AWS Pentesting

Temel Bilgiler

AWS ortamında pentesting yapmadan önce, AWS'nin nasıl çalıştığı hakkında bilmeniz gereken birkaç temel şey vardır; bu, ne yapmanız gerektiğini, yanlış yapılandırmaları nasıl bulacağınızı ve bunları nasıl istismar edeceğinizi anlamanıza yardımcı olacaktır.

Organizasyon hiyerarşisi, IAM ve diğer temel kavramlar hakkında açıklamalar için:

Öğrenmek için Laboratuvarlar

• https://github.com/RhinoSecurityLabs/cloudgoat

• https://github.com/BishopFox/iam-vulnerable

• https://github.com/nccgroup/sadcloud

• https://github.com/bridgecrewio/terragoat

• https://github.com/ine-labs/AWSGoat

• http://flaws.cloud/

• http://flaws2.cloud/

Saldırı simülasyonu için araçlar:

• https://github.com/Datadog/stratus-red-team/

• https://github.com/sbasu7241/AWS-Threat-Simulation-and-Detection/tree/main

AWS Pentester/Red Team Metodolojisi

AWS ortamını denetlemek için bilmeniz gereken çok önemli noktalar: hangi hizmetlerin kullanıldığı, neyin açık olduğu, kimin neye erişimi olduğu ve iç AWS hizmetlerinin dış hizmetlerle nasıl bağlantılı olduğudur.

Red Team bakış açısına göre, bir AWS ortamını tehlikeye atmanın ilk adımı bazı kimlik bilgilerini elde etmektir. Bunu nasıl yapacağınıza dair bazı fikirler:

• Github'daki sızıntılar (veya benzeri) - OSINT

• Sosyal Mühendislik

• Şifre tekrar kullanımı (şifre sızıntıları)

• AWS-Hosted Uygulamalardaki Güvenlik Açıkları

• Server Side Request Forgery ile metadata uç noktasına erişim

• Yerel Dosya Okuma

• /home/KULLANICI_ADI/.aws/credentials

• C:\Users\KULLANICI_ADI\.aws\credentials

• 1. tarafların ihlal edilmesi

• İç Çalışan

• Cognito kimlik bilgileri

Ya da kimlik doğrulaması yapılmamış bir hizmeti tehlikeye atarak:

Ya da bir gözden geçirme yapıyorsanız, bu rollerle kimlik bilgilerini isteyebilirsiniz:

Temel Numaralar

SSRF

AWS içindeki bir makinede bir SSRF bulursanız, bu sayfayı ipuçları için kontrol edin:

Cloud SSRFHackTricks

Whoami

Bilmeniz gereken ilk şeylerden biri, kim olduğunuzdur (hangi hesapta olduğunuz ve AWS ortamı hakkında diğer bilgiler):

# Easiest way, but might be monitored?
aws sts get-caller-identity
aws iam get-user # This will get your own user

# If you have a Key ID
aws sts get-access-key-info --access-key-id=ASIA1234567890123456

# Get inside error message
aws sns publish --topic-arn arn:aws:sns:us-east-1:*account id*:aaa --message aaa

# From metadata
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

Org Enumeration

IAM Enumeration

Yeterli izinleriniz varsa, AWS hesabındaki her varlığın ayrıcalıklarını kontrol etmek size ne yapabileceğinizi ve diğer kimliklerin ne yapabileceğini anlamanıza yardımcı olacaktır ve ayrıca ayrıcalıkları artırma yollarını keşfetmenizi sağlar.

IAM'yi listelemek için yeterli izniniz yoksa, bunları bruteforce ile çalabilirsiniz. Listeleme ve bruteforce yapma hakkında bilgi için:

Services Enumeration, Post-Exploitation & Persistence

AWS, şaşırtıcı bir hizmet sayısına sahiptir, aşağıdaki sayfada temel bilgiler, listeleme kılavuzları**,** tespiti önleme, kalıcılık sağlama ve bazıları hakkında diğer sonrası istismar ipuçlarını bulacaksınız:

Tüm çalışmaları manuel olarak yapmanıza gerek olmadığını unutmayın, bu yazıda otomatik araçlar hakkında bir bölüm bulabilirsiniz otomatik araçlar.

Ayrıca, bu aşamada kimlik doğrulaması yapılmamış kullanıcılara daha fazla hizmetin açıldığını keşfetmiş olabilirsiniz, bunları istismar edebilirsiniz:

Privilege Escalation

Farklı kaynaklar üzerindeki en azından kendi izinlerinizi kontrol edebiliyorsanız, daha fazla izin elde edip edemeyeceğinizi kontrol edebilirsiniz. En azından aşağıdaki izinlere odaklanmalısınız:

Publicly Exposed Services

AWS hizmetlerini listeleme sırasında bazı hizmetlerin İnternete elemanlar açtığını bulmuş olabilirsiniz (VM/Konteyner portları, veritabanları veya kuyruk hizmetleri, anlık görüntüler veya bucketlar...). Pentester/kırmızı takım üyesi olarak, her zaman duyarlı bilgiler / zafiyetler bulup bulamayacağınızı kontrol etmelisiniz, çünkü bunlar size AWS hesabına daha fazla erişim sağlayabilir.

Bu kitapta açık AWS hizmetlerini bulma ve bunları kontrol etme hakkında bilgi bulmalısınız. Açık ağ hizmetlerinde zafiyetler bulma hakkında, belirli hizmeti aramanızı öneririm:

HackTricksHackTricks

Compromising the Organization

From the root/management account

Yönetim hesabı organizasyonda yeni hesaplar oluşturduğunda, yeni hesapta varsayılan olarak OrganizationAccountAccessRole adı verilen yeni bir rol oluşturulur ve yönetim hesabına yeni hesaba erişim sağlamak için AdministratorAccess politikası verilir.

Bu nedenle, bir çocuk hesaba yönetici olarak erişmek için şunlara ihtiyacınız var:

• Yönetim hesabını ele geçirmek ve çocuk hesapların ID'sini ve rolün isimlerini (varsayılan olarak OrganizationAccountAccessRole) bulmak, yönetim hesabının yönetici olarak erişmesine izin verir.

• Çocuk hesapları bulmak için AWS konsolundaki organizasyonlar bölümüne gidin veya aws organizations list-accounts komutunu çalıştırın.

• Rollerin adını doğrudan bulamazsınız, bu nedenle tüm özel IAM politikalarını kontrol edin ve daha önce keşfedilen çocuk hesaplar üzerinde sts:AssumeRole izni veren herhangi birini arayın.

• Yönetim hesabındaki bir prensibi çocuk hesaplardaki rol üzerinde sts:AssumeRole izni ile ele geçirin (yönetim hesabından herhangi birinin taklit etmesine izin veren bir hesap olsa bile, dış bir hesap olduğu için belirli sts:AssumeRole izinleri gereklidir).

Automated Tools

Recon

• aws-recon: Ruby ile yazılmış çok iş parçacıklı AWS güvenlik odaklı envanter toplama aracı.

# Install
gem install aws_recon

# Recon and get json
AWS_PROFILE=<profile> aws_recon \
--services S3,EC2 \
--regions global,us-east-1,us-east-2 \
--verbose

• cloudlist: Cloudlist, Bulut Sağlayıcılarından Varlıklar (Ana Bilgisayar İsimleri, IP Adresleri) almak için çoklu bulut aracıdır.

• cloudmapper: CloudMapper, Amazon Web Services (AWS) ortamlarınızı analiz etmenize yardımcı olur. Artık güvenlik sorunları için denetim de dahil olmak üzere çok daha fazla işlevsellik içermektedir.

# Installation steps in github
# Create a config.json file with the aws info, like:
{
"accounts": [
{
"default": true,
"id": "<account id>",
"name": "dev"
}
],
"cidrs":
{
"2.2.2.2/28": {"name": "NY Office"}
}
}

# Enumerate
python3 cloudmapper.py collect --profile dev
## Number of resources discovered
python3 cloudmapper.py stats --accounts dev

# Create HTML report
## In the report you will find all the info already
python3 cloudmapper.py report --accounts dev

# Identify potential issues
python3 cloudmapper.py audit --accounts dev --json > audit.json
python3 cloudmapper.py audit --accounts dev --markdow > audit.md
python3 cloudmapper.py iam_report --accounts dev

# Identify admins
## The permissions search for are in https://github.com/duo-labs/cloudmapper/blob/4df9fd7303e0337ff16a08f5e58f1d46047c4a87/shared/iam_audit.py#L163-L175
python3 cloudmapper.py find_admins --accounts dev

# Identify unused elements
python3 cloudmapper.py find_unused --accounts dev

# Identify publivly exposed resources
python3 cloudmapper.py public --accounts dev

python cloudmapper.py prepare #Prepare webserver
python cloudmapper.py webserver #Show webserver

• cartography: Cartography, Neo4j veritabanası tarafından desteklenen sezgisel bir grafik görünümünde altyapı varlıklarını ve bunlar arasındaki ilişkileri bir araya getiren bir Python aracıdır.

# Install
pip install cartography
## At the time of this writting you need neo4j version 3.5.*

# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt  --neo4j-user neo4j

• starbase: Starbase, bulut altyapısı, SaaS uygulamaları, güvenlik kontrolleri ve daha fazlası dahil olmak üzere hizmetlerden ve sistemlerden varlıkları ve ilişkileri Neo4j veritabanıyla desteklenen sezgisel bir grafik görünümünde toplar.

• aws-inventory: (python2 kullanır) Bu, bir hesapta oluşturulan tüm AWS kaynaklarını keşfetmeye çalışan bir araçtır.

• aws_public_ips: Bu, bir AWS hesabıyla ilişkili tüm genel IP adreslerini (hem IPv4/IPv6) alma aracı.

Privesc & Exploiting

• SkyArk: Taranan AWS ortamındaki en ayrıcalıklı kullanıcıları, AWS Shadow Admin'leri de dahil olmak üzere keşfedin. PowerShell kullanır. Check-PrivilegedPolicy fonksiyonunda ayrıcalıklı politikaların tanımını bulabilirsiniz https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.

• pacu: Pacu, bulut ortamlarına karşı saldırgan güvenlik testleri için tasarlanmış açık kaynaklı bir AWS exploitation framework'üdür. Numaralandırabilir, yanlış yapılandırmaları bulabilir ve bunları istismar edebilir. user_escalation_methods dict içinde https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 adresinde ayrıcalıklı izinlerin tanımını bulabilirsiniz.

• Pacu'nun yalnızca kendi privesc yollarınızı kontrol ettiğini unutmayın (hesap genelinde değil).

# Install
## Feel free to use venvs
pip3 install pacu

# Use pacu CLI
pacu
> import_keys <profile_name> # import 1 profile from .aws/credentials
> import_keys --all # import all profiles
> list # list modules
> exec iam__enum_permissions # Get permissions
> exec iam__privesc_scan # List privileged permissions

• PMapper: Principal Mapper (PMapper), bir AWS hesabı veya AWS organizasyonu için AWS Kimlik ve Erişim Yönetimi (IAM) yapılandırmasındaki riskleri belirlemek için bir script ve kütüphanedir. Farklı IAM Kullanıcıları ve Rolleri, bir hesabın yönlendirilmiş grafiği olarak modellenir; bu, yetki yükseltme ve bir saldırganın AWS'de bir kaynağa veya eyleme erişim kazanmak için alabileceği alternatif yollar için kontroller yapılmasını sağlar. privesc yollarını bulmak için kullanılan izinleri kontrol edebilirsiniz, dosya adları _edges.py ile biten https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing adresinde.

# Install
pip install principalmapper

# Get data
pmapper --profile dev graph create
pmapper --profile dev graph display # Show basic info
# Generate graph
pmapper --profile dev visualize # Generate svg graph file (can also be png, dot and graphml)
pmapper --profile dev visualize --only-privesc # Only privesc permissions

# Generate analysis
pmapper --profile dev analysis
## Run queries
pmapper --profile dev query 'who can do iam:CreateUser'
pmapper --profile dev query 'preset privesc *' # Get privescs with admins

# Get organization hierarchy data
pmapper --profile dev orgs create
pmapper --profile dev orgs display

• cloudsplaining: Cloudsplaining, en az ayrıcalık ihlallerini tespit eden ve risk öncelikli bir HTML raporu oluşturan bir AWS IAM Güvenlik Değerlendirme aracıdır. Bu araç, potansiyel olarak aşırı ayrıcalıklı müşteri, inline ve aws politikalarını ve hangi prensiplerin bunlara erişimi olduğunu gösterecektir. (Bu sadece privesc kontrolü yapmakla kalmaz, aynı zamanda diğer ilginç izin türlerini de kontrol eder, kullanılması önerilir).

# Install
pip install cloudsplaining

# Download IAM policies to check
## Only the ones attached with the versions used
cloudsplaining download --profile dev

# Analyze the IAM policies
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/

• cloudjack: CloudJack, ayrılmış Route53 ve CloudFront yapılandırmaları sonucunda alt alan kaçırma açıklarını değerlendirmek için AWS hesaplarını analiz eder.

• ccat: ECR repo'larını listele -> ECR repo'sunu çek -> Arka kapı ekle -> Arka kapılı görüntüyü it.

• Dufflebag: Dufflebag, yanlışlıkla bırakılmış olabilecek gizli bilgileri bulmak için kamuya açık Elastic Block Storage (EBS) anlık görüntülerini arama yapan bir araçtır.

Denetim

• cloudsploit: Aqua tarafından geliştirilen CloudSploit, Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) ve GitHub dahil olmak üzere bulut altyapısı hesaplarındaki güvenlik risklerini tespit etmeye yönelik açık kaynak bir projedir (ShadowAdmins için arama yapmaz).

./index.js --csv=file.csv --console=table --config ./config.js

# Compiance options: --compliance {hipaa,cis,cis1,cis2,pci}
## use "cis" for cis level 1 and 2

• Prowler: Prowler, AWS güvenlik en iyi uygulamaları değerlendirmeleri, denetimleri, olay müdahalesi, sürekli izleme, sertleştirme ve adli hazırlık yapmak için bir Açık Kaynak güvenlik aracıdır.

# Install python3, jq and git
# Install
pip install prowler
prowler -v

# Run
prowler <provider>
prowler aws --profile custom-profile [-M csv json json-asff html]

• CloudFox: CloudFox, tanıdık olmayan bulut ortamlarında durum farkındalığı kazanmanıza yardımcı olur. Penetrasyon test uzmanları ve diğer saldırgan güvenlik profesyonellerinin bulut altyapısında istismar edilebilir saldırı yollarını bulmalarına yardımcı olmak için oluşturulmuş açık kaynaklı bir komut satırı aracıdır.

cloudfox aws --profile [profile-name] all-checks

• ScoutSuite: Scout Suite, bulut ortamlarının güvenlik durumu değerlendirmesine olanak tanıyan açık kaynaklı çoklu bulut güvenlik denetim aracıdır.

# Install
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help

# Get info
scout aws -p dev

• cs-suite: Bulut Güvenliği Paketi (python2.7 kullanır ve bakımsız görünüyor)

• Zeus: Zeus, AWS EC2 / S3 / CloudTrail / CloudWatch / KMS için güçlü bir en iyi sertleştirme uygulamaları aracıdır (bakımsız görünüyor). Sadece sistem içindeki varsayılan yapılandırılmış kimlik bilgilerini kontrol eder.

Sürekli Denetim

• cloud-custodian: Cloud Custodian, kamu bulut hesaplarını ve kaynaklarını yönetmek için bir kurallar motorudur. Kullanıcılara iyi yönetilen bir bulut altyapısını etkinleştirmek için politikalar tanımlama imkanı verir; bu, hem güvenli hem de maliyet açısından optimize edilmiştir. Birçok kuruluşun el yapımı betiklerini hafif ve esnek bir araca dönüştürerek, birleşik metrikler ve raporlama ile bir araya getirir.

• pacbot: Kod Olarak Politika Botu (PacBot), bulut için sürekli uyum izleme, uyum raporlama ve güvenlik otomasyonu platformudur. PacBot'ta, güvenlik ve uyum politikaları kod olarak uygulanır. PacBot tarafından keşfedilen tüm kaynaklar, politika uyumunu değerlendirmek için bu politikalara karşı değerlendirilir. PacBot'un otomatik düzeltme çerçevesi, önceden tanımlanmış eylemleri alarak politika ihlallerine otomatik olarak yanıt verme yeteneği sağlar.

• streamalert: StreamAlert, herhangi bir ortamdan veri almanıza, analiz etmenize ve uyarı vermenize olanak tanıyan sunucusuz, gerçek zamanlı bir veri analiz çerçevesidir; veri kaynakları ve uyarı mantığını tanımlayarak kullanabilirsiniz. Bilgisayar güvenliği ekipleri, olay tespiti ve yanıtı için her gün terabaytlarca günlük verisini taramak için StreamAlert'ı kullanır.

DEBUG: AWS cli isteklerini yakala

# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080

# Capture with burp nor verifying ssl
aws --no-verify-ssl ...

# Dowload brup cert and transform it to pem
curl http://127.0.0.1:8080/cert --output Downloads/certificate.cer
openssl x509 -inform der -in Downloads/certificate.cer -out Downloads/certificate.pem

# Indicate the ca cert to trust
export AWS_CA_BUNDLE=~/Downloads/certificate.pem

# Run aws cli normally trusting burp cert
aws ...

Referanslar

• https://www.youtube.com/watch?v=8ZXRw4Ry3mQ

• https://cloudsecdocs.com/aws/defensive/tooling/audit/