AWS - API Gateway Unauthenticated Enum

Učite i vežbajte AWS Hacking:HackTricks Obuka AWS Red Team Ekspert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Obuka GCP Red Team Ekspert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

API Invoke zaobilaženje

Prema predavanju Napadi Vektori za API-je koristeći AWS API Gateway Lambda Autorizatore - Alexandre & Leonardo, Lambda Autorizatori mogu biti konfigurisani koristeći IAM sintaksu da daju dozvole za pozivanje API krajnjih tačaka. Ovo je preuzeto iz dokumentacije:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Permission",
"Action": [
"execute-api:Execution-operation"
],
"Resource": [
"arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
]
}
]
}

The problem with this way to give permissions to invoke endpoints is that the "*" implicira "bilo šta" i da nema više regex sintakse podržane.

Some examples:

Pravilo kao što je arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/* kako bi se svakom korisniku omogućio pristup /dashboard/user/{username} će im omogućiti pristup i drugim rutama kao što je /admin/dashboard/createAdmin, na primer.

Napomena da "*" ne prestaje da se širi sa kosim crticama, stoga, ako koristite "*" u api-id, na primer, to može takođe označavati "bilo koju fazu" ili "bilo koju metodu" sve dok je konačni regex još uvek validan. Dakle, arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/* Može validirati post zahtev za test fazu na putanji /prod/GET/dashboard/admin, na primer.

Trebalo bi uvek da imate jasno šta želite da dozvolite da pristupi i zatim proverite da li su drugi scenariji mogući sa dodeljenim dozvolama.

Za više informacija, osim dokumentacije, možete pronaći kod za implementaciju autorizatora u ovom zvaničnom aws github-u.

IAM Policy Injection

U istoj prezentaciji je izložena činjenica da ako kod koristi ulaz korisnika za generisanje IAM politika, džokeri (i drugi kao što su "." ili specifične stringove) mogu biti uključeni sa ciljem obilaženja ograničenja.

Public URL template

https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}

Dobijanje ID-a naloga sa javnog API Gateway URL-a

Baš kao i sa S3 kanticama, Data Exchange i Lambda URL-ovima, moguće je pronaći ID naloga koristeći aws:ResourceAccount Policy Condition Key iz javnog API Gateway URL-a. To se radi pronalaženjem ID-a naloga jedan po jedan karakter koristeći džokere u aws:ResourceAccount sekciji politike. Ova tehnika takođe omogućava dobijanje vrednosti oznaka ako znate ključ oznake (ima nekoliko podrazumevanih zanimljivih).

Možete pronaći više informacija u originalnom istraživanju i alatu conditional-love za automatizaciju ove eksploatacije.

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAWS - Accounts Unauthenticated Enum NextAWS - Cloudfront Unauthenticated Enum

Last updated 3 days ago

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Permission", "Action": [ "execute-api:Execution-operation" ], "Resource": [ "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path" ] } ] }