AWS - IAM Post Exploitation

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

IAM

Vir meer inligting oor IAM toegang:

AWS - IAM, Identity Center & SSO Enum

Verwarde Adjunk Probleem

As jy 'n eksterne rekening (A) toelaat om toegang te verkry tot 'n rol in jou rekening, sal jy waarskynlik 0 sigbaarheid hê oor wie presies toegang tot daardie eksterne rekening kan verkry. Dit is 'n probleem, want as 'n ander eksterne rekening (B) toegang tot die eksterne rekening (A) kan verkry, is dit moontlik dat B ook toegang tot jou rekening sal hê.

Daarom, wanneer jy 'n eksterne rekening toelaat om toegang tot 'n rol in jou rekening te verkry, is dit moontlik om 'n ExternalId te spesifiseer. Dit is 'n "geheime" string wat die eksterne rekening (A) moet spesifiseer om die rol in jou organisasie aan te neem. Aangesien die eksterne rekening B nie van hierdie string sal weet nie, selfs al het hy toegang oor A, sal hy nie in staat wees om jou rol te benader nie.

Let egter daarop dat hierdie ExternalId "geheime" nie 'n geheim is nie, enige iemand wat die IAM aanneem rol beleid kan lees, sal dit kan sien. Maar solank die eksterne rekening A dit weet, maar die eksterne rekening B dit nie weet nie, verhoed dit dat B A misbruik om toegang tot jou rol te verkry.

Voorbeeld:

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "Example Corp's AWS Account ID"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "12345"
}
}
}
}

Vir 'n aanvaller om 'n verwarde plaasvervanger te benut, sal hy op een of ander manier moet uitvind of die principals van die huidige rekening rolle in ander rekeninge kan naboots.

Onverwagte Vertroue

Wildcard as principal

{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": { "AWS": "*" },
}

Hierdie beleid laat alle AWS toe om die rol aan te neem.

Diens as hoof

{
"Action": "lambda:InvokeFunction",
"Effect": "Allow",
"Principal": { "Service": "apigateway.amazonaws.com" },
"Resource": "arn:aws:lambda:000000000000:function:foo"
}

Hierdie beleid laat enige rekening toe om hul apigateway te konfigureer om hierdie Lambda aan te roep.

S3 as hoofpersoon

"Condition": {
"ArnLike": { "aws:SourceArn": "arn:aws:s3:::source-bucket" },
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}

As 'n S3-emmer as 'n hoofpersoon gegee word, omdat S3-emmers nie 'n rekening-ID het nie, as jy jou emmer verwyder en die aanvaller dit in hul eie rekening geskep het, kan hulle dit misbruik.

Nie ondersteun nie

{
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/AWSLogs/MY_ACCOUNT_ID/*"
}

'n Algemene manier om Confused Deputy probleme te vermy, is die gebruik van 'n voorwaarde met AWS:SourceArn om die oorsprong ARN te kontroleer. egter, sommige dienste mag dit nie ondersteun nie (soos CloudTrail volgens sommige bronne).

Verwysings

https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - Elastic Beanstalk Post Exploitation NextAWS - KMS Post Exploitation

Last updated 9 days ago