Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
아이덴티티 풀은 사용자가 임시 자격 증명을 획득할 수 있도록 하여 중요한 역할을 합니다. 이러한 자격 증명은 Amazon S3 및 DynamoDB를 포함한 다양한 AWS 서비스에 접근하는 데 필수적입니다. 아이덴티티 풀의 주목할 만한 기능은 익명 게스트 사용자와 사용자 인증을 위한 다양한 아이덴티티 제공자를 지원한다는 점입니다. 지원되는 아이덴티티 제공자는 다음과 같습니다:
Amazon Cognito 사용자 풀
Facebook, Google, Amazon으로 로그인, Apple로 로그인과 같은 소셜 로그인 옵션
OpenID Connect (OIDC) 호환 제공자
SAML (Security Assertion Markup Language) 아이덴티티 제공자
개발자 인증 아이덴티티
Identity Pool 세션을 생성하려면 먼저 Identity ID를 생성해야 합니다. 이 Identity ID는 해당 사용자의 세션 식별자입니다. 이러한 식별자는 최대 20개의 데이터 세트를 가질 수 있으며, 각 데이터 세트는 최대 1MB의 키-값 쌍을 저장할 수 있습니다.
이는 사용자의 정보를 유지하는 데 유용합니다 (항상 동일한 Identity ID를 사용하는 사용자).
게다가, 서비스 cognito-sync는 이 정보를 관리하고 동기화할 수 있는 서비스입니다 (데이터 세트에서, 스트림 및 SNS 메시지로 정보를 전송하는 등).
Pacu, AWS 취약점 탐지 프레임워크는 이제 "cognito__enum" 및 "cognito__attack" 모듈을 포함하여 계정의 모든 Cognito 자산을 자동으로 열거하고 약한 구성, 접근 제어에 사용되는 사용자 속성 등을 플래그하며, 사용자 생성(여기에는 MFA 지원 포함) 및 수정 가능한 사용자 정의 속성, 사용 가능한 Identity Pool 자격 증명, ID 토큰에서 가정 가능한 역할 등을 기반으로 한 권한 상승을 자동화합니다.
모듈 기능에 대한 설명은 블로그 게시물 2부를 참조하십시오. 설치 지침은 주요 Pacu 페이지를 참조하십시오.
주어진 Identity Pool 및 사용자 풀 클라이언트에 대해 사용자 생성 및 모든 권한 상승 벡터를 시도하는 샘플 cognito__attack 사용법:
샘플 cognito__enum 사용법으로 현재 AWS 계정에서 볼 수 있는 모든 사용자 풀, 사용자 풀 클라이언트, 아이덴티티 풀, 사용자 등을 수집합니다:
Cognito Scanner는 원치 않는 계정 생성 및 아이덴티티 풀 상승을 포함하여 Cognito에 대한 다양한 공격을 구현하는 파이썬 CLI 도구입니다.
더 많은 정보는 https://github.com/padok-team/cognito-scanner 를 확인하세요.
공격자가 인증되지 않은 사용자로서 Cognito 앱에서 AWS 자격 증명을 얻기 위해 알아야 할 유일한 것은 Identity Pool ID이며, 이 ID는 웹/모바일 애플리케이션에 하드코딩되어 있어야 사용될 수 있습니다. ID는 다음과 같이 보입니다: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (무차별 대입 공격이 불가능합니다).
기본적으로 IAM Cognito 인증되지 않은 역할은 Cognito_<Identity Pool name>Unauth_Role로 호출됩니다.
하드코딩된 Identity Pools ID를 찾고 인증되지 않은 사용자를 허용하는 경우, 다음을 사용하여 AWS 자격 증명을 얻을 수 있습니다:
또는 다음 aws cli 명령어를 사용할 수 있습니다:
기본적으로 인증되지 않은 cognito 사용자는 정책을 통해 할당되었더라도 어떤 권한도 가질 수 없습니다. 다음 섹션을 확인하세요.
이전 섹션은 기본 향상된 인증 흐름을 따랐습니다. 이 흐름은 생성된 IAM 역할 세션에 제한적인 세션 정책을 설정합니다. 이 정책은 세션이 이 목록의 서비스만 사용할 수 있도록 허용합니다 (역할이 다른 서비스에 접근할 수 있었더라도).
그러나 Identity pool에 "기본(클래식) 흐름"이 활성화되어 있으면, 사용자는 해당 흐름을 사용하여 제한적인 세션 정책이 없는 세션을 얻을 수 있습니다.
이 오류가 발생하는 경우, 기본 흐름이 활성화되지 않았기 때문입니다 (기본값)
An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.
IAM 자격 증명이 있는 경우 어떤 접근 권한이 있는지 확인하고 권한 상승을 시도해야 합니다.
인증된 사용자는 다른 권한이 부여될 수 있으므로, 앱 내에서 가입할 수 있다면 그렇게 시도하여 새로운 자격 증명을 얻으세요.
인증된 사용자가 Identity Pool에 접근할 수 있는 역할이 있을 수도 있습니다.
이를 위해 아이덴티티 제공자에 접근해야 할 수 있습니다. 만약 그것이 Cognito 사용자 풀이라면, 기본 동작을 악용하여 새 사용자를 직접 생성할 수 있을지도 모릅니다.
IAM Cognito 인증 역할은 기본적으로 Cognito_<Identity Pool name>Auth_Role로 생성됩니다.
어쨌든, 다음 예제는 Identity Pool에 접근하기 위해 사용되는 Cognito 사용자 풀에 이미 로그인했다고 가정합니다 (다른 유형의 아이덴티티 제공자도 구성될 수 있다는 점을 잊지 마세요).
사용자가 로그인하는 아이덴티티 제공자에 따라 다른 IAM 역할을 구성할 수 있습니다 또는 사용자에 따라 (클레임을 사용하여) 다를 수 있습니다. 따라서 동일한 또는 다른 제공자를 통해 다양한 사용자에 접근할 수 있다면, 모든 사용자의 IAM 역할에 로그인하고 접근하는 것이 가치가 있을 수 있습니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
