AWS - STS Privesc
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
sts:AssumeRole
Jede Rolle wird mit einer Rollenvertrauensrichtlinie erstellt, diese Richtlinie gibt an, wer die erstellte Rolle übernehmen kann. Wenn eine Rolle aus dem gleichen Konto angibt, dass ein Konto sie übernehmen kann, bedeutet das, dass das Konto Zugriff auf die Rolle (und potenziell privesc) haben wird.
Zum Beispiel zeigt die folgende Rollenvertrauensrichtlinie an, dass jeder sie übernehmen kann, daher wird jeder Benutzer in der Lage sein, privesc zu den mit dieser Rolle verbundenen Berechtigungen zu erhalten.
Du kannst eine Rolle nachahmen, indem du Folgendes ausführst:
Potenzielle Auswirkungen: Privesc zur Rolle.
Beachten Sie, dass in diesem Fall die Berechtigung sts:AssumeRole
in der Rolle angegeben werden muss, die missbraucht werden soll und nicht in einer Richtlinie, die dem Angreifer gehört.
Mit einer Ausnahme, um eine Rolle aus einem anderen Konto zu übernehmen, muss das Angreiferkonto auch die sts:AssumeRole
über die Rolle haben.
sts:GetFederationToken
Mit dieser Berechtigung ist es möglich, Anmeldeinformationen zu generieren, um sich als beliebiger Benutzer auszugeben:
So kann diese Berechtigung sicher erteilt werden, ohne den Zugriff auf die Identität anderer Benutzer zu gewähren:
sts:AssumeRoleWithSAML
Eine Vertrauensrichtlinie mit dieser Rolle gewährt Benutzern, die über SAML authentifiziert sind, Zugriff auf die Rolle zu impersonieren.
Ein Beispiel für eine Vertrauensrichtlinie mit dieser Berechtigung ist:
Um Anmeldeinformationen zu generieren, um die Rolle zu impersonieren, könnten Sie etwas wie Folgendes verwenden:
Aber Anbieter könnten ihre eigenen Werkzeuge haben, um dies zu erleichtern, wie onelogin-aws-assume-role:
Potenzielle Auswirkungen: Privesc zur Rolle.
sts:AssumeRoleWithWebIdentity
Diese Berechtigung gewährt die Erlaubnis, ein Set von temporären Sicherheitsanmeldeinformationen für Benutzer, die in einer mobilen, Webanwendung, EKS... mit einem Web-Identitätsanbieter authentifiziert wurden, zu erhalten. Hier mehr erfahren.
Wenn beispielsweise ein EKS-Dienstkonto in der Lage sein sollte, eine IAM-Rolle zu impersonifizieren, hat es ein Token in /var/run/secrets/eks.amazonaws.com/serviceaccount/token
und kann die Rolle annehmen und Anmeldeinformationen erhalten, indem es etwas wie Folgendes tut:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)