요약React Server Component(RSC)의 Flight 프로토콜 처리과정에서의 비인가 원격 코드 실행 취약점 (CVSS 10.0) React는 19 버전 이후부터 Server Function이라는 기능을 제공하기 시작했다. Server Function은 클라이언트 컴포넌트에서 서버에서 실행되는 비동기 함수를 직접 호출할 수 있도록 하는 기능으로, API endpoint와 같이 동작하는 것으로 볼 수 있다. Server Function과 같은 React Server Components는 서버와 클라이언트 간 통신에 Flight 프로토콜을 사용하는데, 이때 발생하는 안전하지 않은 역직렬화가 취약점의 핵심으로 지적되었다. Flight 프로토콜본래 React는 DOM 구성을 클라이언트측에서 수행하..
Security
시나리오 개요There is an environment that is implemented as shown in the schematic drawing below. Glue service manager will accidentally upload their access keys through the web page. The manager hurriedly deleted the key from s3, but does not recognize that the key was stored in the DB. Find the manager's key and access the ssm parameter store with a vulnerable permission to find the parameter value ..
시나리오 목표Full Admin 권한 획득 시나리오 세팅./cloudgoat.py create iam_privesc_by_rollback User "raynor"가 주어지며 시작 Solution1. User "raynor" enumeration먼저 raynor에 연결된 policy들과 권한들을 확인한다.# User에 연결된 inline Policy 확인aws iam list-user-policies --user-name [user명] --profile raynor# User에 연결된 Managed Policy 확인aws iam list-attached-user-policies --user-name [user명] --profile raynor# 특정 Policy 정보 확인 (version 정보 확인)aws..
시나리오 목표Full Admin 권한 획득 시나리오 세팅./cloudgoat.py create lambda_privesc User "Chris"의 Access Key와 Secret key가 주어지며 시작 Solution1. 주어진 User의 Role확인먼저 enumerate-iam과 같은 툴을 이용해 전체적인 권한을 둘러볼 수 있다. 대략적으로 iam 계열의 권한을 확인할 수 있다. 이후 User에 붙은 Role과 Policy를 확인# User에 연결된 inline Policy 확인aws iam list-user-policies --user-name [user명] --profile chris# User에 연결된 Managed Policy 확인aws iam list-attached-user-policies..
시나리오 목표RDS snapshot에 포함되어 있는 flag 탈취 시나리오 세팅./cloudgoat.py create rds_snapshot EC2 인스턴스 1대의 Public IP와 접근할 SSH 키 페어 파일과 command가 주어지며 시작된다. Solution1. 초기 환경 탐색시작과 함께 주어진 인스턴스로 먼저 접속한 뒤, 연결된 Credential 등을 먼저 확인한다.확인 결과, 인스턴스에 IAM Role이 연결되어있음을 확인할 수 있었다. 이어서 해당 Role의 권한을 확인해보았다. 그 결과 S3 서비스에 대한 모든 작업을 할 수 있다는 점을 발견할 수 있었다.# Role에 연결된 Policy 목록aws iam list-role-policies --role-name cg-ec2-admin-r..
Big IAM ChallengeWIZ사에서 제작한 AWS IAM 기반 CTF현재 공개된 문제는 6개로, 각 문제별로 문제를 풀 수 있는 브라우저 기반 쉘을 제공한다. The Big IAM ChallengePut yourself to the test with our unique CTF challenge and boost your AWS IAM knowledge. Do you have what it takes to win The Big IAM Challenge?bigiamchallenge.com Solution#1{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal"..
시나리오 개요Starting with a very limited set of permissions, the attacker is able to leverage the instance-profile-attachment permissions to create a new EC2 instance with significantly greater privileges than their own. With access to this new EC2 instance, the attacker gains full administrative powers within the target account and is able to accomplish the scenario's goal - deleting the cg-super-cr..
시나리오 목표"vault" 컨테이너에 Access해 플래그 획득 시나리오 세팅./cloudgoat.py create ecs_takeover EC2 인스턴스의 Public IP가 연결된 DNS 주소 하나가 주어진다. ECS 클러스터 구조문제에 돌입하기 전에 ECS 서비스에 대한 구조를 간략하게 알고 넘어가보자.ECS의 리소스는 cluster, service, task, container로 구성되어있다. 이러한 구조는 k8s와도 살짝 닮아있는 것을 알 수 있다. Component설명ClusterECS Service와 Task를 실행하는 인프라, service와 task를 묶는 논리적인 단위가 된다. ECS의 가장 상위 수준의 리소스ServiceTask의 지속적인 실행을 관리하는 개체로, Task를 실행..
