AWS - STS Privesc

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

STS

`sts:AssumeRole`

Elke rol word geskep met 'n rol vertrouensbeleid, hierdie beleid dui aan wie die geskepte rol kan aanvaar. As 'n rol van die dieselfde rekening sê dat 'n rekening dit kan aanvaar, beteken dit dat die rekening toegang tot die rol sal hê (en moontlik privesc).

Byvoorbeeld, die volgende rol vertrouensbeleid dui aan dat enigiemand dit kan aanvaar, daarom sal enige gebruiker in staat wees om privesc na die toestemmings wat met daardie rol geassosieer is.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

U kan 'n rol naboots deur:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Potensiële Impak: Privesc na die rol.

Let daarop dat in hierdie geval die toestemming sts:AssumeRole aangedui moet word in die rol om te misbruik en nie in 'n beleid wat aan die aanvaller behoort nie. Met een uitsondering, om 'n rol van 'n ander rekening te aanneem, moet die aanvaller rekening ook die sts:AssumeRole oor die rol hê.

`sts:GetFederationToken`

Met hierdie toestemming is dit moontlik om akrediteer te genereer om enige gebruiker na te boots:

aws sts get-federation-token --name <username>

Dit is hoe hierdie toestemming veilig gegee kan word sonder om toegang te gee om ander gebruikers na te volg:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:GetFederationToken",
"Resource": "arn:aws:sts::947247140022:federated-user/${aws:username}"
}
]
}

`sts:AssumeRoleWithSAML`

'n Vertrouensbeleid met hierdie rol verleen gebruikers wat via SAML geverifieer is toegang om die rol na te volg.

'n Voorbeeld van 'n vertrouensbeleid met hierdie toestemming is:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Om geloofsbriewe te genereer om die rol na te volg, kan jy iets soos gebruik:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Maar verskaffers mag hul eie gereedskap hê om dit makliker te maak, soos onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Potensiële Impak: Privesc na die rol.

`sts:AssumeRoleWithWebIdentity`

Hierdie toestemming gee toestemming om 'n stel tydelike sekuriteitsakkrediteer te verkry vir gebruikers wat in 'n mobiele, webtoepassing, EKS... geverifieer is met 'n webidentiteitsverskaffer. Leer meer hier.

Byvoorbeeld, as 'n EKS-diensrekening in staat moet wees om 'n IAM-rol na te volg, sal dit 'n token in /var/run/secrets/eks.amazonaws.com/serviceaccount/token hê en kan dit die rol aanvaar en akkrediteer verkry deur iets soos:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Federasie Misbruik

AWS - Federation Abuse

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - Step Functions Privesc NextAWS - WorkDocs Privesc

Last updated 3 days ago