Cognito Identity Pools
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Los grupos de identidad desempeñan un papel crucial al permitir que sus usuarios adquieran credenciales temporales. Estas credenciales son esenciales para acceder a varios servicios de AWS, incluyendo, pero no limitado a, Amazon S3 y DynamoDB. Una característica notable de los grupos de identidad es su soporte tanto para usuarios anónimos como para una variedad de proveedores de identidad para la autenticación de usuarios. Los proveedores de identidad compatibles incluyen:
Grupos de usuarios de Amazon Cognito
Opciones de inicio de sesión social como Facebook, Google, Login with Amazon y Sign in with Apple
Proveedores compatibles con OpenID Connect (OIDC)
Proveedores de identidad SAML (Security Assertion Markup Language)
Identidades autenticadas por desarrolladores
Para generar sesiones de Identity Pool, primero necesitas generar un Identity ID. Este Identity ID es la identificación de la sesión de ese usuario. Estas identificaciones pueden tener hasta 20 conjuntos de datos que pueden almacenar hasta 1MB de pares clave-valor.
Esto es útil para mantener información de un usuario (que siempre estará usando el mismo Identity ID).
Además, el servicio cognito-sync es el servicio que permite gestionar y sincronizar esta información (en los conjuntos de datos, enviando información en flujos y mensajes de SNS...).
Pacu, el marco de explotación de AWS, ahora incluye los módulos "cognito__enum" y "cognito__attack" que automatizan la enumeración de todos los activos de Cognito en una cuenta y marcan configuraciones débiles, atributos de usuario utilizados para el control de acceso, etc., y también automatizan la creación de usuarios (incluido el soporte de MFA) y la escalada de privilegios basada en atributos personalizados modificables, credenciales de pool de identidad utilizables, roles asumibles en tokens de id, etc.
Para una descripción de las funciones de los módulos, consulta la parte 2 del blog post. Para instrucciones de instalación, consulta la página principal de Pacu.
Ejemplo de uso de cognito__attack para intentar la creación de usuarios y todos los vectores de privesc contra un pool de identidad y cliente de pool de usuarios dados:
Ejemplo de uso de cognito__enum para recopilar todos los grupos de usuarios, clientes de grupos de usuarios, grupos de identidad, usuarios, etc. visibles en la cuenta de AWS actual:
Cognito Scanner es una herramienta CLI en python que implementa diferentes ataques en Cognito, incluyendo la creación no deseada de cuentas y la escalación de grupos de identidad.
Para más información, consulta https://github.com/padok-team/cognito-scanner
Lo único que un atacante necesita saber para obtener credenciales de AWS en una aplicación de Cognito como usuario no autenticado es el ID del Pool de Identidad, y este ID debe estar codificado en la aplicación web/móvil para que se use. Un ID se ve así: eu-west-1:098e5341-8364-038d-16de-1865e435da3b
(no se puede forzar por fuerza bruta).
El rol de IAM Cognito no autenticado creado a través de se llama por defecto Cognito_<Nombre del Pool de Identidad>Unauth_Role
Si encuentras un ID de Pool de Identidad codificado y permite usuarios no autenticados, puedes obtener credenciales de AWS con:
O podrías usar los siguientes aws cli commands:
Tenga en cuenta que, por defecto, un cognito usuario NO AUTENTICADO no puede tener ningún permiso, incluso si se le asignó a través de una política. Consulte la siguiente sección.
La sección anterior siguió el flujo de autenticación mejorado por defecto. Este flujo establece una política de sesión restrictiva para la sesión del rol IAM generada. Esta política solo permitirá que la sesión utilice los servicios de esta lista (incluso si el rol tenía acceso a otros servicios).
Sin embargo, hay una manera de eludir esto; si el grupo de identidades tiene habilitado el "Flujo Básico (Clásico)", el usuario podrá obtener una sesión utilizando ese flujo que no tendrá esa política de sesión restrictiva.
Si recibes este error, es porque el flujo básico no está habilitado (por defecto)
An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.
Teniendo un conjunto de credenciales de IAM, deberías verificar qué acceso tienes y tratar de escalar privilegios.
Recuerda que a los usuarios autenticados probablemente se les otorguen permisos diferentes, así que si puedes registrarte dentro de la aplicación, intenta hacerlo y obtén las nuevas credenciales.
También podría haber roles disponibles para usuarios autenticados accediendo al Identity Pool.
Para esto, podrías necesitar tener acceso al proveedor de identidad. Si ese es un Cognito User Pool, tal vez puedas abusar del comportamiento predeterminado y crear un nuevo usuario tú mismo.
El rol autenticado de IAM Cognito creado a través de se llama por defecto Cognito_<Nombre del Identity Pool>Auth_Role
De todos modos, el siguiente ejemplo espera que ya hayas iniciado sesión dentro de un Cognito User Pool utilizado para acceder al Identity Pool (no olvides que otros tipos de proveedores de identidad también podrían estar configurados).
Es posible configurar diferentes roles de IAM dependiendo del proveedor de identidad con el que el usuario esté iniciando sesión o incluso solo dependiendo del usuario (usando claims). Por lo tanto, si tienes acceso a diferentes usuarios a través del mismo o diferentes proveedores, podría valer la pena iniciar sesión y acceder a los roles de IAM de todos ellos.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)