Cognito User Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Maktaba ya mtumiaji ni directory ya watumiaji katika Amazon Cognito. Kwa maktaba ya mtumiaji, watumiaji wako wanaweza kuingia kwenye programu yako ya wavuti au simu kupitia Amazon Cognito, au kuunganishwa kupitia mtoa huduma wa utambulisho wa third-party (IdP). Iwe watumiaji wako wanaingia moja kwa moja au kupitia upande wa tatu, wanachama wote wa maktaba ya mtumiaji wana wasifu wa directory ambao unaweza kufikia kupitia SDK.

Maktaba za watumiaji zinatoa:

Huduma za kujiandikisha na kuingia.
UI ya wavuti iliyojengwa ndani, inayoweza kubadilishwa ili kuingia watumiaji.
Kuingia kwa kijamii na Facebook, Google, Login with Amazon, na Sign in with Apple, na kupitia mtoa huduma wa utambulisho wa SAML na OIDC kutoka kwa maktaba yako ya watumiaji.
Usimamizi wa directory ya watumiaji na wasifu wa watumiaji.
Vipengele vya usalama kama uthibitishaji wa hatua nyingi (MFA), ukaguzi wa akidi zilizovunjika, ulinzi wa kuchukua akaunti, na uthibitishaji wa simu na barua pepe.
Mifumo iliyobadilishwa na uhamaji wa watumiaji kupitia AWS Lambda triggers.

Msimbo wa chanzo wa programu mara nyingi pia utakuwa na ID ya maktaba ya mtumiaji na ID ya programu ya mteja, (na wakati mwingine siri ya programu?) ambazo zinahitajika kwa mtumiaji kuingia kwenye Maktaba ya Mtumiaji ya Cognito.

Potential attacks

Usajili: Kwa default mtumiaji anaweza kujiandikisha mwenyewe, hivyo anaweza kuunda mtumiaji kwa ajili yake mwenyewe.
Uainishaji wa watumiaji: Kazi ya usajili inaweza kutumika kupata majina ya watumiaji ambayo tayari yapo. Taarifa hii inaweza kuwa muhimu kwa shambulio la brute-force.
Kuingia kwa brute-force: Katika sehemu ya Uthibitishaji una mbinu zote ambazo mtumiaji anapaswa kuingia, unaweza kujaribu kuingia kwa nguvu kupata akidi halali.

Tools for pentesting

Pacu, sasa inajumuisha moduli za cognito__enum na cognito__attack ambazo zinafanya otomatiki uainishaji wa mali zote za Cognito katika akaunti na kuashiria mipangilio dhaifu, sifa za mtumiaji zinazotumika kwa udhibiti wa ufikiaji, nk, na pia zinafanya otomatiki uundaji wa watumiaji (ikiwemo msaada wa MFA) na kupandisha hadhi kulingana na sifa za kawaida zinazoweza kubadilishwa, akidi zinazoweza kutumika, majukumu yanayoweza kuchukuliwa katika token za id, nk. Kwa maelezo ya kazi za moduli angalia sehemu ya 2 ya blog post. Kwa maelekezo ya usakinishaji angalia ukurasa mkuu wa Pacu.

# Run cognito__enum usage to gather all user pools, user pool clients, identity pools, users, etc. visible in the current AWS account
Pacu (new:test) > run cognito__enum

# cognito__attack usage to attempt user creation and all privesc vectors against a given identity pool and user pool client:
Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Cognito Scanner ni chombo cha CLI katika python ambacho kinatekeleza mashambulizi tofauti kwenye Cognito ikiwa ni pamoja na uundaji wa akaunti zisizohitajika na oracle ya akaunti. Angalia hii kiungo kwa maelezo zaidi.

# Install
pip install cognito-scanner
# Run
cognito-scanner --help

CognitoAttributeEnum: Hii skripti inaruhusu kuhesabu sifa halali za watumiaji.

python cognito-attribute-enu.py -client_id 16f1g98bfuj9i0g3f8be36kkrl

Usajili

User Pools inaruhusu kwa default kujiandikisha watumiaji wapya.

aws cognito-idp sign-up --client-id <client-id> \
--username <username> --password <password> \
--region <region> --no-sign-request

Ikiwa mtu yeyote anaweza kujiandikisha

Unaweza kupata kosa linaloonyesha kuwa unahitaji kutoa maelezo zaidi kuhusu mtumiaji:

An error occurred (InvalidParameterException) when calling the SignUp operation: Attributes did not conform to the schema: address: The attribute is required

Unaweza kutoa maelezo yanayohitajika kwa JSON kama:

--user-attributes '[{"Name": "email", "Value": "carlospolop@gmail.com"}, {"Name":"gender", "Value": "M"}, {"Name": "address", "Value": "street"}, {"Name": "custom:custom_name", "Value":"supername&\"*$"}]'

Unaweza kutumia hii kazi pia kuorodhesha watumiaji waliopo. Hii ni ujumbe wa kosa wakati mtumiaji tayari yupo na jina hilo:

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

Kumbuka katika amri iliyopita jinsi sifa za kawaida zinaanza na "custom:". Pia fahamu kwamba unapojisajili huwezi kuunda sifa mpya za kawaida kwa mtumiaji. Unaweza tu kutoa thamani kwa sifa za kawaida (hata kama hazihitajiki) na sifa za kawaida zilizotajwa.

Au tu kujaribu ikiwa kitambulisho cha mteja kinapatikana. Hii ndiyo hitilafu ikiwa kitambulisho cha mteja hakipo:

An error occurred (ResourceNotFoundException) when calling the SignUp operation: User pool client 3ig612gjm56p1ljls1prq2miut does not exist.

Ikiwa ni admin pekee ndiye anaweza kujiandikisha watumiaji

Utapata kosa hili na huwezi kujiandikisha au kuhesabu watumiaji:

An error occurred (NotAuthorizedException) when calling the SignUp operation: SignUp is not permitted for this user pool

Verifying Registration

Cognito inaruhusu kuhakiki mtumiaji mpya kwa kuangalia barua pepe yake au nambari ya simu. Hivyo, unapounda mtumiaji kwa kawaida utahitajika angalau jina la mtumiaji na nenosiri na barua pepe na/au nambari ya simu. Weka tu moja unayoimiliki ili upokee msimbo wa kuhakiki akaunti yako mpya ya mtumiaji iliyoundwa kama hii:

aws cognito-idp confirm-sign-up --client-id <cliet_id> \
--username aasdasd2 --confirmation-code <conf_code> \
--no-sign-request --region us-east-1

Hata kama inaonekana unaweza kutumia barua pepe hiyo hiyo na nambari ya simu, unapohitaji kuthibitisha mtumiaji aliyeundwa, Cognito italamika kuhusu kutumia taarifa hizo hizo na haitakuruhusu kuthibitisha akaunti.

Kuinua Mamlaka / Kusasisha Sifa

Kwa default, mtumiaji anaweza kubadilisha thamani ya sifa zake kwa kutumia kitu kama:

aws cognito-idp update-user-attributes \
--region us-east-1 --no-sign-request \
--user-attributes Name=address,Value=street \
--access-token <access token>

Uhamasishaji wa haki za sifa za kawaida

Unaweza kupata sifa za kawaida zikitumika (kama isAdmin), kwani kwa kawaida unaweza kubadilisha thamani za sifa zako unaweza kuwa na uwezo wa kuongeza haki kwa kubadilisha thamani mwenyewe!

Uhamasishaji wa mabadiliko ya barua pepe/jina la mtumiaji

Unaweza kutumia hii kubadilisha barua pepe na nambari ya simu ya mtumiaji, lakini kisha, hata kama akaunti inabaki kuwa imethibitishwa, sifa hizo zimewekwa katika hali ya kuthibitishwa (unahitaji kuzithibitisha tena).

Hutaweza kuingia kwa barua pepe au nambari ya simu hadi uzithibitisha, lakini utaweza kuingia kwa jina la mtumiaji. Kumbuka kwamba hata kama barua pepe ilibadilishwa na haijathibitishwa itaonekana katika Token ya ID ndani ya email sehemu na sehemu email_verified itakuwa false, lakini ikiwa programu haiangalii hiyo unaweza kujifanya kuwa watumiaji wengine.

Zaidi ya hayo, kumbuka kwamba unaweza kuweka chochote ndani ya name sehemu kwa kubadilisha sifa ya jina. Ikiwa programu inafanya ukaguzi wa sehemu hiyo kwa sababu fulani badala ya email (au sifa nyingine yoyote) unaweza kuwa na uwezo wa kujifanya kuwa watumiaji wengine.

Hata hivyo, ikiwa kwa sababu fulani umebadilisha barua pepe yako kwa mfano kuwa mpya unayoweza kufikia unaweza kuthibitisha barua pepe hiyo kwa nambari uliyopokea katika anwani hiyo ya barua pepe:

aws cognito-idp verify-user-attribute \
--access-token <access_token> \
--attribute-name email --code <code> \
--region <region> --no-sign-request

Tumia phone_number badala ya email kubadilisha/thibitisha nambari mpya ya simu.

Msimamizi pia anaweza kuwezesha chaguo la kuingia kwa kutumia jina la mtumiaji linalopendekezwa na mtumiaji. Kumbuka kwamba huwezi kubadilisha thamani hii kuwa jina lolote la mtumiaji au preferred_username ambalo tayari linatumika kuiga mtumiaji tofauti.

Rejesha/Badilisha Nenosiri

Inawezekana kurejesha nenosiri kwa kujua tu jina la mtumiaji (au email au simu inakubalika) na kuwa na ufikiaji kwake kwani nambari itatumwa huko:

aws cognito-idp forgot-password \
--client-id <client_id> \
--username <username/email/phone> --region <region>

Majibu ya seva daima yatakuwa chanya, kama vile jina la mtumiaji lilipo. Huwezi kutumia njia hii kuhesabu watumiaji.

Kwa msimbo unaweza kubadilisha nenosiri kwa:

aws cognito-idp confirm-forgot-password \
--client-id <client_id> \
--username <username> \
--confirmation-code <conf_code> \
--password <pwd> --region <region>

Ili kubadilisha nenosiri unahitaji kujua nenosiri la awali:

aws cognito-idp change-password \
--previous-password <value> \
--proposed-password <value> \
--access-token <value>

Authentication

Mkusanyiko wa watumiaji unasaidia njia tofauti za kuthibitisha kwake. Ikiwa una jina la mtumiaji na nenosiri kuna pia mbinu tofauti zinazosaidiwa kuingia. Zaidi ya hayo, wakati mtumiaji anathibitishwa katika Mkusanyiko aina 3 za tokeni hutolewa: ID Token, Access token na Refresh token.

ID Token: Inajumuisha madai kuhusu utambulisho wa mtumiaji aliyethibitishwa, kama vile name, email, na phone_number. ID token inaweza pia kutumika kuwatambulisha watumiaji kwenye seva zako za rasilimali au programu za seva. Lazima uthibitishe sahihi ya ID token kabla hujaweza kuamini madai yoyote ndani ya ID token ikiwa unaitumia katika programu za nje.
ID Token ndiyo token ambayo ina thamani za sifa za mtumiaji, hata zile za kawaida.
Access Token: Inajumuisha madai kuhusu mtumiaji aliyethibitishwa, orodha ya makundi ya mtumiaji, na orodha ya mipaka. Lengo la access token ni kuidhinisha operesheni za API katika muktadha wa mtumiaji katika mkusanyiko wa watumiaji. Kwa mfano, unaweza kutumia access token kumpatia mtumiaji wako ufikiaji wa kuongeza, kubadilisha, au kufuta sifa za mtumiaji.
Refresh Token: Kwa kutumia refresh tokens unaweza kupata ID Tokens na Access Tokens mpya kwa mtumiaji hadi refresh token iwe batili. Kwa kawaida, refresh token inaisha siku 30 baada ya mtumiaji wa programu yako kuingia kwenye mkusanyiko wako wa watumiaji. Unapounda programu kwa mkusanyiko wako wa watumiaji, unaweza kuweka muda wa kumalizika wa refresh token wa programu kuwa thamani yoyote kati ya dakika 60 na miaka 10.

ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH

Hii ni mchakato wa uthibitishaji upande wa seva:

Programu ya upande wa seva inaita AdminInitiateAuth API operation (badala ya InitiateAuth). Operesheni hii inahitaji akreditif za AWS zenye ruhusa zinazojumuisha cognito-idp:AdminInitiateAuth na cognito-idp:AdminRespondToAuthChallenge. Operesheni inarudisha vigezo vya uthibitishaji vinavyohitajika.
Baada ya programu ya upande wa seva kuwa na vigezo vya uthibitishaji, inaita AdminRespondToAuthChallenge API operation. Operesheni ya AdminRespondToAuthChallenge inafanikiwa tu unapotoa akreditif za AWS.

Hii mbinu HAIRUHUSIWI kwa kawaida.

Ili kuingia unahitaji kujua:

kitambulisho cha mkusanyiko wa watumiaji
kitambulisho cha mteja
jina la mtumiaji
nenosiri
siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

Ili uweze kuingia kwa njia hii programu hiyo lazima iruhusu kuingia na ALLOW_ADMIN_USER_PASSWORD_AUTH. Zaidi ya hayo, ili kufanya kitendo hiki unahitaji akreditif zenye ruhusa cognito-idp:AdminInitiateAuth na cognito-idp:AdminRespondToAuthChallenge

aws cognito-idp admin-initiate-auth \
--client-id <client-id> \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'
--user-pool-id "<pool-id>"

# Check the python code to learn how to generate the hsecret_hash

Kanuni ya Kuingia

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

def get_secret_hash(username, client_id, client_secret): key = bytes(client_secret, 'utf-8') message = bytes(f'{username}{client_id}', 'utf-8') return base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode()

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.admin_initiate_auth( UserPoolId=user_pool_id, ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_PASSWORD\_AUTH

Hii mbinu ni mchakato mwingine rahisi na **wa jadi wa uthibitishaji wa mtumiaji na nenosiri**. Inapendekezwa **kuhamasisha mbinu ya jadi** ya uthibitishaji **kwenda Cognito** na **inapendekezwa** kisha **kuzimwa** na **kutumia** mbinu ya **ALLOW\_USER\_SRP\_AUTH** badala yake (kwa sababu hiyo haitumii nenosiri kwenye mtandao).\
Hii **mbinu HAIRUHUSIWI** kwa default.

Tofauti kuu na **mbinu ya uthibitishaji ya awali** ndani ya msimbo ni kwamba **huhitaji kujua ID ya kundi la watumiaji** na kwamba **huhitaji ruhusa za ziada** katika Kundi la Watumiaji la Cognito.

Ili **kuingia** unahitaji kujua:

* kitambulisho cha mteja
* jina la mtumiaji
* nenosiri
* siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

<div data-gb-custom-block data-tag="hint" data-style='info'>

Ili uweze **kuingia kwa mbinu hii** programu hiyo lazima iruhusu kuingia kwa ALLOW\_USER\_PASSWORD\_AUTH.

</div>

```python
aws cognito-idp initiate-auth  --client-id <client-id> \
--auth-flow USER_PASSWORD_AUTH --region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'

# Check the python code to learn how to generate the secret_hash

REFRESH_TOKEN_AUTH & REFRESH_TOKEN

Hii mbinu daima itakuwa halali (haiwezi kuzuiwa) lakini unahitaji kuwa na tokeni halali ya refresha.

aws cognito-idp initiate-auth \
--client-id 3ig6h5gjm56p1ljls1prq2miut \
--auth-flow REFRESH_TOKEN_AUTH \
--region us-east-1 \
--auth-parameters 'REFRESH_TOKEN=<token>'

PreviousCognito Identity Pools NextAWS - DataPipeline, CodePipeline & CodeCommit Enum

Last updated 8 days ago