AWS - S3 Unauthenticated Enum

S3 Genel Havuzlar

Bir havuz, herhangi bir kullanıcının havuzun içeriğini listeleyebilmesi durumunda “genel” olarak kabul edilir ve sadece belirli kullanıcılar tarafından havuzun içeriğinin listeleyebileceği veya yazılabileceği durumlarda “özel” olarak kabul edilir.

Şirketlerin havuz izinleri yanlış yapılandırılmış olabilir, bu da her şeye veya AWS'de herhangi bir hesapta kimliği doğrulanmış herkesin erişimine izin verebilir (yani herkes için). Bu tür yanlış yapılandırmalarda bazı eylemlerin gerçekleştirilemeyeceğini unutmayın, çünkü havuzların kendi erişim kontrol listeleri (ACL'ler) olabilir.

AWS-S3 yanlış yapılandırması hakkında burada bilgi edinin: http://flaws.cloud ve http://flaws2.cloud/

AWS Havuzlarını Bulma

Bir web sayfasının bazı kaynakları depolamak için AWS kullanıp kullanmadığını bulmanın farklı yöntemleri:

Enum ve OSINT:

• wappalyzer tarayıcı eklentisini kullanma

• burp kullanarak (web'i tarama) veya sayfada manuel olarak gezinerek tüm yüklenen kaynaklar Geçmiş'e kaydedilecektir.

• Kaynakları kontrol et şu alanlarda:

http://s3.amazonaws.com/[bucket_name]/
http://[bucket_name].s3.amazonaws.com/

• CNAMES kontrol edin, çünkü resources.domain.com CNAME bucket.s3.amazonaws.com olabilir

• https://buckets.grayhatwarfare.com'i kontrol edin, zaten keşfedilmiş açık havuzlar ile bir web.

• havuz adı ve havuz alan adı aynı olmalıdır.

• flaws.cloud IP 52.92.181.107'dir ve oraya giderseniz https://aws.amazon.com/s3/ adresine yönlendirir. Ayrıca, dig -x 52.92.181.107 s3-website-us-west-2.amazonaws.com verir.

• Bir havuz olup olmadığını kontrol etmek için şu adresi ziyaret edebilirsiniz: https://flaws.cloud.s3.amazonaws.com/.

Kaba Kuvvet

Hedef aldığınız şirketle ilgili isimleri kaba kuvvetle deneyerek havuzları bulabilirsiniz:

• https://github.com/sa7mon/S3Scanner

• https://github.com/clario-tech/s3-inspector

• https://github.com/jordanpotti/AWSBucketDump (Potansiyel havuz adları içeren bir liste içerir)

• https://github.com/fellchase/flumberboozle/tree/master/flumberbuckets

• https://github.com/smaranchand/bucky

• https://github.com/tomdev/teh_s3_bucketeers

• https://github.com/RhinoSecurityLabs/Security-Research/tree/master/tools/aws-pentest-tools/s3

• https://github.com/Eilonh/s3crets_scanner

• https://github.com/belane/CloudHunter

# Permutasyonlar oluşturmak için bir kelime listesi oluştur
curl -s https://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt > /tmp/words-s3.txt.temp
curl -s https://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt >>/tmp/words-s3.txt.temp
cat /tmp/words-s3.txt.temp | sort -u > /tmp/words-s3.txt

# Test etmek için alan adları ve alt alan adlarına dayalı bir kelime listesi oluştur
## Bu alan adlarını ve alt alan adlarını subdomains.txt dosyasına yazın
cat subdomains.txt > /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "-" >> /tmp/words-hosts-s3.txt
cat subdomains.txt | tr "." "\n" | sort -u >> /tmp/words-hosts-s3.txt

# Saldırı için alan adları ve alt alan adları ile bir listeye dayalı permutasyonlar oluştur
goaltdns -l /tmp/words-hosts-s3.txt -w /tmp/words-s3.txt -o /tmp/final-words-s3.txt.temp
## Önceki araç, alt alanlar için permutasyonlar oluşturma konusunda uzmanlaşmıştır, bu listeyi filtreleyelim
### "." ile biten satırları kaldır
cat /tmp/final-words-s3.txt.temp | grep -Ev "\.$" > /tmp/final-words-s3.txt.temp2
### TLD olmadan liste oluştur
cat /tmp/final-words-s3.txt.temp2 | sed -E 's/\.[a-zA-Z0-9]+$//' > /tmp/final-words-s3.txt.temp3
### Noktalar olmadan liste oluştur
cat /tmp/final-words-s3.txt.temp3 | tr -d "." > /tmp/final-words-s3.txt.temp4http://phantom.s3.amazonaws.com/
### Tireler olmadan liste oluştur
cat /tmp/final-words-s3.txt.temp3 | tr "." "-" > /tmp/final-words-s3.txt.temp5

## Nihai kelime listesini oluştur
cat /tmp/final-words-s3.txt.temp2 /tmp/final-words-s3.txt.temp3 /tmp/final-words-s3.txt.temp4 /tmp/final-words-s3.txt.temp5 | grep -v -- "-\." | awk '{print tolower($0)}' | sort -u > /tmp/final-words-s3.txt

## s3scanner'ı çağır
s3scanner --threads 100 scan --buckets-file /tmp/final-words-s3.txt  | grep bucket_exists

S3 Havuzlarını Ele Geçirme

Açık S3 havuzları verildiğinde, BucketLoot otomatik olarak ilginç bilgileri arayabilir.

Bölgeyi Bulma

AWS tarafından desteklenen tüm bölgeleri https://docs.aws.amazon.com/general/latest/gr/s3.html adresinde bulabilirsiniz.

DNS ile

Bir havuzun bölgesini dig ve nslookup kullanarak keşfedilen IP'nin DNS isteğini yaparak alabilirsiniz:

dig flaws.cloud
;; ANSWER SECTION:
flaws.cloud.    5    IN    A    52.218.192.11

nslookup 52.218.192.11
Non-authoritative answer:
11.192.218.52.in-addr.arpa name = s3-website-us-west-2.amazonaws.com.

Kontrol edin ki çözümlenen alan adında "website" kelimesi var. Statik web sitesine erişmek için: flaws.cloud.s3-website-us-west-2.amazonaws.com adresine gidebilirsiniz veya kovaya erişmek için: flaws.cloud.s3-us-west-2.amazonaws.com adresini ziyaret edebilirsiniz.

Deneyerek

Bir kovaya erişmeye çalıştığınızda, ancak belirttiğiniz alan adında başka bir bölge varsa (örneğin, kova bucket.s3.amazonaws.com içindeyse ama siz bucket.s3-website-us-west-2.amazonaws.com adresine erişmeye çalışıyorsanız, o zaman doğru konuma yönlendirileceksiniz:

Kovanın Enumerasyonu

Kovanın açıklığını test etmek için bir kullanıcı sadece URL'yi web tarayıcısına girebilir. Özel bir kova "Erişim Reddedildi" yanıtı verir. Kamuya açık bir kova, depolanan ilk 1.000 nesneyi listeleyecektir.

Herkese açık:

Özel:

Bunu cli ile de kontrol edebilirsiniz:

#Use --no-sign-request for check Everyones permissions
#Use --profile <PROFILE_NAME> to indicate the AWS profile(keys) that youwant to use: Check for "Any Authenticated AWS User" permissions
#--recursive if you want list recursivelyls
#Opcionally you can select the region if you now it
aws s3 ls s3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]

Eğer bucket'ın bir alan adı yoksa, onu listelemeye çalışırken sadece bucket adını yazın ve tüm AWSs3 alan adını değil. Örnek: s3://<BUCKETNAME>

Kamu URL şablonu

https://{user_provided}.s3.amazonaws.com

Kamuya Açık Bucket'tan Hesap Kimliği Alın

Yeni S3:ResourceAccount Politika Koşul Anahtarı'ndan yararlanarak bir AWS hesabını belirlemek mümkündür. Bu koşul, bir hesabın bulunduğu S3 bucket'a dayalı olarak erişimi kısıtlar (diğer hesap tabanlı politikalar, talep eden ilkenin bulunduğu hesaba dayalı olarak kısıtlar). Ve politika joker karakterler içerebildiğinden, hesap numarasını sadece bir rakamda bulmak mümkündür.

Bu araç süreci otomatikleştirir:

# Installation
pipx install s3-account-search
pip install s3-account-search
# With a bucket
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket
# With an object
s3-account-search arn:aws:iam::123456789012:role/s3_read s3://my-bucket/path/to/object.ext

Bu teknik, API Gateway URL'leri, Lambda URL'leri, Data Exchange veri setleri ile çalışır ve hatta etiketlerin değerini almak için (etiket anahtarını biliyorsanız) kullanılabilir. Daha fazla bilgi için orijinal araştırmaya ve bu istismarı otomatikleştirmek için conditional-love aracına bakabilirsiniz.

Bir bucket'ın bir AWS hesabına ait olduğunu doğrulama

bu blog yazısında açıklandığı gibi, bir bucket'ı listeleme izinleriniz varsa bir isteği göndererek bucket'ın ait olduğu accountID'yi doğrulamak mümkündür:

curl -X GET "[bucketname].amazonaws.com/" \
-H "x-amz-expected-bucket-owner: [correct-account-id]"

<?xml version="1.0" encoding="UTF-8"?>
<ListBucketResult xmlns="http://s3.amazonaws.com/doc/2006-03-01/">...</ListBucketResult>

Eğer hata “Erişim Reddedildi” ise, bu hesap kimliğinin yanlış olduğu anlamına gelir.

Root hesap numaralandırması için Kullanılan E-postalar

bu blog yazısında açıklandığı gibi, bir e-posta adresinin herhangi bir AWS hesabıyla ilişkili olup olmadığını bir e-postaya S3 bucket üzerinde ACL'ler aracılığıyla izin vermeyi deneyerek kontrol etmek mümkündür. Eğer bu bir hata tetiklemiyorsa, bu e-posta bazı AWS hesaplarının root kullanıcısıdır:

s3_client.put_bucket_acl(
Bucket=bucket_name,
AccessControlPolicy={
'Grants': [
{
'Grantee': {
'EmailAddress': 'some@emailtotest.com',
'Type': 'AmazonCustomerByEmail',
},
'Permission': 'READ'
},
],
'Owner': {
'DisplayName': 'Whatever',
'ID': 'c3d78ab5093a9ab8a5184de715d409c2ab5a0e2da66f08c2f6cc5c0bdeadbeef'
}
}
)

Referanslar

• https://www.youtube.com/watch?v=8ZXRw4Ry3mQ

• https://cloudar.be/awsblog/finding-the-account-id-of-any-public-s3-bucket/