• XSS.stack #1 – первый литературный журнал от юзеров форума

Имеется полный root доступ к одному "забытому" Linux серверу одной компании на AWS - есть идеи как вертикально/горизонтально подвигаться не шумя?

Отслеживать
zdestuta

zdestuta

(L1) cache
Пользователь
Регистрация
04.06.2024
Сообщения
753
Реакции
374
Дано:
  • позабытый позаброшеный standalone мелкий сервер в AWS - ну компания богатая и тупо про него забыла (более года), так бывает
  • на нём крутится один сервис на который впрочем тоже никто не ходит судя по логам, как и на сам сервер
  • по внутренней сетке тоже ни с чем не соединён он
  • домен 3-го уровня абракадабраниочём.имякомпании.ком - уже интереснее, но с него даже "спам" слать если, то никто не уверует (скорее наоборот будет "дохлый утюг проснулся и письма нам шлёт??? чо за дела?!")
  • к серверу полный рут доступ, не через рута разумеется, а окольными путями, админы достаточно тупы чтоб не заметить, "закрепа" надёжная считаем

Все AWS рекомендации чатаджипити, кстати прикольные, уже попробовал - увы безуспешно.
Сканить/спамить/шуметь если, то админы там не совсем лохи и заметить могут запросто, ну на абузы на сервак точно отреагируют.
Использую пока как "приземлятор" реверс-шеллов, ну если кому вдруг интересно нафиг он мне вообще.

Как бы вы двигались с такой отправной точки на остальную инфру компании?

P.S. Компанию светить категорически не буду, но она крупная буржуйская и довольно известная. Поживиться есть чем точно, если добраться конечно.
 
Последнее редактирование:
wav сказал(а):
с линухи создать тунель нацеленный на AD ну и пробрутить юзеров с него далее тунель рдп... не?
там нет AD в компании, винда там редкость (хотя возможно у кого-то она и есть у рядовых сотрудников, хороший вектор)
там AWS , базы данных в закрытых сетках AWS (увы не в этой что у данного сервера), сервисы наружу кое-какие торчат (кстати есть самописные, это хороший вектор), компания "облачная" так скажем
у сотрудников макбуки корпоративные в основном, свои ноуты и ПК только у самых низших рангов сотрудников (хотя можно эскалировать через них, тоже вектор)
и учения против фишинга там регулярно проводятся секуритями
цель конечно база - там просто немеряно криптобабла, которое можно успеть быстро перераспределить так как там автоматика выплат
это всё что известно
 
Если на сервере что-то крутится - условный web-сайт, то логично предположить что его исходники выгружаются на сервер из какого нибудь git репозитория (логично сразу проверить есть ли к нему сетевая доступность с этого сервера, да и в целом полезно понимать к чему есть сетевой доступ),

Если сервер старый и не эксплуатируется в активном режиме, возможно эта выгрузка на сервер производится ручками админа, а не автоматикой.

Если как нибудь правдоподобно чутка "сломать" сервер, это в теории может спровоцировать администратора/разработчика подключиться к серверу для его починки.

Тебе это может быть интересно потому что кейлогером или каким нибудь бэкдором следящим за сессией админа ты можешь получить доступ к выгрузке репозиториев с git сервера. Дальше - пристально изучать репозитории, искать в кодовой базе и истории коммитов ключи/конфеденциальные данные/уязвимости, которые помогут тебе в дальнейшей продвижении.
 
DNS наверное смотрели тщательно? - включая историю. Не было ли записей, привязанных к серверу? например, к сайтам которые удалили физически, но сами записи сохранились
и наоборот. Нет ли следов
server_name чего-то.сайт компании;
root /var/www/чего-то;

Осколков сервера для корпоративного общения, и тп

Может утюг не совсем утюг? или был чем-то другим.. (мысль о легитимном фишинге сотрудников)
 
simpleteaseller сказал(а):
логично предположить что его исходники выгружаются на сервер из какого нибудь git репозитория
да из общедоступного + брендирование UI заливали по scp вручную
это джампсервер (не только назначение, но и прям название софта китайского) бывший, но хосты дохлые на которые он джампал когда-то - это я проверил сразу же
 
lisa99 сказал(а):
DNS наверное смотрели тщательно? - включая историю. Не было ли записей, привязанных к серверу? например, к сайтам которые удалили физически, но сами записи сохранились
и наоборот. Нет ли следов
server_name чего-то.сайт компании;
root /var/www/чего-то;

Осколков сервера для корпоративного общения, и тп

Может утюг не совсем утюг? или был чем-то другим.. (мысль о легитимном фишинге сотрудников)
к сожалению сервер как изначально делали так он и остался, никаких двойных назначений
но SPF надо бы кстати глянуть, вдруг с него spear phishing прокатит пусть и будет выглядеть чуть странным, но с сабдомена компании а не непойми откуда...
 
Эрмано сказал(а):

AWS Pentesting - HackTricks Cloud

cloud.hacktricks.wiki

Тут не пробовал смотреть?
да, спасибо, первым делом посмотрел IAM роль и ключи пытался найти, chatgpt толково всё расписал, но увы ценного не нашлось, сервер как будто бы "standalone" стоит даже отдельно от dev инфры.
 
Тебе тут ничего скорее не поможет потому что в AWS ec2 инстансы очень хорошо изолированы и ключ могу хранить ток елси в какихто апликухах или же докер там все на VPC строиться и порой не глупо без компрометации CI/CD или компа сотрудника часто всего это бесмысленно потому что часто линукс тачка вообще может быть ECS это типо докер контейнеры от aws тут типичное АД мышелние не работает чтоб ломать авс нужны навыки внутрянки сетей + веб
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх