FLAGはバケツに突っ込んであるので探してね! ctf_challenge_3_accessKeys.csv
aws s3 ls . ブルートフォース的に aws s3 ls s3:// して himituno-bucket2 を特定aws s3 ls s3://himituno-bucket2/SECRET/ --recursive /SECRET をコピるも、ファイルが1000ほどあり特定できなかった% aws s3 cp s3://himituno-bucket2/SECRET/444/flag.jpg flag.jpg && open flag.jpg でクリア皆さんは、社内のログ通知を行う際にLambdaなどを使ったことがあると思います。 ある日、そのようなシステムを管理する社内のGitリポジトリで開発者用のIAMの認証情報が転がっていたのを見かけたあなたは、上長の許可をとって、そのIAMが漏洩してしまった際の脅威を認識してもらうために、侵入テストを行うことになりました。
皆さんの奪取目標はコミュニケーションツールへAlertを通知するためのLambdaに設定されたSecretです。この情報を奪取して、社内に危険度を知らしめてください。
起点情報
- Log集約Endpoint: https://4bjzodtyhkbra66cymdpxlw3jm0rhvxc.lambda-url.ap-northeast-1.on.aws
- 送信データ
curl [<https://4bjzodtyhkbra66cymdpxlw3jm0rhvxc.lambda-url.ap-northeast-1.on.aws/>](<https://4bjzodtyhkbra66cymdpxlw3jm0rhvxc.lambda-url.ap-northeast-1.on.aws/>) \\ -XPOST \\ -d '{"errorCode":10,"errorMessage": "NG"}' \\ -H "Content-Type: application/json"
- Log集約EndpointのLambda関数のName: LamAttackApplicationStack-LamAttackInnerLogicFunct-0bi7xD4DiPXY
- 付与される権限 → Functionの情報が取得可能なlambda:GetFunction権限
LamAttackSendAlertFuncti という別のLambdaを呼び出していたのでそちらも取得。が、やはりminifyされていて何もワカランとなった。PublishCommand (SNS)を実施している。そのcallback引数は ``https://lnudll7qwugrrdh42gc2xypm2y0zomhl.lambda-url.ap-northeast-1.on.aws${callbackPath} という形で、 LamAttackInnerLogicFunct及びLamAttackSendAlertFunctiに渡されるcallbackPath` を取り込み生成されている。