写在前面
在这篇文章中,我将与大家分享我的使用S *** *** 通信实现后渗透利用的一些研究。需要注意的是,我在这里指的不是S *** *** 或S *** 安全漏洞。
考虑到S *** 如果我们能访问身份验证的 *** EC2实例的IAM凭证意味着我们可以拦截它EC2消息以及S *** 会话。这样,即使是低权限用户也可以拦截这些通信。
接下来,我们将解释为了拦截和修改这些通信流量,并完全阻止资源所有者访问EC2例子。此外,这些内容还可以帮助您更好地理解S *** *** 是如何在低级别运作的。
概念验证PoC点击这里获取脚本。
拦截EC2消息
假如你曾经拦截过S *** *** 流量,你会发现它会不断调用ec2messages:GetMessages。默认情况下, *** 商将继续执行此操作,并保持连接打开约20秒。在这20秒的时间间隔内, *** 商将继续监控消息。如果您收到消息,例如调用组件s *** :SendCommand,它将通过这个打开的连接接收信息。
我们也可以自己调用ec2messages:GetMessages,这将允许我们拦截到传入实例的EC2但是这里有一个小问题,S *** 该 *** 将每20秒左右建立一次此连接。如果同时有两个竞争关系呢?AWS只对最新建立的连接做出反应。因此,如果S *** *** 先运行,我们可以在上面创建新的连接,实现新闻拦截。
我们可以通过反复打开新的连接来确保我们有最新的连接。通过这种 *** ,我们可以确保我们的连接始终是最新的,并实现它EC2拦截消息。为了测试我的想法,我创造了一个简单的PoC,它监听send-command并窃取命令内容。
这样做的另一个好处是,我们可以回复我们想要回复的任何响应。例如,我们可以提供一个“Success”并返回一个有趣的消息。下面是一个PoC样例:
拦截S *** 会话
EC2新闻的实现相对简单,您可以检查您是否收到了新闻,并根据情况进行操作或响应。不幸的是,S *** 会话比较复杂,涉及多个Web套接字连接和独特的二进制协议等。
S *** *** 启动后不久,它将创建回连AWS的WebSocket连接。将被用作控制信道,主要负责监控连接请求。当用户试图启动时S *** 会话(s *** :StartSession)当控制信道接收请求并生成数据信道时。该数据信道主要负责用户和用户的传输EC2实例之间的实际通信信息。
一项特殊的二进制协议负责处理两端消息传输。幸运的是,我们可以得到它S *** *** 源代码,那么我们要做的就是检查其源代码和定义规范。
从攻击者的角度来看,拦截S *** 会话比拦截EC2新闻应该更可靠。这是因为控制信道的生存寿命更长EC2消息一样,AWS只与最新的信道进行通信。这样,我们就可以创建自己的控制信道,监控传输的对话。通过使用S *** 我们可以以二进制格式 *** *** 的源代码(如果你检查我给的)PoC如果是代码,你会发现我刚翻译过Go To Python),并在会话中互动。
现在,我们能做的如下图所示:
换句话说,我们也可以做一些其他的事情,比如窃取命令并提供自己的输出,或者试图截获和阅读发送到设备的用户凭证。