AWS - S3 Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

S3 Public Buckets

Ένα bucket θεωρείται “δημόσιο” αν οποιοσδήποτε χρήστης μπορεί να καταγράψει το περιεχόμενο του bucket, και “ιδιωτικό” αν το περιεχόμενο του bucket μπορεί να καταγραφεί ή να γραφτεί μόνο από ορισμένους χρήστες.

Οι εταιρείες μπορεί να έχουν λανθασμένα ρυθμισμένα δικαιώματα buckets που δίνουν πρόσβαση είτε σε όλα είτε σε όλους τους πιστοποιημένους χρήστες στο AWS σε οποιονδήποτε λογαριασμό (δηλαδή σε οποιονδήποτε). Σημειώστε ότι ακόμη και με τέτοιες λανθασμένες ρυθμίσεις, ορισμένες ενέργειες μπορεί να μην είναι δυνατές καθώς τα buckets μπορεί να έχουν τις δικές τους λίστες ελέγχου πρόσβασης (ACLs).

Μάθετε για τις λανθασμένες ρυθμίσεις AWS-S3 εδώ: http://flaws.cloud και http://flaws2.cloud/

Finding AWS Buckets

Διαφορετικές μέθοδοι για να βρείτε πότε μια ιστοσελίδα χρησιμοποιεί AWS για την αποθήκευση ορισμένων πόρων:

Enumeration & OSINT:

Χρησιμοποιώντας το wappalyzer πρόσθετο του προγράμματος περιήγησης
Χρησιμοποιώντας burp (spidering του ιστού) ή πλοηγώντας χειροκίνητα μέσω της σελίδας, όλοι οι πόροι που φορτώνονται θα αποθηκευτούν στην Ιστορία.
Ελέγξτε για πόρους σε τομείς όπως:

http://s3.amazonaws.com/[bucket_name]/
http://[bucket_name].s3.amazonaws.com/

Ελέγξτε για CNAMES καθώς το resources.domain.com μπορεί να έχει το CNAME bucket.s3.amazonaws.com
Ελέγξτε https://buckets.grayhatwarfare.com, μια ιστοσελίδα με ήδη ανακαλυμμένα ανοιχτά buckets.
Το όνομα bucket και το όνομα τομέα bucket πρέπει να είναι τα ίδια.
flaws.cloud είναι σε IP 52.92.181.107 και αν πάτε εκεί σας ανακατευθύνει στο https://aws.amazon.com/s3/. Επίσης, dig -x 52.92.181.107 δίνει s3-website-us-west-2.amazonaws.com.
Για να ελέγξετε αν είναι bucket μπορείτε επίσης να επισκεφθείτε https://flaws.cloud.s3.amazonaws.com/.

Brute-Force

Μπορείτε να βρείτε buckets δοκιμάζοντας ονόματα που σχετίζονται με την εταιρεία που κάνετε pentesting:

https://github.com/sa7mon/S3Scanner
https://github.com/clario-tech/s3-inspector
https://github.com/jordanpotti/AWSBucketDump (Περιέχει μια λίστα με πιθανά ονόματα buckets)
https://github.com/fellchase/flumberboozle/tree/master/flumberbuckets
https://github.com/smaranchand/bucky
https://github.com/tomdev/teh_s3_bucketeers
https://github.com/RhinoSecurityLabs/Security-Research/tree/master/tools/aws-pentest-tools/s3
https://github.com/Eilonh/s3crets_scanner
https://github.com/belane/CloudHunter

# Generate a wordlist to create permutations
curl -s https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt > /tmp/words-s3.txt.temp
curl -s https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt >>/tmp/words-s3.txt.temp
cat /tmp/words-s3.txt.temp | sort -u > /tmp/words-s3.txt

# Generate a wordlist based on the domains and subdomains to test
## Write those domains and subdomains in subdomains.txt
cat subdomains.txt > /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "-" >> /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "\n" | sort -u >> /tmp/words-hosts-s3.txt

# Create permutations based in a list with the domains and subdomains to attack
goaltdns -l /tmp/words-hosts-s3.txt -w /tmp/words-s3.txt -o /tmp/final-words-s3.txt.temp
## The previous tool is specialized increating permutations for subdomains, lets filter that list
### Remove lines ending with "."
cat /tmp/final-words-s3.txt.temp | grep -Ev "\.$" > /tmp/final-words-s3.txt.temp2
### Create list without TLD
cat /tmp/final-words-s3.txt.temp2 | sed -E 's/\.[a-zA-Z0-9]+$//' > /tmp/final-words-s3.txt.temp3
### Create list without dots
cat /tmp/final-words-s3.txt.temp3 | tr -d "." > /tmp/final-words-s3.txt.temp4http://phantom.s3.amazonaws.com/
### Create list without hyphens
cat /tmp/final-words-s3.txt.temp3 | tr "." "-" > /tmp/final-words-s3.txt.temp5

## Generate the final wordlist
cat /tmp/final-words-s3.txt.temp2 /tmp/final-words-s3.txt.temp3 /tmp/final-words-s3.txt.temp4 /tmp/final-words-s3.txt.temp5 | grep -v -- "-\." | awk '{print tolower($0)}' | sort -u > /tmp/final-words-s3.txt

## Call s3scanner
s3scanner --threads 100 scan --buckets-file /tmp/final-words-s3.txt  | grep bucket_exists

Loot S3 Buckets

Δεδομένων των ανοιχτών buckets S3, BucketLoot μπορεί αυτόματα να αναζητήσει ενδιαφέροντα πληροφορίες.

Find the Region

Μπορείτε να βρείτε όλες τις υποστηριζόμενες περιοχές από το AWS στο https://docs.aws.amazon.com/general/latest/gr/s3.html

By DNS

Μπορείτε να βρείτε την περιοχή ενός bucket με ένα dig και nslookup κάνοντας ένα DNS αίτημα της ανακαλυφθείσας IP:

dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud.    5    IN    A    52.218.192.11

nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com.

Ελέγξτε ότι το αναγνωρισμένο domain έχει τη λέξη "website". Μπορείτε να αποκτήσετε πρόσβαση στον στατικό ιστότοπο πηγαίνοντας στο: flaws.cloud.s3-website-us-west-2.amazonaws.com ή μπορείτε να αποκτήσετε πρόσβαση στον κάδο επισκεπτόμενοι: flaws.cloud.s3-us-west-2.amazonaws.com

Δοκιμάζοντας

Αν προσπαθήσετε να αποκτήσετε πρόσβαση σε έναν κάδο, αλλά στο όνομα τομέα καθορίσετε άλλη περιοχή (για παράδειγμα ο κάδος είναι στο bucket.s3.amazonaws.com αλλά προσπαθείτε να αποκτήσετε πρόσβαση στο bucket.s3-website-us-west-2.amazonaws.com, τότε θα σας υποδειχθεί η σωστή τοποθεσία:

Καταμέτρηση του κάδου

Για να δοκιμάσετε την ανοιχτότητα του κάδου, ένας χρήστης μπορεί απλά να εισάγει το URL στον περιηγητή του. Ένας ιδιωτικός κάδος θα απαντήσει με "Access Denied". Ένας δημόσιος κάδος θα καταγράψει τα πρώτα 1,000 αντικείμενα που έχουν αποθηκευτεί.

Ανοιχτό σε όλους:

Ιδιωτικό:

Μπορείτε επίσης να το ελέγξετε αυτό με το cli:

#Use --no-sign-request for check Everyones permissions
#Use --profile <PROFILE_NAME> to indicate the AWS profile(keys) that youwant to use: Check for "Any Authenticated AWS User" permissions
#--recursive if you want list recursivelyls
#Opcionally you can select the region if you now it
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]

Αν ο κάδος δεν έχει όνομα τομέα, όταν προσπαθείτε να τον καταγράψετε, βάλτε μόνο το όνομα του κάδου και όχι ολόκληρο το τομέα AWSs3. Παράδειγμα: s3://<BUCKETNAME>

Δημόσιο πρότυπο URL

https://{user_provided}.s3.amazonaws.com

Get Account ID from public Bucket

Είναι δυνατόν να προσδιορίσετε έναν λογαριασμό AWS εκμεταλλευόμενοι το νέο S3:ResourceAccount Policy Condition Key. Αυτή η συνθήκη περιορίζει την πρόσβαση με βάση το S3 bucket στο οποίο βρίσκεται ένας λογαριασμός (άλλες πολιτικές που βασίζονται σε λογαριασμούς περιορίζουν με βάση τον λογαριασμό στον οποίο βρίσκεται ο αιτών). Και επειδή η πολιτική μπορεί να περιέχει wildcards, είναι δυνατόν να βρείτε τον αριθμό του λογαριασμού μόνο έναν αριθμό τη φορά.

Αυτό το εργαλείο αυτοματοποιεί τη διαδικασία:

# Installation
pipx install s3-account-search
pip install s3-account-search
# With a bucket
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket
# With an object
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket/path/to/object.ext

Αυτή η τεχνική λειτουργεί επίσης με URLs API Gateway, URLs Lambda, σύνολα δεδομένων Data Exchange και ακόμη και για να αποκτήσετε την τιμή των ετικετών (αν γνωρίζετε το κλειδί της ετικέτας). Μπορείτε να βρείτε περισσότερες πληροφορίες στην αρχική έρευνα και το εργαλείο conditional-love για να αυτοματοποιήσετε αυτή την εκμετάλλευση.

Επιβεβαίωση ότι ένα bucket ανήκει σε έναν λογαριασμό AWS

Όπως εξηγείται σε αυτή την ανάρτηση στο blog, αν έχετε άδειες για να καταγράψετε ένα bucket είναι δυνατόν να επιβεβαιώσετε ένα accountID στο οποίο ανήκει το bucket στέλνοντας ένα αίτημα όπως:

curl -X GET "[bucketname].amazonaws.com/" \
-H "x-amz-expected-bucket-owner: [correct-account-id]"

<?xml version="1.0" encoding="UTF-8"?>
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">...</ListBucketResult>

Αν το σφάλμα είναι “Access Denied” σημαίνει ότι το ID του λογαριασμού ήταν λάθος.

Χρησιμοποιούμενα Emails ως αρίθμηση λογαριασμού root

Όπως εξηγείται σε αυτή την ανάρτηση στο blog, είναι δυνατόν να ελέγξετε αν μια διεύθυνση email σχετίζεται με οποιονδήποτε λογαριασμό AWS προσπαθώντας να παραχωρήσετε άδειες σε μια διεύθυνση email μέσω ACLs σε ένα S3 bucket. Αν αυτό δεν προκαλέσει σφάλμα, σημαίνει ότι το email είναι χρήστης root κάποιου λογαριασμού AWS:

s3_client.put_bucket_acl(
Bucket=bucket_name,
AccessControlPolicy={
'Grants': [
{
'Grantee': {
'EmailAddress': 'some@emailtotest.com',
'Type': 'AmazonCustomerByEmail',
},
'Permission': 'READ'
},
],
'Owner': {
'DisplayName': 'Whatever',
'ID': 'c3d78ab5093a9ab8a5184de715d409c2ab5a0e2da66f08c2f6cc5c0bdeadbeef'
}
}
)

Αναφορές

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - SNS Unauthenticated Enum NextAzure Pentesting

Last updated 3 days ago