AWS - IAM, Identity Center & SSO Enum

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

IAM

Μπορείτε να βρείτε μια περιγραφή του IAM στο:

AWS - Basic Information

Enumeration

Κύριες άδειες που απαιτούνται:

iam:ListPolicies, iam:GetPolicy και iam:GetPolicyVersion
iam:ListRoles
iam:ListUsers
iam:ListGroups
iam:ListGroupsForUser
iam:ListAttachedUserPolicies
iam:ListAttachedRolePolicies
iam:ListAttachedGroupPolicies
iam:ListUserPolicies και iam:GetUserPolicy
iam:ListGroupPolicies και iam:GetGroupPolicy
iam:ListRolePolicies και iam:GetRolePolicy

# All IAMs
## Retrieves  information about all IAM users, groups, roles, and policies
## in your Amazon Web Services account, including their relationships  to
## one another. Use this operation to obtain a snapshot of the configura-
## tion of IAM permissions (users, groups, roles, and  policies)  in  your
## account.
aws iam get-account-authorization-details

# List users
aws iam get-user #Get current user information
aws iam list-users
aws iam list-ssh-public-keys #User keys for CodeCommit
aws iam get-ssh-public-key --user-name <username> --ssh-public-key-id <id> --encoding SSH #Get public key with metadata
aws iam list-service-specific-credentials #Get special permissions of the IAM user over specific services
aws iam get-user --user-name <username> #Get metadata of user, included permissions boundaries
aws iam list-access-keys #List created access keys
## inline policies
aws iam list-user-policies --user-name <username> #Get inline policies of the user
aws iam get-user-policy --user-name <username> --policy-name <policyname> #Get inline policy details
## attached policies
aws iam list-attached-user-policies --user-name <username> #Get policies of user, it doesn't get inline policies

# List groups
aws iam list-groups #Get groups
aws iam list-groups-for-user --user-name <username> #Get groups of a user
aws iam get-group --group-name <name> #Get group name info
## inline policies
aws iam list-group-policies --group-name <username> #Get inline policies of the group
aws iam get-group-policy --group-name <username> --policy-name <policyname> #Get an inline policy info
## attached policies
aws iam list-attached-group-policies --group-name <name> #Get policies of group, it doesn't get inline policies

# List roles
aws iam list-roles #Get roles
aws iam get-role --role-name <role-name> #Get role
## inline policies
aws iam list-role-policies --role-name <name> #Get inline policies of a role
aws iam get-role-policy --role-name <name> --policy-name <name> #Get inline policy details
## attached policies
aws iam list-attached-role-policies --role-name <role-name> #Get policies of role, it doesn't get inline policies

# List policies
aws iam list-policies [--only-attached] [--scope Local]
aws iam list-policies-granting-service-access --arn <identity> --service-namespaces <svc> # Get list of policies that give access to the user to the service
## Get policy content
aws iam get-policy --policy-arn <policy_arn>
aws iam list-policy-versions --policy-arn <arn>
aws iam get-policy-version --policy-arn <arn:aws:iam::975426262029:policy/list_apigateways> --version-id <VERSION_X>

# Enumerate providers
aws iam list-saml-providers
aws iam get-saml-provider --saml-provider-arn <ARN>
aws iam list-open-id-connect-providers
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>

# Password Policy
aws iam get-account-password-policy

# MFA
aws iam list-mfa-devices
aws iam list-virtual-mfa-devices

Permissions Brute Force

Αν ενδιαφέρεστε για τα δικά σας δικαιώματα αλλά δεν έχετε πρόσβαση για να κάνετε ερωτήσεις στο IAM, μπορείτε πάντα να τα επιτεθείτε με brute-force.

bf-aws-permissions

Το εργαλείο bf-aws-permissions είναι απλώς ένα bash script που θα εκτελεί χρησιμοποιώντας το υποδεικνυόμενο προφίλ όλες τις list*, describe*, get* ενέργειες που μπορεί να βρει χρησιμοποιώντας τα μηνύματα βοήθειας του aws cli και θα επιστρέψει τις επιτυχείς εκτελέσεις.

# Bruteforce permissions
bash bf-aws-permissions.sh -p default > /tmp/bf-permissions-verbose.txt

bf-aws-perms-simulate

Το εργαλείο bf-aws-perms-simulate μπορεί να βρει την τρέχουσα άδεια σας (ή αυτές άλλων προσώπων) αν έχετε την άδεια iam:SimulatePrincipalPolicy

# Ask for permissions
python3 aws_permissions_checker.py --profile <AWS_PROFILE> [--arn <USER_ARN>]

Perms2ManagedPolicies

Αν βρήκατε μερικές άδειες που έχει ο χρήστης σας, και νομίζετε ότι παρέχονται από έναν διαχειριζόμενο ρόλο AWS (και όχι από έναν προσαρμοσμένο). Μπορείτε να χρησιμοποιήσετε το εργαλείο aws-Perms2ManagedRoles για να ελέγξετε όλους τους διαχειριζόμενους ρόλους AWS που παρέχουν τις άδειες που ανακαλύψατε ότι έχετε.

# Run example with my profile
python3 aws-Perms2ManagedPolicies.py --profile myadmin --permissions-file example-permissions.txt

Είναι δυνατόν να "γνωρίζετε" αν οι άδειες που έχετε παραχωρούνται από έναν διαχειριζόμενο ρόλο AWS αν δείτε ότι έχετε άδειες σε υπηρεσίες που δεν χρησιμοποιούνται για παράδειγμα.

Cloudtrail2IAM

CloudTrail2IAM είναι ένα εργαλείο Python που αναλύει τα αρχεία καταγραφής AWS CloudTrail για να εξάγει και να συνοψίσει τις ενέργειες που έχουν γίνει από όλους ή μόνο από έναν συγκεκριμένο χρήστη ή ρόλο. Το εργαλείο θα αναλύσει κάθε αρχείο καταγραφής cloudtrail από τον καθορισμένο κάδο.

git clone https://github.com/carlospolop/Cloudtrail2IAM
cd Cloudtrail2IAM
pip install -r requirements.txt
python3 cloudtrail2IAM.py --prefix PREFIX --bucket_name BUCKET_NAME --profile PROFILE [--filter-name FILTER_NAME] [--threads THREADS]

Αν βρείτε .tfstate (αρχεία κατάστασης Terraform) ή αρχεία CloudFormation (αυτά είναι συνήθως αρχεία yaml που βρίσκονται μέσα σε έναν κάδο με το πρόθεμα cf-templates), μπορείτε επίσης να τα διαβάσετε για να βρείτε τη διαμόρφωση aws και να δείτε ποιες άδειες έχουν ανατεθεί σε ποιον.

enumerate-iam

Για να χρησιμοποιήσετε το εργαλείο https://github.com/andresriancho/enumerate-iam πρέπει πρώτα να κατεβάσετε όλα τα API AWS endpoints, από αυτά το σενάριο generate_bruteforce_tests.py θα πάρει όλα τα "list_", "describe_", και "get_" endpoints. Και τελικά, θα προσπαθήσει να τα προσπελάσει με τα δεδομένα πιστοποίησης που δόθηκαν και θα υποδείξει αν λειτούργησε.

(Από την εμπειρία μου, το εργαλείο κολλάει σε κάποιο σημείο, ελέγξτε αυτή τη διόρθωση για να προσπαθήσετε να το διορθώσετε).

Από την εμπειρία μου, αυτό το εργαλείο είναι όπως το προηγούμενο αλλά λειτουργεί χειρότερα και ελέγχει λιγότερες άδειες.

# Install tool
git clone git@github.com:andresriancho/enumerate-iam.git
cd enumerate-iam/
pip install -r requirements.txt

# Download API endpoints
cd enumerate_iam/
git clone https://github.com/aws/aws-sdk-js.git
python3 generate_bruteforce_tests.py
rm -rf aws-sdk-js
cd ..

# Enumerate permissions
python3 enumerate-iam.py --access-key ACCESS_KEY --secret-key SECRET_KEY [--session-token SESSION_TOKEN] [--region REGION]

weirdAAL

Μπορείτε επίσης να χρησιμοποιήσετε το εργαλείο weirdAAL. Αυτό το εργαλείο θα ελέγξει διάφορες κοινές λειτουργίες σε διάφορες κοινές υπηρεσίες (θα ελέγξει κάποιες άδειες καταμέτρησης και επίσης κάποιες άδειες privesc). Αλλά θα ελέγξει μόνο τους κωδικοποιημένους ελέγχους (ο μόνος τρόπος για να ελέγξετε περισσότερα πράγματα είναι να κωδικοποιήσετε περισσότερες δοκιμές).

# Install
git clone https://github.com/carnal0wnage/weirdAAL.git
cd weirdAAL
python3 -m venv weirdAAL
source weirdAAL/bin/activate
pip3 install -r requirements.txt

# Create a .env file with aws credentials such as
[default]
aws_access_key_id = <insert key id>
aws_secret_access_key = <insert secret key>

# Setup DB
python3 create_dbs.py

# Invoke it
python3 weirdAAL.py -m ec2_describe_instances -t ec2test # Just some ec2 tests
python3 weirdAAL.py -m recon_all -t MyTarget # Check all permissions
# You will see output such as:
# [+] elbv2 Actions allowed are [+]
# ['DescribeLoadBalancers', 'DescribeAccountLimits', 'DescribeTargetGroups']

Εργαλεία Σκληροποίησης για BF δικαιώματα

# Export env variables
./index.js --console=text --config ./config.js --json /tmp/out-cloudsploit.json

# Filter results removing unknown
jq 'map(select(.status | contains("UNKNOWN") | not))' /tmp/out-cloudsploit.json | jq 'map(select(.resource | contains("N/A") | not))' > /tmp/out-cloudsploit-filt.json

# Get services by regions
jq 'group_by(.region) | map({(.[0].region): ([map((.resource | split(":"))[2]) | unique])})' ~/Desktop/pentests/cere/greybox/core-dev-dev-cloudsploit-filtered.json

# https://github.com/turbot/steampipe-mod-aws-insights
steampipe check all --export=json

# https://github.com/turbot/steampipe-mod-aws-perimeter
# In this case you cannot output to JSON, so heck it in the dashboard
steampipe dashboard

<YourTool>

Κανένα από τα προηγούμενα εργαλεία δεν είναι ικανό να ελέγξει σχεδόν όλες τις άδειες, οπότε αν γνωρίζετε ένα καλύτερο εργαλείο στείλτε μια PR!

Μη Αυθεντικοποιημένη Πρόσβαση

AWS - IAM & STS Unauthenticated Enum

Κλιμάκωση Δικαιωμάτων

Στην επόμενη σελίδα μπορείτε να ελέγξετε πώς να καταχραστείτε τις άδειες IAM για να κλιμακώσετε τα δικαιώματα:

AWS - IAM Privesc

Μετά την Εκμετάλλευση IAM

AWS - IAM Post Exploitation

Επιμονή IAM

AWS - IAM Persistence

Κέντρο Ταυτότητας IAM

Μπορείτε να βρείτε μια περιγραφή του Κέντρου Ταυτότητας IAM στο:

AWS - Basic Information

Σύνδεση μέσω SSO με CLI

# Connect with sso via CLI aws configure sso
aws configure sso

[profile profile_name]
sso_start_url = https://subdomain.awsapps.com/start/
sso_account_id = <account_numbre>
sso_role_name = AdministratorAccess
sso_region = us-east-1

Enumeration

Τα κύρια στοιχεία του Identity Center είναι:

Χρήστες και ομάδες
Σύνολα δικαιωμάτων: Έχουν συνημμένες πολιτικές
Λογαριασμοί AWS

Στη συνέχεια, δημιουργούνται σχέσεις ώστε οι χρήστες/ομάδες να έχουν Σύνολα δικαιωμάτων πάνω σε Λογαριασμό AWS.

Σημειώστε ότι υπάρχουν 3 τρόποι για να συνημμένες πολιτικές σε ένα Σύνολο δικαιωμάτων. Συνημμένες πολιτικές διαχειριζόμενες από την AWS, πολιτικές διαχειριζόμενες από τον πελάτη (αυτές οι πολιτικές πρέπει να δημιουργηθούν σε όλους τους λογαριασμούς που επηρεάζει το Σύνολο δικαιωμάτων), και inline πολιτικές (ορισμένες εκεί).

# Check if IAM Identity Center is used
aws sso-admin list-instances

# Get Permissions sets. These are the policies that can be assigned
aws sso-admin list-permission-sets --instance-arn <instance-arn>
aws sso-admin describe-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>

## Get managed policies of a permission set
aws sso-admin list-managed-policies-in-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get inline policies of a permission set
aws sso-admin get-inline-policy-for-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get customer managed policies of a permission set
aws sso-admin list-customer-managed-policy-references-in-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get boundaries of a permission set
aws sso-admin get-permissions-boundary-for-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>

## List accounts a permission set is affecting
aws sso-admin list-accounts-for-provisioned-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## List principals given a permission set in an account
aws sso-admin list-account-assignments --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --account-id <account_id>

# Get permissions sets affecting an account
aws sso-admin list-permission-sets-provisioned-to-account --instance-arn <instance-arn> --account-id <account_id>

# List users & groups from the identity store
aws identitystore list-users --identity-store-id <store-id>
aws identitystore list-groups --identity-store-id <store-id>
## Get members of groups
aws identitystore list-group-memberships --identity-store-id <store-id> --group-id <group-id>
## Get memberships or a user or a group
aws identitystore list-group-memberships-for-member --identity-store-id <store-id> --member-id <member-id>

Local Enumeration

Είναι δυνατόν να δημιουργήσετε μέσα στον φάκελο $HOME/.aws το αρχείο config για να ρυθμίσετε προφίλ που είναι προσβάσιμα μέσω SSO, για παράδειγμα:

[default]
region = us-west-2
output = json

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 123456789012
sso_role_name = MySSORole
region = us-west-2
output = json

[profile dependent-profile]
role_arn = arn:aws:iam::<acc-id>:role/ReadOnlyRole
source_profile = Hacktricks-Admin

Αυτή η διαμόρφωση μπορεί να χρησιμοποιηθεί με τις εντολές:

# Login in ms-sso-profile
aws sso login --profile my-sso-profile
# Use dependent-profile
aws s3 ls --profile dependent-profile

Όταν χρησιμοποιείται ένα προφίλ από SSO για να αποκτήσετε πρόσβαση σε ορισμένες πληροφορίες, τα διαπιστευτήρια αποθηκεύονται σε ένα αρχείο μέσα στον φάκελο $HOME/.aws/sso/cache. Επομένως, μπορούν να διαβαστούν και να χρησιμοποιηθούν από εκεί.

Επιπλέον, περισσότερα διαπιστευτήρια μπορούν να αποθηκευτούν στον φάκελο $HOME/.aws/cli/cache. Αυτός ο φάκελος cache χρησιμοποιείται κυρίως όταν εργάζεστε με προφίλ AWS CLI που χρησιμοποιούν διαπιστευτήρια IAM ή υποθέτουν ρόλους μέσω IAM (χωρίς SSO). Παράδειγμα διαμόρφωσης:

[profile crossaccountrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
mfa_serial = arn:aws:iam::123456789012:mfa/saanvi
external_id = 123456

Επιμονή

Δημιουργία χρήστη και εκχώρηση δικαιωμάτων σε αυτόν

# Create user identitystore:CreateUser
aws identitystore create-user --identity-store-id <store-id> --user-name privesc --display-name privesc --emails Value=sdkabflvwsljyclpma@tmmbt.net,Type=Work,Primary=True --name Formatted=privesc,FamilyName=privesc,GivenName=privesc
## After creating it try to login in the console using the selected username, you will receive an email with the code and then you will be able to select a password

Δημιουργήστε μια ομάδα και αναθέστε της δικαιώματα και ορίστε σε αυτήν έναν ελεγχόμενο χρήστη
Δώστε επιπλέον δικαιώματα σε έναν ελεγχόμενο χρήστη ή ομάδα
Κατά προεπιλογή, μόνο οι χρήστες με δικαιώματα από τον Λογαριασμό Διαχείρισης θα μπορούν να έχουν πρόσβαση και να ελέγχουν το IAM Identity Center.

Ωστόσο, είναι δυνατό μέσω του Delegate Administrator να επιτραπεί σε χρήστες από διαφορετικό λογαριασμό να το διαχειρίζονται. Δεν θα έχουν ακριβώς τα ίδια δικαιώματα, αλλά θα μπορούν να εκτελούν δραστηριότητες διαχείρισης.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Kinesis Data Firehose Enum NextAWS - KMS Enum

Last updated 3 days ago