AWS - STS Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

STS

`sts:AssumeRole`

Svaka uloga se kreira sa politikom poverenja uloge, ova politika označava ko može da preuzme kreiranu ulogu. Ako uloga iz iste računa kaže da neki račun može da je preuzme, to znači da će taj račun moći da pristupi ulozi (i potencijalno privesc).

Na primer, sledeća politika poverenja uloge označava da bilo ko može da je preuzme, stoga bilo koji korisnik će moći da privesc na dozvole povezane sa tom ulogom.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

Možete se pretvarati da ste uloga koja se izvršava:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Potencijalni Uticaj: Privesc na ulogu.

Napomena da u ovom slučaju dozvola sts:AssumeRole treba da bude naznačena u ulozi koju treba zloupotrebiti i ne u politici koja pripada napadaču. Sa jednim izuzetkom, da bi se preuzela uloga iz druge naloga napadačev nalog takođe treba da ima sts:AssumeRole nad ulogom.

`sts:GetFederationToken`

Sa ovom dozvolom moguće je generisati akreditive za impersonaciju bilo kog korisnika:

aws sts get-federation-token --name <username>

Ovo je kako se ova dozvola može dati sigurno bez davanja pristupa za oponašanje drugih korisnika:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sts:GetFederationToken",
"Resource": "arn:aws:sts::947247140022:federated-user/${aws:username}"
}
]
}

`sts:AssumeRoleWithSAML`

Politika poverenja sa ovom ulogom omogućava korisnicima koji su autentifikovani putem SAML da se pretvaraju da su uloga.

Primer politike poverenja sa ovom dozvolom je:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Da biste generisali akreditive za impersonaciju uloge, generalno možete koristiti nešto poput:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Ali provajderi mogu imati svoje alate koji olakšavaju ovo, kao što je onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Potencijalni uticaj: Privesc na ulogu.

`sts:AssumeRoleWithWebIdentity`

Ova dozvola omogućava dobijanje skupa privremenih bezbednosnih akreditiva za korisnike koji su autentifikovani u mobilnoj, web aplikaciji, EKS... sa provajderom web identiteta. Saznajte više ovde.

Na primer, ako EKS servisni nalog treba da može da imitira IAM ulogu, imaće token u /var/run/secrets/eks.amazonaws.com/serviceaccount/token i može da preuzme ulogu i dobije akreditive radeći nešto poput:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Zloupotreba federacije

AWS - Federation Abuse

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAWS - Step Functions Privesc NextAWS - WorkDocs Privesc

Last updated 3 days ago