AWS - STS Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

STS

`sts:AssumeRole`

Cada rol se crea con una política de confianza del rol, esta política indica quién puede asumir el rol creado. Si un rol de la misma cuenta dice que una cuenta puede asumirlo, significa que la cuenta podrá acceder al rol (y potencialmente privesc).

Por ejemplo, la siguiente política de confianza del rol indica que cualquiera puede asumirlo, por lo tanto cualquier usuario podrá privesc a los permisos asociados con ese rol.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

Puedes suplantar un rol ejecutando:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Impacto Potencial: Privesc al rol.

Tenga en cuenta que en este caso el permiso sts:AssumeRole debe ser indicado en el rol a abusar y no en una política perteneciente al atacante. Con una excepción, para asumir un rol de una cuenta diferente la cuenta del atacante también necesita tener el sts:AssumeRole sobre el rol.

`sts:GetFederationToken`

Con este permiso es posible generar credenciales para suplantar a cualquier usuario:

aws sts get-federation-token --name <username>

Esta es la forma en que se puede otorgar este permiso de manera segura sin dar acceso para suplantar a otros usuarios:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:GetFederationToken",
"Resource": "arn:aws:sts::947247140022:federated-user/${aws:username}"
}
]
}

`sts:AssumeRoleWithSAML`

Una política de confianza con este rol otorga a los usuarios autenticados a través de SAML acceso para suplantar el rol.

Un ejemplo de una política de confianza con este permiso es:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Para generar credenciales para suplantar el rol, en general podrías usar algo como:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Pero los proveedores pueden tener sus propias herramientas para facilitar esto, como onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Impacto Potencial: Privesc al rol.

`sts:AssumeRoleWithWebIdentity`

Este permiso otorga la capacidad de obtener un conjunto de credenciales de seguridad temporales para usuarios que han sido autenticados en una aplicación móvil, web, EKS... con un proveedor de identidad web. Aprende más aquí.

Por ejemplo, si una cuenta de servicio de EKS debería poder suplantar un rol de IAM, tendrá un token en /var/run/secrets/eks.amazonaws.com/serviceaccount/token y puede asumir el rol y obtener credenciales haciendo algo como:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Abuso de Federación

AWS - Federation Abuse

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAWS - Step Functions Privesc NextAWS - WorkDocs Privesc

Last updated 3 days ago