AWS - Federation Abuse

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

SAML

Aby uzyskać informacje o SAML, sprawdź:

SAML AttacksHackTricks

Aby skonfigurować Federację Tożsamości przez SAML, wystarczy podać nazwę oraz metadane XML zawierające całą konfigurację SAML (punkty końcowe, certyfikat z kluczem publicznym)

OIDC - Github Actions Abuse

Aby dodać akcję github jako dostawcę tożsamości:

W Typie dostawcy wybierz OpenID Connect.
W URL dostawcy wpisz https://token.actions.githubusercontent.com
Kliknij na Pobierz odcisk palca, aby uzyskać odcisk palca dostawcy
W Odbiorcy wpisz sts.amazonaws.com
Utwórz nową rolę z uprawnieniami, których potrzebuje akcja github oraz politykę zaufania, która ufa dostawcy, jak w poniższym przykładzie:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }

6. Zauważ w poprzedniej polityce, jak tylko **gałąź** z **repozytorium** **organizacji** została autoryzowana z określonym **wyzwalaczem**.
7. **ARN** **roli**, którą akcja github będzie mogła **udawać**, będzie "sekretem", który akcja github musi znać, więc **przechowuj** go w **sekrecie** w **środowisku**.
8. Na koniec użyj akcji github, aby skonfigurować poświadczenia AWS, które będą używane przez workflow:
```yaml
name: 'test AWS Access'

# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main

# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout

jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3

- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession

- run: aws sts get-caller-identity
shell: bash

OIDC - Nadużycie EKS

# Crate an EKS cluster (~10min)
eksctl create cluster --name demo --fargate

# Create an Identity Provider for an EKS cluster
eksctl utils associate-iam-oidc-provider --cluster Testing --approve

Możliwe jest generowanie OIDC providers w klastrze EKS po prostu ustawiając OIDC URL klastra jako nowego dostawcę tożsamości Open ID. To jest powszechna domyślna polityka:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com"
}
}
}
]
}

Ta polityka poprawnie wskazuje, że tylko klaster EKS o id 20C159CDF6F2349B68846BEC03BE031B może przyjąć rolę. Jednak nie wskazuje, który konto usługi może ją przyjąć, co oznacza, że WSZYSTKIE konta usługi z tokenem tożsamości webowej będą mogły przyjąć rolę.

Aby określić, które konto usługi powinno mieć możliwość przyjęcia roli, należy określić warunek, w którym nazwa konta usługi jest określona, na przykład:

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",

Odniesienia

https://www.eliasbrange.dev/posts/secure-aws-deploys-from-github-actions-with-oidc/

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAWS - Basic Information NextAWS - Permissions for a Pentest

Last updated 3 days ago

OIDC - Github Actions Abuse

Aby dodać akcję github jako dostawcę tożsamości:

W Typie dostawcy wybierz OpenID Connect.

W URL dostawcy wpisz https://token.actions.githubusercontent.com

Kliknij na Pobierz odcisk palca, aby uzyskać odcisk palca dostawcy

W Odbiorcy wpisz sts.amazonaws.com

Utwórz nową rolę z uprawnieniami, których potrzebuje akcja github oraz politykę zaufania, która ufa dostawcy, jak w poniższym przykładzie:

6. Zauważ w poprzedniej polityce, jak tylko **gałąź** z **repozytorium** **organizacji** została autoryzowana z określonym **wyzwalaczem**.
7. **ARN** **roli**, którą akcja github będzie mogła **udawać**, będzie "sekretem", który akcja github musi znać, więc **przechowuj** go w **sekrecie** w **środowisku**.
8. Na koniec użyj akcji github, aby skonfigurować poświadczenia AWS, które będą używane przez workflow:
```yaml
name: 'test AWS Access'

# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main

# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout

jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3

- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession

- run: aws sts get-caller-identity
shell: bash

OIDC - Nadużycie EKS

# Crate an EKS cluster (~10min)
eksctl create cluster --name demo --fargate

# Create an Identity Provider for an EKS cluster
eksctl utils associate-iam-oidc-provider --cluster Testing --approve

Możliwe jest generowanie OIDC providers w klastrze EKS po prostu ustawiając OIDC URL klastra jako nowego dostawcę tożsamości Open ID. To jest powszechna domyślna polityka:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com"
}
}
}
]
}

Aby określić, które konto usługi powinno mieć możliwość przyjęcia roli, należy określić warunek, w którym nazwa konta usługi jest określona, na przykład:

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",