Cognito User Pools

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Kullanıcı havuzu, Amazon Cognito'daki bir kullanıcı dizinidir. Bir kullanıcı havuzu ile kullanıcılarınız Amazon Cognito üzerinden web veya mobil uygulamanıza giriş yapabilir veya üçüncü taraf bir kimlik sağlayıcısı (IdP) aracılığıyla federasyon yapabilir. Kullanıcılarınız doğrudan veya bir üçüncü taraf aracılığıyla giriş yapsa da, kullanıcı havuzunun tüm üyeleri, bir SDK aracılığıyla erişebileceğiniz bir dizin profiline sahiptir.

Kullanıcı havuzları şunları sağlar:

Kayıt ve giriş hizmetleri.
Kullanıcıları giriş yaptırmak için yerleşik, özelleştirilebilir bir web arayüzü.
Facebook, Google, Amazon ile Giriş ve Apple ile Giriş gibi sosyal girişler ve kullanıcı havuzunuzdan SAML ve OIDC kimlik sağlayıcıları aracılığıyla.
Kullanıcı dizini yönetimi ve kullanıcı profilleri.
Çok faktörlü kimlik doğrulama (MFA), ele geçirilmiş kimlik bilgileri için kontroller, hesap ele geçirme koruması ve telefon ve e-posta doğrulaması gibi güvenlik özellikleri.
AWS Lambda tetikleyicileri aracılığıyla özelleştirilmiş iş akışları ve kullanıcı göçü.

Uygulamaların kaynak kodu genellikle kullanıcı havuzu kimliği ve istemci uygulama kimliği (ve bazen uygulama sırrı?) içerir; bunlar bir kullanıcının Cognito Kullanıcı Havuzuna giriş yapması için gereklidir.

Potansiyel saldırılar

Kayıt: Varsayılan olarak bir kullanıcı kendini kaydedebilir, bu nedenle kendisi için bir kullanıcı oluşturabilir.
Kullanıcı numarası belirleme: Kayıt işlevi, zaten var olan kullanıcı adlarını bulmak için kullanılabilir. Bu bilgi, brute-force saldırısı için yararlı olabilir.
Giriş brute-force: Kimlik Doğrulama bölümünde bir kullanıcının giriş yapması için tüm yöntemleri bulabilirsiniz, bunları brute-force ile deneyerek geçerli kimlik bilgilerini bulmaya çalışabilirsiniz.

Pentesting için araçlar

Pacu, artık bir hesapta tüm Cognito varlıklarının sayımını otomatikleştiren ve zayıf yapılandırmaları, erişim kontrolü için kullanılan kullanıcı özniteliklerini vb. işaretleyen cognito__enum ve cognito__attack modüllerini içeriyor ve ayrıca kullanıcı oluşturmayı (MFA desteği dahil) ve değiştirilebilir özel özniteliklere, kullanılabilir kimlik havuzu kimlik bilgilerine, id token'larındaki üstlenilebilir rollere dayalı ayrıcalık yükseltmeyi otomatikleştiriyor. Modüllerin işlevleri hakkında bilgi için blog yazısının 2. kısmına bakın. Kurulum talimatları için ana Pacu sayfasına bakın.

# Run cognito__enum usage to gather all user pools, user pool clients, identity pools, users, etc. visible in the current AWS account
Pacu (new:test) > run cognito__enum

# cognito__attack usage to attempt user creation and all privesc vectors against a given identity pool and user pool client:
Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

Cognito Scanner, istenmeyen hesap oluşturma ve hesap oracle'ı dahil olmak üzere Cognito'ya farklı saldırılar uygulayan bir Python CLI aracıdır. Daha fazla bilgi için bu bağlantıya bakın.

# Install
pip install cognito-scanner
# Run
cognito-scanner --help

CognitoAttributeEnum: Bu script, kullanıcılar için geçerli nitelikleri listelemeye olanak tanır.

python cognito-attribute-enu.py -client_id 16f1g98bfuj9i0g3f8be36kkrl

Kayıt

User Pools, varsayılan olarak yeni kullanıcıların kaydolmasına izin verir.

aws cognito-idp sign-up --client-id <client-id> \
--username <username> --password <password> \
--region <region> --no-sign-request

Eğer herkes kayıt olabiliyorsa

Kullanıcı hakkında daha fazla ayrıntı sağlamanız gerektiğini belirten bir hata bulabilirsiniz:

An error occurred (InvalidParameterException) when calling the SignUp operation: Attributes did not conform to the schema: address: The attribute is required

Aşağıdaki gibi bir JSON ile gerekli bilgileri sağlayabilirsiniz:

--user-attributes '[{"Name": "email", "Value": "carlospolop@gmail.com"}, {"Name":"gender", "Value": "M"}, {"Name": "address", "Value": "street"}, {"Name": "custom:custom_name", "Value":"supername&\"*$"}]'

Bu işlevselliği mevcut kullanıcıları listelemek için de kullanabilirsiniz. O isimle zaten bir kullanıcı varsa hata mesajı:

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

Önceki komutta özel niteliklerin "custom:" ile başladığını not edin. Ayrıca, kayıt sırasında kullanıcı için yeni özel nitelikler oluşturamayacağınızı bilin. Sadece varsayılan niteliklere (gerekli olmasalar bile) ve belirtilen özel niteliklere değer verebilirsiniz.

Ya da sadece bir istemci kimliğinin var olup olmadığını test etmek için. İstemci kimliği yoksa bu hata:

An error occurred (ResourceNotFoundException) when calling the SignUp operation: User pool client 3ig612gjm56p1ljls1prq2miut does not exist.

Eğer yalnızca admin kullanıcıları kaydedebiliyorsa

Bu hatayı bulacaksınız ve kullanıcıları kaydedemeyecek veya listeleyemeyeceksiniz:

An error occurred (NotAuthorizedException) when calling the SignUp operation: SignUp is not permitted for this user pool

Kayıt Doğrulama

Cognito, yeni bir kullanıcıyı e-posta veya telefon numarasını doğrulayarak doğrulamaya olanak tanır. Bu nedenle, bir kullanıcı oluştururken genellikle en az kullanıcı adı ve şifre ile birlikte e-posta ve/veya telefon numarası istenecektir. Sadece kontrol ettiğiniz birini ayarlayın, böylece yeni oluşturduğunuz kullanıcı hesabınızı doğrulamak için kodu alacaksınız:

aws cognito-idp confirm-sign-up --client-id <cliet_id> \
--username aasdasd2 --confirmation-code <conf_code> \
--no-sign-request --region us-east-1

Aynı e-posta ve telefon numarasını kullanabiliyormuş gibi görünse de, oluşturulan kullanıcıyı doğrulamanız gerektiğinde Cognito aynı bilgilerin kullanılmasına itiraz edecek ve hesabı doğrulamanıza izin vermeyecek.

Yetki Yükseltme / Özellikleri Güncelleme

Varsayılan olarak bir kullanıcı özelliklerinin değerini değiştirebilir gibi bir şeyle:

aws cognito-idp update-user-attributes \
--region us-east-1 --no-sign-request \
--user-attributes Name=address,Value=street \
--access-token <access token>

Özel nitelik privesc

Özel nitelikler (örneğin isAdmin) kullanıldığını görebilirsiniz, çünkü varsayılan olarak kendi niteliklerinizin değerlerini değiştirebilirsiniz, bu nedenle değeri kendiniz değiştirerek yetki yükseltme yapabilirsiniz!

E-posta/kullanıcı adı değiştirme privesc

Bir kullanıcının e-posta ve telefon numarasını değiştirmek için bunu kullanabilirsiniz, ancak o zaman, hesap doğrulanmış kalsa bile, bu nitelikler doğrulanmamış durumda ayarlanır (tekrar doğrulamanız gerekir).

E-posta veya telefon numarası ile giriş yapamayacaksınız ta ki onları doğrulayana kadar, ancak kullanıcı adı ile giriş yapabileceksiniz. E-posta değiştirilmiş ve doğrulanmamış olsa bile, email alanında ID Token içinde görünecektir ve email_verified alanı false olacaktır, ancak uygulama bunu kontrol etmiyorsa diğer kullanıcıları taklit edebilirsiniz.

Ayrıca, name alanına sadece name niteliğini değiştirerek istediğiniz her şeyi koyabileceğinizi unutmayın. Eğer bir uygulama o alanı bir nedenle email (veya başka bir nitelik) yerine kontrol ediyorsa, diğer kullanıcıları taklit edebilirsiniz.

Her neyse, e-posta adresinizi örneğin erişebileceğiniz yeni bir e-posta ile değiştirdiyseniz, o e-posta adresinde aldığınız kod ile e-postayı onaylayabilirsiniz:

aws cognito-idp verify-user-attribute \
--access-token <access_token> \
--attribute-name email --code <code> \
--region <region> --no-sign-request

telefon_numarası yerine email kullanarak yeni bir telefon numarasını değiştire/doğrulamak.

Yönetici, kullanıcının tercih ettiği kullanıcı adıyla giriş yapma seçeneğini de etkinleştirebilir. Bu değeri, farklı bir kullanıcıyı taklit etmek için zaten kullanılan herhangi bir kullanıcı adı veya tercih edilen_kullanıcı_adı olarak değiştiremeyeceğinizi unutmayın.

Şifreyi Kurtarma/Değiştirme

Bir şifreyi kurtarmak, sadece kullanıcı adını (veya email veya telefon kabul edilir) bilmek ve oraya bir kod gönderileceği için buna erişim sağlamak mümkündür:

aws cognito-idp forgot-password \
--client-id <client_id> \
--username <username/email/phone> --region <region>

Sunucunun yanıtı her zaman olumlu olacak, sanki kullanıcı adı varmış gibi. Bu yöntemi kullanıcıları listelemek için kullanamazsınız.

Aşağıdaki kod ile şifreyi değiştirebilirsiniz:

aws cognito-idp confirm-forgot-password \
--client-id <client_id> \
--username <username> \
--confirmation-code <conf_code> \
--password <pwd> --region <region>

Şifreyi değiştirmek için önceki şifreyi bilmeniz gerekir:

aws cognito-idp change-password \
--previous-password <value> \
--proposed-password <value> \
--access-token <value>

Kimlik Doğrulama

Bir kullanıcı havuzu farklı kimlik doğrulama yöntemlerini destekler. Eğer bir kullanıcı adı ve şifre varsa, giriş yapmak için de farklı yöntemler desteklenir. Ayrıca, bir kullanıcı Havuzda kimlik doğrulandığında 3 tür token verilir: ID Token, Erişim token ve Yenileme token.

ID Token: Bu, kimliği doğrulanmış kullanıcının name, email ve phone_number gibi iddialarını içerir. ID token, ayrıca kullanıcıları kaynak sunucularınıza veya sunucu uygulamalarınıza kimlik doğrulamak için de kullanılabilir. Dış uygulamalarda kullanıyorsanız, ID token içindeki herhangi bir iddiayı güvenilir kılmadan önce imzayı doğrulamalısınız.
ID Token, kullanıcının özellik değerlerini içeren token'dır, hatta özel olanları bile.
Erişim Token: Bu, kimliği doğrulanmış kullanıcı hakkında iddialar, kullanıcının gruplarının listesi ve kapsamların listesi içerir. Erişim token'ın amacı, kullanıcı havuzundaki kullanıcı bağlamında API işlemlerini yetkilendirmektir. Örneğin, erişim token'ını kullanarak kullanıcınıza kullanıcı özelliklerini ekleme, değiştirme veya silme izni verebilirsiniz.
Yenileme Token: Yenileme token'ları ile kullanıcı için yeni ID Token ve Erişim Token alabilirsiniz, ta ki yenileme token geçersiz olana kadar. Varsayılan olarak, yenileme token'ı, uygulama kullanıcınız kullanıcı havuzunuza giriş yaptığında 30 gün sonra süresi dolmaktadır. Kullanıcı havuzunuz için bir uygulama oluşturduğunuzda, uygulamanın yenileme token süresini 60 dakika ile 10 yıl arasında herhangi bir değere ayarlayabilirsiniz.

ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH

Bu, sunucu tarafı kimlik doğrulama akışıdır:

Sunucu tarafı uygulama, AdminInitiateAuth API işlemini çağırır ( InitiateAuth yerine). Bu işlem, cognito-idp:AdminInitiateAuth ve cognito-idp:AdminRespondToAuthChallenge izinlerini içeren AWS kimlik bilgileri gerektirir. İşlem, gerekli kimlik doğrulama parametrelerini döndürür.
Sunucu tarafı uygulama kimlik doğrulama parametrelerine sahip olduktan sonra, AdminRespondToAuthChallenge API işlemini çağırır. AdminRespondToAuthChallenge API işlemi yalnızca AWS kimlik bilgilerini sağladığınızda başarılı olur.

Bu yöntem varsayılan olarak etkin değildir.

Giriş yapmak için şunları bilmeniz gerekir:

kullanıcı havuzu kimliği
istemci kimliği
kullanıcı adı
şifre
istemci sırrı (sadece uygulama bir sır kullanacak şekilde yapılandırılmışsa)

Bu yöntemle giriş yapabilmek için uygulamanın ALLOW_ADMIN_USER_PASSWORD_AUTH ile giriş yapmaya izin vermesi gerekir. Ayrıca, bu işlemi gerçekleştirmek için cognito-idp:AdminInitiateAuth ve cognito-idp:AdminRespondToAuthChallenge izinlerine sahip kimlik bilgilerine ihtiyacınız vardır.

aws cognito-idp admin-initiate-auth \
--client-id <client-id> \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'
--user-pool-id "<pool-id>"

# Check the python code to learn how to generate the hsecret_hash

Giriş Kodu

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

def get_secret_hash(username, client_id, client_secret): key = bytes(client_secret, 'utf-8') message = bytes(f'{username}{client_id}', 'utf-8') return base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode()

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.admin_initiate_auth( UserPoolId=user_pool_id, ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_PASSWORD\_AUTH

Bu yöntem, başka bir basit ve **geleneksel kullanıcı ve şifre kimlik doğrulama** akışıdır. **Geleneksel** kimlik doğrulama yönteminin **Cognito'ya** **geçirilmesi** önerilir ve ardından **devre dışı bırakılması** ve **ALLOW\_USER\_SRP\_AUTH** yönteminin kullanılmasını **önerilir** (çünkü bu yöntem şifreyi asla ağ üzerinden göndermez).\
Bu **yöntem varsayılan olarak ETKİN DEĞİLDİR**.

Kod içindeki **önceki kimlik doğrulama yöntemi** ile ana **fark**, **kullanıcı havuzunun kimliğini bilmenize gerek olmamasıdır** ve **Cognito Kullanıcı Havuzunda ek izinlere ihtiyacınız yoktur**.

**Giriş yapmak için** bilmeniz **gerekir**:

* istemci kimliği
* kullanıcı adı
* şifre
* istemci sırrı (sadece uygulama bir sır kullanacak şekilde yapılandırılmışsa)

<div data-gb-custom-block data-tag="hint" data-style='info'>

Bu yöntemle **giriş yapabilmek için**, o uygulamanın ALLOW\_USER\_PASSWORD\_AUTH ile giriş yapmasına izin vermesi gerekir.

</div>

```python
aws cognito-idp initiate-auth  --client-id <client-id> \
--auth-flow USER_PASSWORD_AUTH --region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'

# Check the python code to learn how to generate the secret_hash

REFRESH_TOKEN_AUTH & REFRESH_TOKEN

Bu yöntem her zaman geçerli olacak (devre dışı bırakılamaz) ancak geçerli bir yenileme token'ına sahip olmanız gerekir.

aws cognito-idp initiate-auth \
--client-id 3ig6h5gjm56p1ljls1prq2miut \
--auth-flow REFRESH_TOKEN_AUTH \
--region us-east-1 \
--auth-parameters 'REFRESH_TOKEN=<token>'

PreviousCognito Identity Pools NextAWS - DataPipeline, CodePipeline & CodeCommit Enum

Last updated 3 days ago