AWS - STS Privesc

htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile sıfırdan başlayarak AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @hacktricks_live'i takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

STS

`sts:AssumeRole`

Her rol, bir rol güven politikası ile oluşturulur, bu politika oluşturulan rolü kimin üstlenebileceğini belirtir. Eğer aynı hesaptan bir rol, bir hesabın onu üstlenebileceğini belirtiyorsa, bu demektir ki hesap rolüne erişebilecek (ve potansiyel olarak yetki yükseltme yapabilecek).

Örneğin, aşağıdaki rol güven politikası herhangi birinin üstlenebileceğini belirtir, bu nedenle herhangi bir kullanıcı yetkileriyle yetki yükseltebilecektir.

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

Aşağıdaki komutu kullanarak bir rol taklit edebilirsiniz:

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

Potansiyel Etki: Rol için ayrıcalık yükseltme.

Bu durumda, izin sts:AssumeRolenin saldırganın ait olduğu bir politikada değil, kötüye kullanmak için rolde belirtilmesi gerektiğini unutmayın. Bir istisna dışında, farklı bir hesaptan bir rolü varsaymak için saldırgan hesabının da rol üzerinde sts:AssumeRole iznine sahip olması gerekmektedir.

`sts:AssumeRoleWithSAML`

Bu role sahip bir güven politikası, SAML ile kimlik doğrulama yapan kullanıcılara rolü taklit etme erişimi sağlar.

Bu izne sahip bir güven politikasının örneği:

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Genel olarak rolü taklit etmek için kimlik bilgileri oluşturmak için şunu kullanabilirsiniz:

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

Ancak hizmet sağlayıcılar, bunu daha kolay hale getirmek için kendi araçlarına sahip olabilirler, örneğin onelogin-aws-assume-role:

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

Potansiyel Etki: Rol için ayrıcalık yükseltme.

`sts:AssumeRoleWithWebIdentity`

Bu izin, bir web kimlik sağlayıcı ile kimlik doğrulaması yapılmış olan mobil, web uygulaması, EKS... kullanıcıları için geçici güvenlik kimlik bilgileri almak için izin verir. Daha fazlasını buradan öğrenin.

Örneğin, bir EKS hizmet hesabı, bir IAM rolünü taklit edebilmeli ise, /var/run/secrets/eks.amazonaws.com/serviceaccount/token yolunda bir belirteçi olacaktır ve aşağıdaki gibi bir işlem yaparak rolü üstlenebilir ve kimlik bilgilerini alabilir:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

Federasyon Kötüye Kullanımı

AWS - Federation Abuse

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter 🐦 @hacktricks_live'da takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

PreviousAWS - SSM Privesc NextAWS - WorkDocs Privesc

Last updated 9 months ago