,将自己的攻击 IP 添加到防火墙策略内,从而方便自己的攻击。

或者将防火墙策略设置为禁止所有人访问,导致目标对外服务不可访问。



【火线Zone云安全社区群】

进群可以与技术大佬互相交流

进群有机会免费领取节假日礼品

进群可以免费观看技术分享直播

识别二维码回复【社区群】进群

AWS ELB、VPC 和 IAM 服务攻防


【火线zone社区周激励】

2022.4.18~ 2022.4.24公告

AWS ELB、VPC 和 IAM 服务攻防


【相关精选文章】


AWS ELB、VPC 和 IAM 服务攻防


AWS ELB、VPC 和 IAM 服务攻防


AWS ELB、VPC 和 IAM 服务攻防

火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。欢迎具备分享和探索精神的云上用户加入火线Zone社区,共建一个云安全优质社区!

如需转载火线Zone公众号内的文章请联系火线小助手:hxanquan(微信)


AWS ELB、VPC 和 IAM 服务攻防

//  火线Zone //

微信号 : huoxian_zone


AWS ELB、VPC 和 IAM 服务攻防

点击阅读原文,加入社区,共建一个有技术氛围的优质社区!

原文始发于微信公众号(火线Zone):AWS ELB、VPC 和 IAM 服务攻防

版权声明:admin 发表于 2022年5月6日 下午6:00。
转载请注明:AWS ELB、VPC 和 IAM 服务攻防 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...