Cognito User Pools
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ein Benutzerpool ist ein Benutzerverzeichnis in Amazon Cognito. Mit einem Benutzerpool können sich Ihre Benutzer in Ihre Web- oder mobile App über Amazon Cognito einloggen oder sich über einen drittanbieter Identitätsanbieter (IdP) federieren. Egal, ob sich Ihre Benutzer direkt oder über einen Drittanbieter anmelden, alle Mitglieder des Benutzerpools haben ein Verzeichnisprofil, auf das Sie über ein SDK zugreifen können.
Benutzerpools bieten:
Anmelde- und Registrierungsdienste.
Eine integrierte, anpassbare Web-Benutzeroberfläche zur Anmeldung von Benutzern.
Soziale Anmeldungen mit Facebook, Google, Login mit Amazon und Anmeldung mit Apple sowie über SAML- und OIDC-Identitätsanbieter aus Ihrem Benutzerpool.
Benutzerverzeichnisverwaltung und Benutzerprofile.
Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA), Überprüfungen auf kompromittierte Anmeldeinformationen, Schutz vor Kontoübernahme sowie Telefon- und E-Mail-Verifizierung.
Angepasste Workflows und Benutzermigration durch AWS Lambda-Trigger.
Quellcode von Anwendungen enthält normalerweise auch die Benutzerpool-ID und die Client-Anwendungs-ID (und manchmal das Anwendungsgeheimnis?), die benötigt werden, damit sich ein Benutzer in einen Cognito-Benutzerpool einloggen kann.
Registrierung: Standardmäßig kann sich ein Benutzer selbst registrieren, sodass er einen Benutzer für sich selbst erstellen könnte.
Benutzerenumeration: Die Registrierungsfunktionalität kann verwendet werden, um Benutzernamen zu finden, die bereits existieren. Diese Informationen können für den Brute-Force-Angriff nützlich sein.
Login-Brute-Force: Im Abschnitt Authentifizierung finden Sie alle Methoden, die ein Benutzer hat, um sich einzuloggen. Sie könnten versuchen, sie zu brute-forcen, um gültige Anmeldeinformationen zu finden.
Pacu, enthält jetzt die Module cognito__enum
und cognito__attack
, die die Enumeration aller Cognito-Ressourcen in einem Konto automatisieren und schwache Konfigurationen, Benutzerattribute, die für die Zugriffskontrolle verwendet werden, usw. kennzeichnen sowie die Benutzererstellung (einschließlich MFA-Unterstützung) und Privilegieneskalation basierend auf modifizierbaren benutzerdefinierten Attributen, verwendbaren Identitätspool-Anmeldeinformationen, übernehmbaren Rollen in ID-Token usw. automatisieren.
Für eine Beschreibung der Funktionen der Module siehe Teil 2 des Blogbeitrags. Für Installationsanweisungen siehe die Hauptseite von Pacu.
Cognito Scanner ist ein CLI-Tool in Python, das verschiedene Angriffe auf Cognito implementiert, einschließlich unerwünschter Kontoerstellung und Konto-Orakel. Weitere Informationen finden Sie unter diesem Link.
CognitoAttributeEnum: Dieses Skript ermöglicht es, gültige Attribute für Benutzer aufzulisten.
User Pools erlaubt standardmäßig die Registrierung neuer Benutzer.
Möglicherweise finden Sie einen Fehler, der Ihnen anzeigt, dass Sie mehr Details über den Benutzer bereitstellen müssen:
Sie können die benötigten Details mit einem JSON wie folgt bereitstellen:
Sie könnten diese Funktionalität auch verwenden, um bestehende Benutzer aufzulisten. Dies ist die Fehlermeldung, wenn ein Benutzer mit diesem Namen bereits existiert:
Beachten Sie im vorherigen Befehl, wie die benutzerdefinierten Attribute mit "custom:" beginnen. Wissen Sie auch, dass Sie bei der Registrierung keine neuen benutzerdefinierten Attribute für den Benutzer erstellen können. Sie können nur Werte für Standardattribute (auch wenn sie nicht erforderlich sind) und angegebene benutzerdefinierte Attribute angeben.
Oder um einfach zu testen, ob eine Client-ID existiert. Dies ist der Fehler, wenn die Client-ID nicht existiert:
Sie werden diesen Fehler finden und Sie werden nicht in der Lage sein, Benutzer zu registrieren oder aufzulisten:
Cognito ermöglicht es, einen neuen Benutzer zu verifizieren, indem seine E-Mail oder Telefonnummer verifiziert wird. Daher werden Sie beim Erstellen eines Benutzers normalerweise mindestens den Benutzernamen und das Passwort sowie die E-Mail und/oder Telefonnummer benötigen. Setzen Sie einfach eine die Sie kontrollieren, damit Sie den Code zur Verifizierung Ihres neu erstellten Benutzer kontos erhalten, wie folgt:
Auch wenn es so aussieht, als könnte man dieselbe E-Mail und Telefonnummer verwenden, wird Cognito bei der Verifizierung des erstellten Benutzers sich über die Verwendung derselben Informationen beschweren und wird die Verifizierung des Kontos nicht zulassen.
Standardmäßig kann ein Benutzer den Wert seiner Attribute ändern mit etwas wie:
Sie könnten benutzerdefinierte Attribute finden (wie isAdmin
), da Sie standardmäßig die Werte Ihrer eigenen Attribute ändern können, könnten Sie in der Lage sein, Privilegien zu eskalieren, indem Sie den Wert selbst ändern!
Sie können dies verwenden, um die E-Mail und Telefonnummer eines Benutzers zu ändern, aber selbst wenn das Konto als verifiziert bleibt, sind diese Attribute im Status "unverifiziert" gesetzt (Sie müssen sie erneut verifizieren).
Sie werden sich nicht mit E-Mail oder Telefonnummer anmelden können, bis Sie sie verifizieren, aber Sie werden sich mit dem Benutzernamen anmelden können.
Beachten Sie, dass selbst wenn die E-Mail geändert und nicht verifiziert wurde, sie im ID-Token im email
Feld erscheinen wird und das Feld email_verified
falsch sein wird, aber wenn die App nicht überprüft, könnten Sie andere Benutzer impersonieren.
Darüber hinaus beachten Sie, dass Sie alles in das name
Feld einfügen können, indem Sie das name-Attribut ändern. Wenn eine App aus irgendeinem Grund dieses Feld anstatt des email
(oder eines anderen Attributs) überprüft, könnten Sie in der Lage sein, andere Benutzer zu impersonieren.
Wenn Sie aus irgendeinem Grund Ihre E-Mail beispielsweise auf eine neue, auf die Sie zugreifen können, geändert haben, können Sie die E-Mail mit dem Code bestätigen, den Sie an diese E-Mail-Adresse erhalten haben:
Verwenden Sie phone_number
anstelle von email
, um eine neue Telefonnummer zu ändern/zu verifizieren.
Der Administrator könnte auch die Option aktivieren, sich mit einem vom Benutzer bevorzugten Benutzernamen anzumelden. Beachten Sie, dass Sie diesen Wert nicht auf irgendeinen Benutzernamen oder bevorzugten_Benutzernamen, der bereits verwendet wird, ändern können, um einen anderen Benutzer zu impersonieren.
Es ist möglich, ein Passwort nur mit dem Benutzernamen (oder E-Mail oder Telefon wird akzeptiert) wiederherzustellen, und der Zugriff darauf ist erforderlich, da ein Code dorthin gesendet wird:
Die Antwort des Servers wird immer positiv sein, als ob der Benutzername existiert. Sie können diese Methode nicht verwenden, um Benutzer aufzulisten.
Mit dem Code können Sie das Passwort ändern mit:
Um das Passwort zu ändern, müssen Sie das vorherige Passwort kennen:
Ein Benutzerpool unterstützt verschiedene Möglichkeiten zur Authentifizierung. Wenn Sie einen Benutzernamen und ein Passwort haben, werden auch verschiedene Methoden zum Anmelden unterstützt. Darüber hinaus werden, wenn ein Benutzer im Pool authentifiziert ist, 3 Arten von Tokens vergeben: Das ID-Token, das Access-Token und das Refresh-Token.
ID-Token: Es enthält Ansprüche über die Identität des authentifizierten Benutzers, wie name
, email
und phone_number
. Das ID-Token kann auch verwendet werden, um Benutzer zu Ihren Ressourcenservern oder Serveranwendungen zu authentifizieren. Sie müssen die Signatur des ID-Tokens überprüfen, bevor Sie irgendwelche Ansprüche im ID-Token vertrauen können, wenn Sie es in externen Anwendungen verwenden.
Das ID-Token ist das Token, das die Attributwerte des Benutzers enthält, sogar die benutzerdefinierten.
Access-Token: Es enthält Ansprüche über den authentifizierten Benutzer, eine Liste der Benutzergruppen und eine Liste der Scopes. Der Zweck des Access-Tokens besteht darin, API-Operationen im Kontext des Benutzers im Benutzerpool zu autorisieren. Zum Beispiel können Sie das Access-Token verwenden, um Ihrem Benutzer Zugriff zu gewähren, um Benutzerattribute hinzuzufügen, zu ändern oder zu löschen.
Refresh-Token: Mit Refresh-Tokens können Sie neue ID-Tokens und Access-Tokens für den Benutzer erhalten, bis das Refresh-Token ungültig ist. Standardmäßig läuft das Refresh-Token 30 Tage nach der Anmeldung Ihres Anwendungsbenutzers in Ihrem Benutzerpool ab. Wenn Sie eine Anwendung für Ihren Benutzerpool erstellen, können Sie die Ablaufzeit des Refresh-Tokens der Anwendung auf einen Wert zwischen 60 Minuten und 10 Jahren festlegen.
Dies ist der Authentifizierungsfluss auf der Serverseite:
Die serverseitige Anwendung ruft die AdminInitiateAuth
API-Operation auf (anstatt InitiateAuth
). Diese Operation erfordert AWS-Anmeldeinformationen mit Berechtigungen, die cognito-idp:AdminInitiateAuth
und cognito-idp:AdminRespondToAuthChallenge
umfassen. Die Operation gibt die erforderlichen Authentifizierungsparameter zurück.
Nachdem die serverseitige Anwendung die Authentifizierungsparameter hat, ruft sie die AdminRespondToAuthChallenge
API-Operation auf. Die AdminRespondToAuthChallenge
API-Operation ist nur erfolgreich, wenn Sie AWS-Anmeldeinformationen bereitstellen.
Diese Methode ist standardmäßig NICHT aktiviert.
Um sich anzumelden, müssen Sie Folgendes wissen:
Benutzerpool-ID
Client-ID
Benutzername
Passwort
Client-Geheimnis (nur wenn die Anwendung so konfiguriert ist, dass ein Geheimnis verwendet wird)
Um mit dieser Methode einloggen zu können, muss die Anwendung die Anmeldung mit ALLOW_ADMIN_USER_PASSWORD_AUTH
erlauben.
Darüber hinaus benötigen Sie zur Durchführung dieser Aktion Anmeldeinformationen mit den Berechtigungen cognito-idp:AdminInitiateAuth
und cognito-idp:AdminRespondToAuthChallenge