AWS - Identity Center & SSO Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Initialement proposé dans cet article de blog, il est possible d'envoyer un lien à un utilisateur utilisant AWS SSO qui, si l'utilisateur accepte, permettra à l'attaquant d'obtenir un jeton pour usurper l'identité de l'utilisateur et accéder à tous les rôles auxquels l'utilisateur peut accéder dans le Centre d'identité.
Pour réaliser cette attaque, les prérequis sont :
La victime doit utiliser le Centre d'identité
L'attaquant doit connaître le sous-domaine utilisé par la victime <victimsub>.awsapps.com/start
Avec juste les informations précédentes, l'attaquant pourra envoyer un lien à l'utilisateur qui, s'il est accepté, accordera à l'attaquant l'accès au compte utilisateur AWS.
Trouver le sous-domaine
La première étape de l'attaquant est de découvrir le sous-domaine que l'entreprise victime utilise dans son Centre d'identité. Cela peut être fait via OSINT ou devinette + BF car la plupart des entreprises utiliseront leur nom ou une variation de leur nom ici.
Avec cette info, il est possible d'obtenir la région où le Centre d'identité a été configuré :
Générez le lien pour la victime & Envoyez-le
Exécutez le code suivant pour générer un lien de connexion AWS SSO afin que la victime puisse s'authentifier. Pour la démonstration, exécutez ce code dans une console python et ne la quittez pas car vous aurez besoin de certains objets pour obtenir le token :
Envoyez le lien généré à la victime en utilisant vos incroyables compétences en ingénierie sociale !
Attendez que la victime l'accepte
Si la victime était déjà connectée à AWS, elle n'aura qu'à accepter l'octroi des permissions, si elle ne l'était pas, elle devra se connecter puis accepter l'octroi des permissions. Voici à quoi ressemble l'invite de nos jours :
Obtenez le jeton d'accès SSO
Si la victime a accepté l'invite, exécutez ce code pour générer un jeton SSO en usurpant l'utilisateur :
Le jeton d'accès SSO est valide pendant 8h.
Usurper l'identité de l'utilisateur
C'est amusant de savoir que l'attaque précédente fonctionne même si un "MFA impossible à phisher" (webAuth) est utilisé. Cela est dû au fait que le flux de travail précédent ne quitte jamais le domaine OAuth utilisé. Contrairement à d'autres attaques de phishing où l'utilisateur doit supplanter le domaine de connexion, dans le cas où le flux de code de dispositif est préparé, un code est connu par un dispositif et l'utilisateur peut se connecter même sur une machine différente. Si le prompt est accepté, le dispositif, juste en connaissant le code initial, sera capable de récupérer les identifiants pour l'utilisateur.
Pour plus d'infos à ce sujet, consultez ce post.
Apprenez et pratiquez le Hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)