AWS - S3 Unauthenticated Enum

S3 Publieke Emmers

'n Emmer word beskou as “publiek” as enige gebruiker die inhoud van die emmer kan lys, en “privaat” as die emmer se inhoud slegs deur sekere gebruikers gelys of geskryf kan word.

Maatskappye mag emmer toestemmings verkeerd geconfigureer hê wat toegang gee ofwel tot alles of tot almal wat in AWS geverifieer is in enige rekening (dus vir enige iemand). Let daarop dat selfs met sulke misconfigurasies sommige aksies dalk nie uitgevoer kan word nie, aangesien emmers hul eie toegangbeheerlyste (ACLs) mag hê.

Leer oor AWS-S3 miskonfigurasie hier: http://flaws.cloud en http://flaws2.cloud/

Vind AWS Emmers

Verskillende metodes om te vind wanneer 'n webblad AWS gebruik om sommige hulpbronne te stoor:

Enumerasie & OSINT:

• Gebruik wappalyzer blaaiertoevoeging

• Gebruik burp (spidering die web) of deur handmatig deur die bladsy te navigeer, sal al die hulpbronne gelaai in die Geskiedenis gestoor word.

• Kyk vir hulpbronne in domeine soos:

http://s3.amazonaws.com/[bucket_name]/
http://[bucket_name].s3.amazonaws.com/

• Kyk vir CNAMES soos resources.domain.com mag die CNAME bucket.s3.amazonaws.com hê

• Kyk https://buckets.grayhatwarfare.com, 'n web met reeds ontdekke oop emmers.

• Die emmer naam en die emmer domeinnaam moet dieselfde wees.

• flaws.cloud is in IP 52.92.181.107 en as jy daarheen gaan, lei dit jou na https://aws.amazon.com/s3/. Ook, dig -x 52.92.181.107 gee s3-website-us-west-2.amazonaws.com.

• Om te kyk of dit 'n emmer is, kan jy ook besoek https://flaws.cloud.s3.amazonaws.com/.

Brute-Force

Jy kan emmers vind deur brute-forcing name wat verband hou met die maatskappy wat jy pentest:

• https://github.com/sa7mon/S3Scanner

• https://github.com/clario-tech/s3-inspector

• https://github.com/jordanpotti/AWSBucketDump (Bevat 'n lys met potensiële emmer name)

• https://github.com/fellchase/flumberboozle/tree/master/flumberbuckets

• https://github.com/smaranchand/bucky

• https://github.com/tomdev/teh_s3_bucketeers

• https://github.com/RhinoSecurityLabs/Security-Research/tree/master/tools/aws-pentest-tools/s3

• https://github.com/Eilonh/s3crets_scanner

• https://github.com/belane/CloudHunter

# Genereer 'n woordlys om permutasies te skep
curl -s https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt > /tmp/words-s3.txt.temp
curl -s https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt >>/tmp/words-s3.txt.temp
cat /tmp/words-s3.txt.temp | sort -u > /tmp/words-s3.txt

# Genereer 'n woordlys gebaseer op die domeine en subdomeine om te toets
## Skryf daardie domeine en subdomeine in subdomains.txt
cat subdomains.txt > /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "-" >> /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "\n" | sort -u >> /tmp/words-hosts-s3.txt

# Skep permutasies gebaseer op 'n lys met die domeine en subdomeine om aan te val
goaltdns -l /tmp/words-hosts-s3.txt -w /tmp/words-s3.txt -o /tmp/final-words-s3.txt.temp
## Die vorige hulpmiddel is gespesialiseerd in die skep van permutasies vir subdomeine, kom ons filter daardie lys
### Verwyder lyne wat eindig met "."
cat /tmp/final-words-s3.txt.temp | grep -Ev "\.$" > /tmp/final-words-s3.txt.temp2
### Skep lys sonder TLD
cat /tmp/final-words-s3.txt.temp2 | sed -E 's/\.[a-zA-Z0-9]+$//' > /tmp/final-words-s3.txt.temp3
### Skep lys sonder punte
cat /tmp/final-words-s3.txt.temp3 | tr -d "." > /tmp/final-words-s3.txt.temp4http://phantom.s3.amazonaws.com/
### Skep lys sonder koppelpunte
cat /tmp/final-words-s3.txt.temp3 | tr "." "-" > /tmp/final-words-s3.txt.temp5

## Genereer die finale woordlys
cat /tmp/final-words-s3.txt.temp2 /tmp/final-words-s3.txt.temp3 /tmp/final-words-s3.txt.temp4 /tmp/final-words-s3.txt.temp5 | grep -v -- "-\." | awk '{print tolower($0)}' | sort -u > /tmp/final-words-s3.txt

## Roep s3scanner aan
s3scanner --threads 100 scan --buckets-file /tmp/final-words-s3.txt  | grep bucket_exists

Loot S3 Emmers

Gegewe S3 oop emmers, BucketLoot kan outomaties soek na interessante inligting.

Vind die Streek

Jy kan al die ondersteunende streke deur AWS vind in https://docs.aws.amazon.com/general/latest/gr/s3.html

Deur DNS

Jy kan die streek van 'n emmer kry met 'n dig en nslookup deur 'n DNS versoek van die ontdekte IP te doen:

dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud.    5    IN    A    52.218.192.11

nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com.

Kontroleer dat die opgeloste domein die woord "website" het. Jy kan die statiese webwerf bereik deur te gaan na: flaws.cloud.s3-website-us-west-2.amazonaws.com of jy kan die emmer bereik deur te besoek: flaws.cloud.s3-us-west-2.amazonaws.com

Deur te Probeer

As jy probeer om toegang tot 'n emmer te verkry, maar in die domeinnaam spesifiseer jy 'n ander streek (byvoorbeeld die emmer is in bucket.s3.amazonaws.com maar jy probeer om toegang te verkry tot bucket.s3-website-us-west-2.amazonaws.com, dan sal jy na die korrekte ligging gewys word:

Om die emmer te enumereer

Om die oopheid van die emmer te toets, kan 'n gebruiker net die URL in hul webblaaier invoer. 'n Privaat emmer sal met "Toegang geweier" antwoordgee. 'n Publieke emmer sal die eerste 1,000 voorwerpe wat gestoor is, lys.

Oop vir almal:

Privaat:

Jy kan dit ook met die cli kontroleer:

#Use --no-sign-request for check Everyones permissions
#Use --profile <PROFILE_NAME> to indicate the AWS profile(keys) that youwant to use: Check for "Any Authenticated AWS User" permissions
#--recursive if you want list recursivelyls
#Opcionally you can select the region if you now it
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]

As die emmer nie 'n domeinnaam het nie, wanneer jy probeer om dit te enumereer, sit net die emmernaam en nie die hele AWSs3-domein nie. Voorbeeld: s3://<BUCKETNAME>

Publieke URL-sjabloon

https://{user_provided}.s3.amazonaws.com

Kry rekening ID van openbare emmer

Dit is moontlik om 'n AWS-rekening te bepaal deur voordeel te trek uit die nuwe S3:ResourceAccount Beleidstoestand Sleutel. Hierdie toestand beperk toegang gebaseer op die S3-emmer waarin 'n rekening is (ander rekening-gebaseerde beleide beperk gebaseer op die rekening waarin die versoekende prinsiep is). En omdat die beleid wildcards kan bevat, is dit moontlik om die rekeningnommer net een nommer op 'n slag te vind.

Hierdie hulpmiddel outomatiseer die proses:

# Installation
pipx install s3-account-search
pip install s3-account-search
# With a bucket
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket
# With an object
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket/path/to/object.ext

Hierdie tegniek werk ook met API Gateway URL's, Lambda URL's, Data Exchange datastelle en selfs om die waarde van etikette te verkry (as jy die etiket sleutel ken). Jy kan meer inligting vind in die oorspronklike navorsing en die hulpmiddel conditional-love om hierdie uitbuiting te outomatiseer.

Bevestiging dat 'n emmer aan 'n AWS-rekening behoort

Soos verduidelik in hierdie blogpos, as jy toestemmings het om 'n emmer te lys is dit moontlik om 'n accountID te bevestig waaraan die emmer behoort deur 'n versoek soos:

curl -X GET "[bucketname].amazonaws.com/" \
-H "x-amz-expected-bucket-owner: [correct-account-id]"

<?xml version="1.0" encoding="UTF-8"?>
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">...</ListBucketResult>

If the error is an “Access Denied” it means that the account ID was wrong.

Gebruik van e-pos as wortelrekening enumerasie

Soos verduidelik in hierdie blogpos, is dit moontlik om te kyk of 'n e-posadres verband hou met enige AWS-rekening deur te probeer om 'n e-pos toestemming te gee oor 'n S3-bucket via ACLs. As dit nie 'n fout veroorsaak nie, beteken dit dat die e-pos 'n wortelgebruiker van 'n AWS-rekening is:

s3_client.put_bucket_acl(
Bucket=bucket_name,
AccessControlPolicy={
'Grants': [
{
'Grantee': {
'EmailAddress': 'some@emailtotest.com',
'Type': 'AmazonCustomerByEmail',
},
'Permission': 'READ'
},
],
'Owner': {
'DisplayName': 'Whatever',
'ID': 'c3d78ab5093a9ab8a5184de715d409c2ab5a0e2da66f08c2f6cc5c0bdeadbeef'
}
}
)

Verwysings

• https://www.youtube.com/watch?v=8ZXRw4Ry3mQ

• https://cloudar.be/awsblog/finding-the-account-id-of-any-public-s3-bucket/