（在说正事之前，我要推荐一个福利：你还在原价购买阿里云、腾讯云、华为云服务器吗？那太亏啦！来这里，新购、升级、续费都打折，能够为您省60%的钱呢！2核4G企业级云服务器低至69元/年，点击进去看看吧>>>)

写在前面的话

在这篇文章中，我将跟大家分享我在利用SSM代理通信实现后渗透利用方面所作的一些研究。需要注意的是，我这里指的并不是SSM代理或SSM中的安全漏洞。

考虑到SSM处理身份验证的方式，如果我们可以访问EC2实例的IAM凭证，则意味着我们可以拦截EC2消息以及SSM会话。这样一来，即使是低权限用户也可以拦截这些通信。

接下来，我们还会解释为了攻击者能够拦截和修改这些通信流量，并完全阻止资源的拥有者访问EC2实例。此外，这些内容还可以帮助大家更好地了解SSM代理是如何在低级别上运行的。

概念验证PoC脚本可以点击【这里】获取。

拦截EC2消息

如果你曾经拦截过SSM代理的流量，你就会发现它会不断地调用ec2messages:GetMessages。默认情况下，代理将持续执行此操作，保持连接打开大约20秒的时间。在这20秒的时间间隔内，代理将会持续监听消息。如果接收到了消息，比如说某个组件调用了ssm:SendCommand，它将会通过这个打开的连接来接收消息。

我们也可以自行调用ec2messages:GetMessages，这将允许我们拦截到传入实例的EC2消息。不过这里有个小问题，SSM代理将大约每20秒就会建立一次这种连接。如果同时存在两个有竞争关系的连接呢?AWS只会响应最新建立的连接。因此，如果SSM代理先运行，我们就可以在它上面创建一个新连接并实现消息的拦截了。

我们可以通过反复打开新的连接来确保我们拥有最新的连接，通过这种方法，我们可以确保我们的连接始终是最新的，并实现EC2消息的拦截。为了测试我的想法，我创建了一个简单的PoC，它监听send-command消息并窃取其中的命令内容。

这种方式的另一个好处就在于，我们可以回复任意一个我们想要回复的响应。比如说，我们可以提供一个“Success”并返回一条有意思的消息。下面给出的是一个PoC样例：

拦截SSM会话

EC2消息的实现相对简单，你可以检查你是否接收到了消息，并根据情况执行操作或予以响应。不幸的是，SSM会话相对来说就比较复杂了，其中会涉及到多个Web套接字连接和一个独特的二进制协议等等。

SSM代理启动后不久，它将创建一个回连至AWS的WebSocket连接。这条连接将被作为控制信道来使用，主要负责监听连接请求。当用户尝试启动SSM会话(ssm:StartSession)时，控制信道将会接收请求并生成数据信道。而这条数据信道主要负责传输用户和EC2实例之间的实际通信消息。

负责处理两端消息传输的是一个专用的二进制协议。幸运的是，我们是可以获取到SSM代理的【源代码】的，那么我们要做的就是检查其源代码以及定义的规范就可以了。

从攻击者的角度来看，拦截SSM会话比拦截EC2消息要更加可靠。这是因为控制信道的存活寿命要更长，就跟EC2消息一样，AWS只与最新的信道进行通信。这样一来，我们就可以创建自己的控制信道并监听传入的会话了。通过使用SSM代理的源代码，我们能够以二进制格式制作消息(如果你查看了我给的PoC代码的话，你就会发现我刚刚翻译了Go To Python)，并于会话进行交互。

那么现在，我们所能做到的事情如下图所示：

或者说，我们也可以做一些其他的事情，比如窃取命令并提供我们自己的输出，或者尝试去截获并读取发送至设备的用户凭证等等。