AWS - API Gateway Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

API Invoke bypass

के अनुसार Attack Vectors for APIs Using AWS API Gateway Lambda Authorizers - Alexandre & Leonardo, Lambda Authorizers को API endpoints को invoke करने के लिए permissions देने के लिए IAM syntax का उपयोग करके कॉन्फ़िगर किया जा सकता है। यह from the docs लिया गया है:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Permission",
"Action": [
"execute-api:Execution-operation"
],
"Resource": [
"arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
]
}
]
}

इस तरीके से एंडपॉइंट्स को इनवोक करने के लिए अनुमति देने की समस्या यह है कि "*" का अर्थ "कुछ भी" है और कोई और regex सिंटैक्स समर्थित नहीं है।

कुछ उदाहरण:

एक नियम जैसे arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/* ताकि प्रत्येक उपयोगकर्ता को /dashboard/user/{username} तक पहुंच मिल सके, उन्हें अन्य मार्गों तक भी पहुंच देगा जैसे कि /admin/dashboard/createAdmin उदाहरण के लिए।

ध्यान दें कि "*" स्लैश के साथ विस्तारित होना बंद नहीं होता, इसलिए, यदि आप उदाहरण के लिए api-id में "*" का उपयोग करते हैं, तो यह "किसी भी चरण" या "किसी भी विधि" को भी इंगित कर सकता है जब तक अंतिम regex अभी भी मान्य है। तो arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/* एक पोस्ट अनुरोध को परीक्षण चरण के लिए पथ /prod/GET/dashboard/admin पर मान्य कर सकता है उदाहरण के लिए।

आपको हमेशा स्पष्ट होना चाहिए कि आप किसे पहुंच देने की अनुमति देना चाहते हैं और फिर जांचें कि क्या अनुमतियों के साथ अन्य परिदृश्य संभव हैं।

अधिक जानकारी के लिए, docs के अलावा, आप इस आधिकारिक aws github में ऑथराइज़र्स को लागू करने के लिए कोड पा सकते हैं।

IAM नीति इंजेक्शन

उसी बातचीत में यह बताया गया है कि यदि कोड उपयोगकर्ता इनपुट का उपयोग करके IAM नीतियों को जनरेट कर रहा है, तो वाइल्डकार्ड (और अन्य जैसे "." या विशिष्ट स्ट्रिंग) को वहां शामिल किया जा सकता है जिसका लक्ष्य प्रतिबंधों को बायपास करना है।

सार्वजनिक URL टेम्पलेट

https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}

सार्वजनिक API गेटवे URL से खाता ID प्राप्त करें

S3 बकेट, डेटा एक्सचेंज और लैम्ब्डा URL गेटवे की तरह, एक सार्वजनिक API गेटवे URL से aws:ResourceAccount नीति स्थिति कुंजी का दुरुपयोग करके एक खाते की खाता ID खोजना संभव है। यह नीति के aws:ResourceAccount अनुभाग में वाइल्डकार्ड का दुरुपयोग करके एक बार में एक अक्षर खाता ID खोजकर किया जाता है। यह तकनीक आपको टैग के मान प्राप्त करने की भी अनुमति देती है यदि आप टैग कुंजी जानते हैं (कुछ डिफ़ॉल्ट दिलचस्प होते हैं)।

आप अधिक जानकारी मूल शोध और इस शोषण को स्वचालित करने के लिए उपकरण conditional-love में पा सकते हैं।

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousAWS - Accounts Unauthenticated Enum NextAWS - Cloudfront Unauthenticated Enum

Last updated 3 days ago

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Permission", "Action": [ "execute-api:Execution-operation" ], "Resource": [ "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path" ] } ] }