AWS - Directory Services / WorkDocs Enum

支持 HackTricks

目录服务

AWS 目录服务为 Microsoft Active Directory 提供了一种托管服务,使您能够轻松地在 AWS 云中设置、操作和扩展目录。它基于实际的 Microsoft Active Directory,并与其他 AWS 服务紧密集成,使您能够轻松管理目录感知的工作负载和 AWS 资源。使用 AWS 托管的 Microsoft AD,您可以使用现有的 Active Directory 用户、组和策略来管理对 AWS 资源的访问。这可以帮助简化您的身份管理,并减少对额外身份解决方案的需求。AWS 托管的 Microsoft AD 还提供自动备份和灾难恢复功能,帮助确保您的目录的可用性和持久性。总体而言,AWS 目录服务为 Microsoft Active Directory 可以通过提供一个托管的、高可用的、可扩展的 Active Directory 服务来帮助您节省时间和资源。

选项

目录服务允许创建 5 种类型的目录:

  • AWS 托管的 Microsoft AD:将在 AWS 中运行一个新的 Microsoft AD。您将能够设置管理员密码并访问 VPC 中的 DC。

  • 简单 AD:将是一个与 Linux-Samba Active Directory 兼容的服务器。您将能够设置管理员密码并访问 VPC 中的 DC。

  • AD 连接器:一个代理,用于将目录请求重定向到您现有的 Microsoft Active Directory,而不在云中缓存任何信息。它将在 VPC 中监听,您需要提供访问现有 AD 的凭据

  • Amazon Cognito 用户池:这与 Cognito 用户池相同。

  • 云目录:这是最简单的一个。一个 无服务器 目录,您指明要使用的 模式,并根据 使用情况计费

AWS 目录服务允许与您现有的 本地 Microsoft AD 同步在 AWS 中运行您自己的,或与 其他目录类型 同步。

实验室

在这里,您可以找到一个很好的教程来创建您自己的 Microsoft AD 在 AWS 中:https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html

枚举

# Get directories and DCs
aws ds describe-directories
aws ds describe-domain-controllers --directory-id <id>
# Get directory settings
aws ds describe-trusts
aws ds describe-ldaps-settings --directory-id <id>
aws ds describe-shared-directories --owner-directory-id <id>
aws ds get-directory-limits
aws ds list-certificates --directory-id <id>
aws ds describe-certificate --directory-id <id> --certificate-id <id>

登录

请注意,如果目录的 description 字段中包含 domainAccessUrl 字段中,这意味着 用户 可能可以使用其 AD 凭据 登录某些 AWS 服务:

  • <name>.awsapps.com/connect (Amazon Connect)

  • <name>.awsapps.com/workdocs (Amazon WorkDocs)

  • <name>.awsapps.com/workmail (Amazon WorkMail)

  • <name>.awsapps.com/console (Amazon Management Console)

  • <name>.awsapps.com/start (IAM Identity Center)

权限提升

持久性

使用 AD 用户

可以通过角色赋予 AD 用户 对 AWS 管理控制台的 访问权限默认用户名是 Admin,可以从 AWS 控制台 更改其密码

因此,可以 更改 Admin 的密码创建新用户更改用户的密码 并授予该用户一个角色以维持访问。 还可以 将用户添加到 AD 中的组授予该 AD 组对角色的访问权限(以使此持久性更加隐蔽)。

共享 AD(从受害者到攻击者)

可以将 AD 环境从受害者共享给攻击者。这样,攻击者将能够继续访问 AD 环境。 然而,这意味着要共享托管的 AD,并且还要创建 VPC 对等连接。

您可以在此找到指南:https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html

共享 AD(从攻击者到受害者)

似乎不可能将 AWS 访问权限授予来自不同 AD 环境的用户到一个 AWS 账户。

WorkDocs

Amazon Web Services (AWS) WorkDocs 是一个基于云的 文件存储和共享服务。它是 AWS 云计算服务套件的一部分,旨在为组织提供一个安全且可扩展的解决方案,以存储、共享和协作处理文件和文档。

AWS WorkDocs 提供了一个基于 Web 的界面,供用户上传、访问和管理其文件和文档。它还提供版本控制、实时协作以及与其他 AWS 服务和第三方工具的集成等功能。

枚举

# Get AD users (Admin not included)
aws workdocs describe-users --organization-id <directory-id>
# Get AD groups (containing "a")
aws workdocs describe-groups --organization-id d-9067a0285c --search-query a

# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>

# Get what each user has created
aws workdocs describe-activities --user-id "S-1-5-21-377..."

# Get what was created in the directory
aws workdocs describe-activities --organization-id <directory-id>

# Get folder content
aws workdocs describe-folder-contents --folder-id <fold-id>

# Get file (a url to access with the content will be retreived)
aws workdocs get-document --document-id <doc-id>

# Get resource permissions if any
aws workdocs describe-resource-permissions --resource-id <value>

# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
## This will give an id, the file will be acesible in: https://<name>.awsapps.com/workdocs/index.html#/share/document/<id>

提权

支持 HackTricks

Last updated