AWS - Federation Abuse

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

SAML

SAML에 대한 정보는 다음을 확인하세요:

SAML을 통한 Identity Federation을 구성하려면 이름과 모든 SAML 구성(엔드포인트, 공개 키가 포함된 인증서)이 포함된 메타데이터 XML을 제공하면 됩니다.

OIDC - Github Actions Abuse

Identity provider로 github action을 추가하려면:

_Provider type_에서 OpenID Connect를 선택합니다.
_Provider URL_에 https://token.actions.githubusercontent.com를 입력합니다.
_Get thumbprint_를 클릭하여 제공자의 thumbprint를 가져옵니다.
_Audience_에 sts.amazonaws.com을 입력합니다.
github action이 필요로 하는 권한과 제공자를 신뢰하는 신뢰 정책을 가진 새 역할을 생성합니다:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }

6. 이전 정책에서 특정 **트리거**로 **조직**의 **저장소**에서 **브랜치**만 허용된 것을 주목하세요.
7. github action이 **가장할** 수 있는 **역할**의 **ARN**은 github action이 알아야 할 "비밀"이므로, **환경** 내의 **비밀**에 저장합니다.
8. 마지막으로 워크플로우에서 사용할 AWS 자격 증명을 구성하기 위해 github action을 사용합니다:
```yaml
name: 'test AWS Access'

# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main

# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout

jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3

- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession

- run: aws sts get-caller-identity
shell: bash

OIDC - EKS 남용

# Crate an EKS cluster (~10min)
eksctl create cluster --name demo --fargate

# Create an Identity Provider for an EKS cluster
eksctl utils associate-iam-oidc-provider --cluster Testing --approve

EKS 클러스터에서 OIDC URL을 새 Open ID Identity provider로 설정하기만 하면 OIDC providers를 생성할 수 있습니다. 이는 일반적인 기본 정책입니다:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com"
}
}
}
]
}

이 정책은 id 20C159CDF6F2349B68846BEC03BE031B를 가진 EKS 클러스터만 역할을 맡을 수 있음을 올바르게 나타내고 있습니다. 그러나 어떤 서비스 계정이 이를 맡을 수 있는지 나타내지 않으므로, 웹 아이덴티티 토큰을 가진 모든 서비스 계정이 역할을 맡을 수 있게 됩니다.

어떤 서비스 계정이 역할을 맡을 수 있어야 하는지 지정하기 위해서는 서비스 계정 이름이 지정된 조건을 명시해야 합니다, 예를 들어:

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",

References

https://www.eliasbrange.dev/posts/secure-aws-deploys-from-github-actions-with-oidc/

HackTricks 지원하기

구독 계획 확인하기!
**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

PreviousAWS - Basic Information NextAWS - Permissions for a Pentest

Last updated 3 days ago

OIDC - Github Actions Abuse

Identity provider로 github action을 추가하려면:

_Provider type_에서 OpenID Connect를 선택합니다.

_Provider URL_에 https://token.actions.githubusercontent.com를 입력합니다.

_Get thumbprint_를 클릭하여 제공자의 thumbprint를 가져옵니다.

_Audience_에 sts.amazonaws.com을 입력합니다.

github action이 필요로 하는 권한과 제공자를 신뢰하는 신뢰 정책을 가진 새 역할을 생성합니다:

6. 이전 정책에서 특정 **트리거**로 **조직**의 **저장소**에서 **브랜치**만 허용된 것을 주목하세요.
7. github action이 **가장할** 수 있는 **역할**의 **ARN**은 github action이 알아야 할 "비밀"이므로, **환경** 내의 **비밀**에 저장합니다.
8. 마지막으로 워크플로우에서 사용할 AWS 자격 증명을 구성하기 위해 github action을 사용합니다:
```yaml
name: 'test AWS Access'

# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main

# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout

jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3

- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession

- run: aws sts get-caller-identity
shell: bash

OIDC - EKS 남용

# Crate an EKS cluster (~10min)
eksctl create cluster --name demo --fargate

# Create an Identity Provider for an EKS cluster
eksctl utils associate-iam-oidc-provider --cluster Testing --approve

EKS 클러스터에서 OIDC URL을 새 Open ID Identity provider로 설정하기만 하면 OIDC providers를 생성할 수 있습니다. 이는 일반적인 기본 정책입니다:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com"
}
}
}
]
}

어떤 서비스 계정이 역할을 맡을 수 있어야 하는지 지정하기 위해서는 서비스 계정 이름이 지정된 조건을 명시해야 합니다, 예를 들어:

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",