AWS - API Gateway Unauthenticated Enum

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

API Çağrısını Atlatma

Attack Vectors for APIs Using AWS API Gateway Lambda Authorizers - Alexandre & Leonardo konuşmasına göre, Lambda Authorizers, API uç noktalarını çağırmak için izin vermek üzere IAM sözdizimi kullanılarak yapılandırılabilir. Bu, belgelerden alınmıştır:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Permission",
"Action": [
"execute-api:Execution-operation"
],
"Resource": [
"arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
]
}
]
}

Bu yöntemle uç noktaları çağırmak için izin vermenin sorunu, "*"nın "herhangi bir şey" anlamına gelmesidir ve daha fazla regex sözdizimi desteklenmemektedir.

Bazı örnekler:

Her kullanıcıya /dashboard/user/{username} erişimi vermek için arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/* gibi bir kural, onlara örneğin /admin/dashboard/createAdmin gibi diğer rotalara erişim verecektir.

"*" kesmelerle genişlemeyi durdurmaz, bu nedenle, örneğin api-id'de "*" kullanırsanız, bu "herhangi bir aşama" veya "herhangi bir yöntem" anlamına da gelebilir, son regex geçerli olduğu sürece. Bu nedenle arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/* Örneğin /prod/GET/dashboard/admin yoluna test aşamasında bir post isteğini doğrulayabilir.

Her zaman neye erişim izni vermek istediğinizi net bir şekilde belirlemeli ve ardından verilen izinlerle başka senaryoların mümkün olup olmadığını kontrol etmelisiniz.

Daha fazla bilgi için, docs dışında, bu resmi aws github üzerinde yetkilendiricileri uygulamak için kod bulabilirsiniz.

IAM Politika Enjeksiyonu

Aynı konuşmada, kodun kullanıcı girişi kullanarak IAM politikalarını oluşturduğuna dair bir gerçek ortaya konulmuştur; burada joker karakterler (ve "." veya belirli dizeler gibi diğerleri) kısıtlamaları aşma amacıyla dahil edilebilir.

Kamu URL şablonu

https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}

Hesap ID'sini genel API Gateway URL'sinden alın

S3 bucket'ları, Data Exchange ve Lambda URL'si geçitlerinde olduğu gibi, genel bir API Gateway URL'sinden aws:ResourceAccount Policy Condition Key'sini kötüye kullanarak bir hesabın hesap ID'sini bulmak mümkündür. Bu, politikanın aws:ResourceAccount bölümünde joker karakterleri kötüye kullanarak hesap ID'sini bir karakter bir seferde bulmakla yapılır. Bu teknik, tag anahtarını biliyorsanız tag değerlerini de almanıza olanak tanır (bazı varsayılan ilginç olanlar vardır).

Daha fazla bilgi için orijinal araştırmaya ve bu istismarı otomatikleştirmek için conditional-love aracına göz atabilirsiniz.

HackTricks'i Destekleyin

abonelik planlarına göz atın!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousAWS - Accounts Unauthenticated Enum NextAWS - Cloudfront Unauthenticated Enum

Last updated 3 days ago

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Permission", "Action": [ "execute-api:Execution-operation" ], "Resource": [ "arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path" ] } ] }