AWS - IAM Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

IAM

Aby uzyskać więcej informacji na temat dostępu IAM:

AWS - IAM, Identity Center & SSO Enum

Problem z mylącym zastępcą

Jeśli zezwolisz zewnętrznemu kontu (A) na dostęp do roli w swoim koncie, prawdopodobnie będziesz miał 0 widoczności na to, kto dokładnie może uzyskać dostęp do tego zewnętrznego konta. To jest problem, ponieważ jeśli inne zewnętrzne konto (B) może uzyskać dostęp do zewnętrznego konta (A), możliwe jest, że B również będzie mogło uzyskać dostęp do twojego konta.

Dlatego, zezwalając zewnętrznemu kontu na dostęp do roli w swoim koncie, można określić ExternalId. To jest "tajny" ciąg, który zewnętrzne konto (A) musi określić, aby przyjąć rolę w twojej organizacji. Ponieważ zewnętrzne konto B nie będzie znać tego ciągu, nawet jeśli ma dostęp do A, nie będzie mogło uzyskać dostępu do twojej roli.

Należy jednak zauważyć, że ten ExternalId "tajny" nie jest tajemnicą, każdy, kto może przeczytać politykę przyjmowania roli IAM, będzie mógł go zobaczyć. Ale tak długo, jak zewnętrzne konto A to zna, a zewnętrzne konto B tego nie zna, zapobiega to B nadużywaniu A, aby uzyskać dostęp do twojej roli.

Przykład:

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "Example Corp's AWS Account ID"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "12345"
}
}
}
}

Aby atakujący mógł wykorzystać zdezorientowanego zastępcę, musi w jakiś sposób ustalić, czy podmioty bieżącego konta mogą udawać role w innych kontach.

Nieoczekiwane Zaufania

Wildcard jako podmiot

{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": { "AWS": "*" },
}

Ta polityka zezwala wszystkim AWS na przyjęcie roli.

Usługa jako główny

{
"Action": "lambda:InvokeFunction",
"Effect": "Allow",
"Principal": { "Service": "apigateway.amazonaws.com" },
"Resource": "arn:aws:lambda:000000000000:function:foo"
}

Ta polityka zezwala na każdą konto na skonfigurowanie swojego apigateway, aby wywołać tę Lambdę.

S3 jako główny

"Condition": {
"ArnLike": { "aws:SourceArn": "arn:aws:s3:::source-bucket" },
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}

Jeśli kubeł S3 jest podany jako główny, ponieważ kubeł S3 nie ma identyfikatora konta, jeśli usunięto twój kubeł, a atakujący go stworzył na swoim koncie, mogliby to wykorzystać.

Nieobsługiwane

{
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/AWSLogs/MY_ACCOUNT_ID/*"
}

A common way to avoid Confused Deputy problems is the use of a condition with AWS:SourceArn to check the origin ARN. However, niektóre usługi mogą tego nie wspierać (jak CloudTrail według niektórych źródeł).

References

https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Elastic Beanstalk Post Exploitation NextAWS - KMS Post Exploitation

Last updated 3 days ago