AWS - IAM Post Exploitation

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

IAM

IAM erişimi hakkında daha fazla bilgi için:

AWS - IAM, Identity Center & SSO Enum

Confused Deputy Problemi

Eğer bir dış hesabın (A) hesabınızdaki bir role erişmesine izin verirseniz, muhtemelen o dış hesabın kimler tarafından tam olarak erişilebileceği konusunda 0 görünürlüğe sahip olacaksınız. Bu bir problemdir, çünkü başka bir dış hesap (B) dış hesap (A)'ya erişebiliyorsa, B'nin de hesabınıza erişebilmesi mümkündür.

Bu nedenle, dış bir hesabın hesabınızdaki bir role erişmesine izin verirken bir ExternalId belirtmek mümkündür. Bu, dış hesap (A)'nın organizasyonunuzdaki role geçmek için belirtmesi gereken bir "gizli" dizedir. Dış hesap B bu dizeyi bilmeyeceğinden, A üzerinde erişimi olsa bile rolünüze erişemeyecektir.

Ancak, bu ExternalId "gizli" dizesinin gerçekten bir gizli bilgi olmadığını unutmayın, IAM assume role politikasını okuyabilen herkes bunu görebilir. Ama dış hesap A bunu biliyorsa, ancak dış hesap B bunu bilmiyorsa, bu durum B'nin A'yı kötüye kullanarak rolünüze erişmesini engeller.

Örnek:

{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "Example Corp's AWS Account ID"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "12345"
}
}
}
}

Bir saldırganın karışık bir vekili istismar etmesi için, mevcut hesabın ilkelerinin diğer hesaplarda rollerin taklit edilip edilemeyeceğini bir şekilde bulması gerekecektir.

Beklenmedik Güvenler

Vahşi karakter olarak ilke

{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": { "AWS": "*" },
}

Bu politika tüm AWS'nin rolü üstlenmesine izin verir.

Hizmet ana olarak

{
"Action": "lambda:InvokeFunction",
"Effect": "Allow",
"Principal": { "Service": "apigateway.amazonaws.com" },
"Resource": "arn:aws:lambda:000000000000:function:foo"
}

Bu politika herhangi bir hesabın bu Lambda'yı çağırmak için apigateway'ini yapılandırmasına izin verir.

S3 ana olarak

"Condition": {
"ArnLike": { "aws:SourceArn": "arn:aws:s3:::source-bucket" },
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}

Eğer bir S3 bucket bir principal olarak verilirse, çünkü S3 bucket'ların bir Account ID'si yoktur, eğer bucket'ınızı silerseniz ve saldırgan kendi hesabında oluşturursa, bunu kötüye kullanabilirler.

Desteklenmiyor

{
"Effect": "Allow",
"Principal": {"Service": "cloudtrail.amazonaws.com"},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::myBucketName/AWSLogs/MY_ACCOUNT_ID/*"
}

Confused Deputy problemlerinden kaçınmanın yaygın bir yolu, köken ARN'sini kontrol etmek için AWS:SourceArn ile bir koşul kullanmaktır. Ancak, bazı hizmetler bunu desteklemeyebilir (bazı kaynaklara göre CloudTrail gibi).

Referanslar

https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter'da 🐦 @hacktricks_live** takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - Elastic Beanstalk Post Exploitation NextAWS - KMS Post Exploitation

Last updated 3 days ago