AWS - API Gateway Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Contournement de l'invocation de l'API

Selon la présentation Attack Vectors for APIs Using AWS API Gateway Lambda Authorizers - Alexandre & Leonardo, les Lambda Authorizers peuvent être configurés en utilisant la syntaxe IAM pour donner des permissions d'invocation des points de terminaison de l'API. Cela est tiré des docs:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Permission",
"Action": [
"execute-api:Execution-operation"
],
"Resource": [
"arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
]
}
]
}

Le problème avec cette façon de donner des permissions pour invoquer des points de terminaison est que le "*" implique "tout" et qu'il n'y a plus de syntaxe regex supportée.

Quelques exemples :

Une règle telle que arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/* afin de donner à chaque utilisateur accès à /dashboard/user/{username} leur donnera accès à d'autres routes telles que /admin/dashboard/createAdmin par exemple.

Notez que "*" ne cesse pas de s'étendre avec des barres obliques, donc, si vous utilisez "*" dans api-id par exemple, cela pourrait également indiquer "n'importe quelle étape" ou "n'importe quelle méthode" tant que la regex finale est toujours valide. Ainsi arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/* Peut valider une requête post pour tester l'étape vers le chemin /prod/GET/dashboard/admin par exemple.

Vous devez toujours avoir clairement en tête ce que vous souhaitez autoriser à accéder et ensuite vérifier si d'autres scénarios sont possibles avec les permissions accordées.

Pour plus d'infos, en plus des docs, vous pouvez trouver du code pour implémenter des autorisateurs dans ce github officiel aws.

Injection de politique IAM

Dans la même discussion, il est exposé que si le code utilise l'entrée utilisateur pour générer les politiques IAM, des jokers (et d'autres tels que "." ou des chaînes spécifiques) peuvent y être inclus dans le but de contourner les restrictions.

Modèle d'URL publique

https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}

Obtenir l'ID de compte à partir de l'URL publique de l'API Gateway

Tout comme avec les buckets S3, les passerelles Data Exchange et Lambda, il est possible de trouver l'ID de compte d'un compte en abusant de la aws:ResourceAccount Policy Condition Key à partir d'une URL publique de l'API Gateway. Cela se fait en trouvant l'ID de compte un caractère à la fois en abusant des jokers dans la section aws:ResourceAccount de la politique. Cette technique permet également d'obtenir les valeurs des tags si vous connaissez la clé du tag (il y en a quelques-unes par défaut intéressantes).

Vous pouvez trouver plus d'informations dans la recherche originale et l'outil conditional-love pour automatiser cette exploitation.

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PRs aux HackTricks et HackTricks Cloud dépôts GitHub.

PreviousAWS - Accounts Unauthenticated Enum NextAWS - Cloudfront Unauthenticated Enum

Last updated 3 days ago

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Permission", "Action": [ "execute-api:Execution-operation" ], "Resource": [ "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path" ] } ] }