AWS - STS Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

STS

AWS Security Token Service (STS) é projetado principalmente para emitir credenciais temporárias e de privilégio limitado. Essas credenciais podem ser solicitadas para usuários do AWS Identity and Access Management (IAM) ou para usuários autenticados (usuários federados).

Dado que o propósito do STS é emitir credenciais para impessoalização de identidade, o serviço é imensamente valioso para escalonamento de privilégios e manutenção de persistência, mesmo que possa não ter uma ampla gama de opções.

Impessoalização de Função

A ação AssumeRole fornecida pelo AWS STS é crucial, pois permite que um principal adquira credenciais para outro principal, essencialmente o impessoalizando. Ao ser invocada, ela responde com um ID de chave de acesso, uma chave secreta e um token de sessão correspondente ao ARN especificado.

Para Testadores de Penetração ou membros da Red Team, essa técnica é instrumental para escalonamento de privilégios (como elaborado aqui). No entanto, vale a pena notar que essa técnica é bastante conspícua e pode não pegar um atacante de surpresa.

Lógica de Assumir Função

Para assumir uma função na mesma conta, se a função a ser assumida estiver permitindo especificamente um ARN de função como em:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<acc_id>:role/priv-role"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

O papel priv-role neste caso, não precisa ser especificamente permitido para assumir esse papel (com essa permissão é suficiente).

No entanto, se um papel estiver permitindo que uma conta o assuma, como em:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<acc_id>:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

O papel que está tentando assumir precisará de uma permissão específica sts:AssumeRole sobre esse papel para assumi-lo.

Se você tentar assumir um papel de uma conta diferente, o papel assumido deve permitir isso (indicando o ARN do papel ou a conta externa), e o papel que está tentando assumir o outro DEVE ter permissões para assumi-lo (neste caso, isso não é opcional, mesmo que o papel assumido esteja especificando um ARN).

Enumeração

# Get basic info of the creds
aws sts get-caller-identity
aws sts get-access-key-info --access-key-id <AccessKeyID>

# Get CLI a session token with current creds
## Using CLI creds
## You cannot get session creds using session creds
aws sts get-session-token
## MFA
aws sts get-session-token --serial-number <arn_device> --token-code <otp_code>

Privesc

Na página a seguir, você pode verificar como abusar das permissões do STS para escalar privilégios:

AWS - STS Privesc

Pós Exploração

AWS - STS Post Exploitation

Persistência

AWS - STS Persistence

Referências

https://blog.christophetd.fr/retrieving-aws-security-credentials-from-the-aws-console/?utm_source=pocket_mylist

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAWS - Step Functions Enum NextAWS - Other Services Enum

Last updated 3 days ago