Cognito User Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Μια πισίνα χρηστών είναι ένας κατάλογος χρηστών στο Amazon Cognito. Με μια πισίνα χρηστών, οι χρήστες σας μπορούν να συνδεθούν στην ιστοσελίδα ή την εφαρμογή κινητού σας μέσω του Amazon Cognito, ή να ομοσπονδιοποιηθούν μέσω ενός παρόχου ταυτότητας τρίτου μέρους (IdP). Είτε οι χρήστες σας συνδέονται απευθείας είτε μέσω τρίτου μέρους, όλα τα μέλη της πισίνας χρηστών έχουν ένα προφίλ καταλόγου που μπορείτε να αποκτήσετε πρόσβαση μέσω ενός SDK.

Οι πισίνες χρηστών παρέχουν:

Υπηρεσίες εγγραφής και σύνδεσης.
Μια ενσωματωμένη, προσαρμόσιμη διαδικτυακή διεπαφή για τη σύνδεση χρηστών.
Κοινωνική σύνδεση με Facebook, Google, Σύνδεση με Amazon και Σύνδεση με Apple, και μέσω παρόχων ταυτότητας SAML και OIDC από την πισίνα χρηστών σας.
Διαχείριση καταλόγου χρηστών και προφίλ χρηστών.
Χαρακτηριστικά ασφαλείας όπως η πολυπαραγοντική αυθεντικοποίηση (MFA), έλεγχοι για παραβιασμένα διαπιστευτήρια, προστασία από κατάληψη λογαριασμού και επαλήθευση τηλεφώνου και email.
Προσαρμοσμένες ροές εργασίας και μετανάστευση χρηστών μέσω ενεργοποιήσεων AWS Lambda.

Ο κωδικός πηγής των εφαρμογών θα περιέχει συνήθως επίσης το ID πισίνας χρηστών και το ID εφαρμογής πελάτη, (και μερικές φορές το μυστικό εφαρμογής;) που είναι απαραίτητα για έναν χρήστη να συνδεθεί σε μια Πισίνα Χρηστών Cognito.

Potential attacks

Εγγραφή: Από προεπιλογή, ένας χρήστης μπορεί να εγγραφεί μόνος του, επομένως θα μπορούσε να δημιουργήσει έναν χρήστη για τον εαυτό του.
Αναγνώριση χρηστών: Η λειτουργία εγγραφής μπορεί να χρησιμοποιηθεί για να βρείτε ονόματα χρηστών που ήδη υπάρχουν. Αυτή η πληροφορία μπορεί να είναι χρήσιμη για την επίθεση brute-force.
Brute-force σύνδεση: Στην ενότητα Αυθεντικοποίηση έχετε όλες τις μεθόδους που έχει ένας χρήστης για να συνδεθεί, θα μπορούσατε να προσπαθήσετε να τις επιτεθείτε brute-force για να βρείτε έγκυρα διαπιστευτήρια.

Tools for pentesting

Pacu, τώρα περιλαμβάνει τα modules cognito__enum και cognito__attack που αυτοματοποιούν την αναγνώριση όλων των πόρων Cognito σε έναν λογαριασμό και επισημαίνουν αδύναμες ρυθμίσεις, χαρακτηριστικά χρηστών που χρησιμοποιούνται για έλεγχο πρόσβασης, κ.λπ., και επίσης αυτοματοποιούν τη δημιουργία χρηστών (συμπεριλαμβανομένης της υποστήριξης MFA) και την κλιμάκωση προνομίων με βάση τροποποιήσιμα προσαρμοσμένα χαρακτηριστικά, χρησιμοποιήσιμα διαπιστευτήρια πισίνας ταυτότητας, ρόλους που μπορούν να αναληφθούν σε tokens ταυτότητας, κ.λπ. Για μια περιγραφή των λειτουργιών των modules δείτε το μέρος 2 της δημοσίευσης στο blog. Για οδηγίες εγκατάστασης δείτε τη κύρια σελίδα Pacu.

# Run cognito__enum usage to gather all user pools, user pool clients, identity pools, users, etc. visible in the current AWS account
Pacu (new:test) > run cognito__enum

# cognito__attack usage to attempt user creation and all privesc vectors against a given identity pool and user pool client:
Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Cognito Scanner είναι ένα εργαλείο CLI σε python που υλοποιεί διάφορες επιθέσεις στο Cognito, συμπεριλαμβανομένης της ανεπιθύμητης δημιουργίας λογαριασμού και του oracle λογαριασμού. Δείτε αυτόν τον σύνδεσμο για περισσότερες πληροφορίες.

# Install
pip install cognito-scanner
# Run
cognito-scanner --help

CognitoAttributeEnum: Αυτό το σενάριο επιτρέπει την καταμέτρηση έγκυρων χαρακτηριστικών για χρήστες.

python cognito-attribute-enu.py -client_id 16f1g98bfuj9i0g3f8be36kkrl

Εγγραφή

User Pools επιτρέπει από προεπιλογή να εγγραφούν νέοι χρήστες.

aws cognito-idp sign-up --client-id <client-id> \
--username <username> --password <password> \
--region <region> --no-sign-request

Αν μπορεί οποιοσδήποτε να εγγραφεί

Μπορεί να βρείτε ένα σφάλμα που υποδεικνύει ότι πρέπει να παρέχετε περισσότερες λεπτομέρειες σχετικά με τον χρήστη:

An error occurred (InvalidParameterException) when calling the SignUp operation: Attributes did not conform to the schema: address: The attribute is required

Μπορείτε να παρέχετε τις απαραίτητες λεπτομέρειες με ένα JSON όπως:

--user-attributes '[{"Name": "email", "Value": "carlospolop@gmail.com"}, {"Name":"gender", "Value": "M"}, {"Name": "address", "Value": "street"}, {"Name": "custom:custom_name", "Value":"supername&\"*$"}]'

Μπορείτε να χρησιμοποιήσετε αυτή τη λειτουργία επίσης για να καταγράψετε υπάρχοντες χρήστες. Αυτό είναι το μήνυμα σφάλματος όταν υπάρχει ήδη χρήστης με αυτό το όνομα:

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

Σημειώστε στην προηγούμενη εντολή πώς τα προσαρμοσμένα χαρακτηριστικά ξεκινούν με "custom:". Επίσης, γνωρίζετε ότι κατά την εγγραφή δεν μπορείτε να δημιουργήσετε νέα προσαρμοσμένα χαρακτηριστικά για τον χρήστη. Μπορείτε μόνο να δώσετε τιμή σε προεπιλεγμένα χαρακτηριστικά (ακόμα και αν δεν είναι υποχρεωτικά) και προσαρμοσμένα χαρακτηριστικά που έχουν καθοριστεί.

Ή απλά για να δοκιμάσετε αν υπάρχει ένα client id. Αυτό είναι το σφάλμα αν το client-id δεν υπάρχει:

An error occurred (ResourceNotFoundException) when calling the SignUp operation: User pool client 3ig612gjm56p1ljls1prq2miut does not exist.

Αν μόνο ο διαχειριστής μπορεί να εγγραφεί χρήστες

Θα βρείτε αυτό το σφάλμα και δεν θα μπορείτε να εγγραφείτε ή να καταγράψετε χρήστες:

An error occurred (NotAuthorizedException) when calling the SignUp operation: SignUp is not permitted for this user pool

Verifying Registration

Cognito επιτρέπει να επιβεβαιώσετε έναν νέο χρήστη επιβεβαιώνοντας το email ή τον αριθμό τηλεφώνου του. Επομένως, κατά τη δημιουργία ενός χρήστη, συνήθως θα απαιτείται τουλάχιστον το όνομα χρήστη και ο κωδικός πρόσβασης και το email και/ή αριθμός τηλεφώνου. Απλώς ορίστε ένα που ελέγχετε ώστε να λάβετε τον κωδικό για να επιβεβαιώσετε τον νεοδημιουργηθέντα χρήστη λογαριασμό σας όπως αυτό:

aws cognito-idp confirm-sign-up --client-id <cliet_id> \
--username aasdasd2 --confirmation-code <conf_code> \
--no-sign-request --region us-east-1

Ακόμα και αν φαίνεται ότι μπορείτε να χρησιμοποιήσετε το ίδιο email και τον αριθμό τηλεφώνου, όταν χρειαστεί να επαληθεύσετε τον δημιουργημένο χρήστη, το Cognito θα παραπονεθεί για τη χρήση των ίδιων πληροφοριών και δεν θα σας επιτρέψει να επαληθεύσετε τον λογαριασμό.

Privilege Escalation / Updating Attributes

Από προεπιλογή, ένας χρήστης μπορεί να τροποποιήσει την τιμή των χαρακτηριστικών του με κάτι σαν:

aws cognito-idp update-user-attributes \
--region us-east-1 --no-sign-request \
--user-attributes Name=address,Value=street \
--access-token <access token>

Custom attribute privesc

Μπορείτε να βρείτε προσαρμοσμένα χαρακτηριστικά να χρησιμοποιούνται (όπως το isAdmin), καθώς από προεπιλογή μπορείτε να αλλάξετε τις τιμές των δικών σας χαρακτηριστικών, μπορεί να είστε σε θέση να κλιμακώσετε τα δικαιώματα αλλάζοντας την τιμή μόνοι σας!

Email/username modification privesc

Μπορείτε να το χρησιμοποιήσετε για να τροποποιήσετε το email και τον αριθμό τηλεφώνου ενός χρήστη, αλλά τότε, ακόμη και αν ο λογαριασμός παραμένει επαληθευμένος, αυτά τα χαρακτηριστικά είναι ορισμένα σε μη επαληθευμένη κατάσταση (πρέπει να τα επαληθεύσετε ξανά).

Δεν θα μπορείτε να συνδεθείτε με email ή αριθμό τηλεφώνου μέχρι να τα επαληθεύσετε, αλλά θα μπορείτε να συνδεθείτε με το όνομα χρήστη. Σημειώστε ότι ακόμη και αν το email έχει τροποποιηθεί και δεν έχει επαληθευτεί, θα εμφανίζεται στο ID Token μέσα στο email πεδίο και το πεδίο email_verified θα είναι ψευδές, αλλά αν η εφαρμογή δεν ελέγχει αυτό, μπορεί να μπορέσετε να προσποιηθείτε άλλους χρήστες.

Επιπλέον, σημειώστε ότι μπορείτε να βάλετε οτιδήποτε μέσα στο name πεδίο απλά τροποποιώντας το όνομα χαρακτηριστικού. Αν μια εφαρμογή ελέγχει αυτό το πεδίο για κάποιο λόγο αντί του email (ή οποιουδήποτε άλλου χαρακτηριστικού) μπορεί να είστε σε θέση να προσποιηθείτε άλλους χρήστες.

Ούτως ή άλλως, αν για κάποιο λόγο αλλάξατε το email σας, για παράδειγμα σε ένα νέο που μπορείτε να αποκτήσετε πρόσβαση, μπορείτε να επιβεβαιώσετε το email με τον κωδικό που λάβατε σε αυτή τη διεύθυνση email:

aws cognito-idp verify-user-attribute \
--access-token <access_token> \
--attribute-name email --code <code> \
--region <region> --no-sign-request

Χρησιμοποιήστε phone_number αντί για email για να αλλάξετε/επιβεβαιώσετε έναν νέο αριθμό τηλεφώνου.

Ο διαχειριστής θα μπορούσε επίσης να ενεργοποιήσει την επιλογή για σύνδεση με ένα όνομα χρήστη που προτιμά ο χρήστης. Σημειώστε ότι δεν θα μπορείτε να αλλάξετε αυτή την τιμή σε οποιοδήποτε όνομα χρήστη ή preferred_username που χρησιμοποιείται ήδη για να προσποιηθείτε έναν διαφορετικό χρήστη.

Ανάκτηση/Αλλαγή Κωδικού

Είναι δυνατόν να ανακτήσετε έναν κωδικό απλά γνωρίζοντας το όνομα χρήστη (ή το email ή το τηλέφωνο γίνονται αποδεκτά) και έχοντας πρόσβαση σε αυτό καθώς θα σταλεί εκεί ένας κωδικός:

aws cognito-idp forgot-password \
--client-id <client_id> \
--username <username/email/phone> --region <region>

Η απάντηση του διακομιστή θα είναι πάντα θετική, σαν να υπήρχε το όνομα χρήστη. Δεν μπορείτε να χρησιμοποιήσετε αυτή τη μέθοδο για να καταγράψετε χρήστες.

Με τον κώδικα μπορείτε να αλλάξετε τον κωδικό πρόσβασης με:

aws cognito-idp confirm-forgot-password \
--client-id <client_id> \
--username <username> \
--confirmation-code <conf_code> \
--password <pwd> --region <region>

Για να αλλάξετε τον κωδικό πρόσβασης, πρέπει να γνωρίζετε τον προηγούμενο κωδικό πρόσβασης:

aws cognito-idp change-password \
--previous-password <value> \
--proposed-password <value> \
--access-token <value>

Authentication

Μια ομάδα χρηστών υποστηρίζει διαφορετικούς τρόπους αυθεντικοποίησης σε αυτήν. Αν έχετε ένα όνομα χρήστη και κωδικό πρόσβασης, υπάρχουν επίσης διαφορετικές μέθοδοι που υποστηρίζονται για σύνδεση. Επιπλέον, όταν ένας χρήστης είναι αυθεντικοποιημένος στην ομάδα, δίνονται 3 τύποι διακριτικών: Το ID Token, το Access token και το Refresh token.

ID Token: Περιέχει αξιώσεις σχετικά με την ταυτότητα του αυθεντικοποιημένου χρήστη, όπως name, email και phone_number. Το ID token μπορεί επίσης να χρησιμοποιηθεί για να αυθεντικοποιήσει τους χρήστες στους διακομιστές πόρων ή τις εφαρμογές διακομιστή σας. Πρέπει να επαληθεύσετε την υπογραφή του ID token πριν μπορέσετε να εμπιστευτείτε οποιαδήποτε αξίωση μέσα στο ID token αν το χρησιμοποιείτε σε εξωτερικές εφαρμογές.
Το ID Token είναι το διακριτικό που περιέχει τις τιμές των χαρακτηριστικών του χρήστη, ακόμη και τις προσαρμοσμένες.
Access Token: Περιέχει αξιώσεις σχετικά με τον αυθεντικοποιημένο χρήστη, μια λίστα με τις ομάδες του χρήστη και μια λίστα με τα scopes. Ο σκοπός του access token είναι να εξουσιοδοτήσει τις λειτουργίες API στο πλαίσιο του χρήστη στην ομάδα χρηστών. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το access token για να παρέχετε πρόσβαση στον χρήστη σας για να προσθέσει, να αλλάξει ή να διαγράψει χαρακτηριστικά χρήστη.
Refresh Token: Με τα refresh tokens μπορείτε να πάρετε νέα ID Tokens και Access Tokens για τον χρήστη μέχρι το refresh token να είναι άκυρο. Από προεπιλογή, το refresh token λήγει 30 ημέρες μετά που ο χρήστης της εφαρμογής σας συνδέεται στην ομάδα χρηστών σας. Όταν δημιουργείτε μια εφαρμογή για την ομάδα χρηστών σας, μπορείτε να ορίσετε την ημερομηνία λήξης του refresh token της εφαρμογής σε οποιαδήποτε τιμή μεταξύ 60 λεπτών και 10 ετών.

ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH

Αυτή είναι η ροή αυθεντικοποίησης από την πλευρά του διακομιστή:

Η εφαρμογή από την πλευρά του διακομιστή καλεί τη AdminInitiateAuth API operation (αντί της InitiateAuth). Αυτή η λειτουργία απαιτεί διαπιστευτήρια AWS με δικαιώματα που περιλαμβάνουν cognito-idp:AdminInitiateAuth και cognito-idp:AdminRespondToAuthChallenge. Η λειτουργία επιστρέφει τις απαιτούμενες παραμέτρους αυθεντικοποίησης.
Αφού η εφαρμογή από την πλευρά του διακομιστή έχει τις παραμέτρους αυθεντικοποίησης, καλεί τη AdminRespondToAuthChallenge API operation. Η AdminRespondToAuthChallenge API operation επιτυγχάνει μόνο όταν παρέχετε διαπιστευτήρια AWS.

Αυτή η μέθοδος ΔΕΝ είναι ενεργοποιημένη από προεπιλογή.

Για να συνδεθείτε πρέπει να γνωρίζετε:

id ομάδας χρηστών
client id
όνομα χρήστη
κωδικό πρόσβασης
μυστικό client (μόνο αν η εφαρμογή είναι ρυθμισμένη να χρησιμοποιεί ένα μυστικό)

Για να είστε σε θέση να συνδεθείτε με αυτή τη μέθοδο, η εφαρμογή αυτή πρέπει να επιτρέπει τη σύνδεση με ALLOW_ADMIN_USER_PASSWORD_AUTH. Επιπλέον, για να εκτελέσετε αυτή την ενέργεια χρειάζεστε διαπιστευτήρια με τα δικαιώματα cognito-idp:AdminInitiateAuth και cognito-idp:AdminRespondToAuthChallenge

aws cognito-idp admin-initiate-auth \
--client-id <client-id> \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'
--user-pool-id "<pool-id>"

# Check the python code to learn how to generate the hsecret_hash

Κωδικός για Σύνδεση

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

def get_secret_hash(username, client_id, client_secret): key = bytes(client_secret, 'utf-8') message = bytes(f'{username}{client_id}', 'utf-8') return base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode()

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.admin_initiate_auth( UserPoolId=user_pool_id, ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_PASSWORD\_AUTH

Αυτή η μέθοδος είναι μια άλλη απλή και **παραδοσιακή ροή αυθεντικοποίησης χρήστη & κωδικού πρόσβασης**. Συνιστάται να **μεταφέρετε μια παραδοσιακή** μέθοδο αυθεντικοποίησης **στο Cognito** και **συνιστάται** στη συνέχεια να **απενεργοποιήσετε** αυτήν και **να χρησιμοποιήσετε** τη μέθοδο **ALLOW\_USER\_SRP\_AUTH** αντί (καθώς αυτή ποτέ δεν στέλνει τον κωδικό πρόσβασης μέσω του δικτύου).\
Αυτή η **μέθοδος ΔΕΝ είναι ενεργοποιημένη** από προεπιλογή.

Η κύρια **διαφορά** με την **προηγούμενη μέθοδο αυθεντικοποίησης** μέσα στον κώδικα είναι ότι **δεν χρειάζεται να γνωρίζετε το ID της ομάδας χρηστών** και ότι **δεν χρειάζεστε επιπλέον δικαιώματα** στην Ομάδα Χρηστών Cognito.

Για να **συνδεθείτε** πρέπει να γνωρίζετε:

* client id
* username
* password
* client secret (μόνο αν η εφαρμογή είναι ρυθμισμένη να χρησιμοποιεί ένα μυστικό)

<div data-gb-custom-block data-tag="hint" data-style='info'>

Για να είστε **σε θέση να συνδεθείτε με αυτή τη μέθοδο**, η εφαρμογή πρέπει να επιτρέπει τη σύνδεση με ALLOW\_USER\_PASSWORD\_AUTH.

</div>

```python
aws cognito-idp initiate-auth  --client-id <client-id> \
--auth-flow USER_PASSWORD_AUTH --region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'

# Check the python code to learn how to generate the secret_hash

REFRESH_TOKEN_AUTH & REFRESH_TOKEN

Αυτή η μέθοδος θα είναι πάντα έγκυρη (δεν μπορεί να απενεργοποιηθεί) αλλά χρειάζεστε ένα έγκυρο refresh token.

aws cognito-idp initiate-auth \
--client-id 3ig6h5gjm56p1ljls1prq2miut \
--auth-flow REFRESH_TOKEN_AUTH \
--region us-east-1 \
--auth-parameters 'REFRESH_TOKEN=<token>'

PreviousCognito Identity Pools NextAWS - DataPipeline, CodePipeline & CodeCommit Enum

Last updated 9 days ago