AWS - IAM Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації про доступ до IAM:
Якщо ви дозволяєте зовнішньому обліковому запису (A) отримати доступ до ролі у вашому обліковому записі, ви, ймовірно, матимете 0 видимості щодо того, хто точно може отримати доступ до цього зовнішнього облікового запису. Це проблема, оскільки якщо інший зовнішній обліковий запис (B) може отримати доступ до зовнішнього облікового запису (A), можливо, що B також зможе отримати доступ до вашого облікового запису.
Отже, коли ви дозволяєте зовнішньому обліковому запису отримати доступ до ролі у вашому обліковому записі, ви можете вказати ExternalId
. Це "секретний" рядок, який зовнішній обліковий запис (A) повинен вказати, щоб прийняти роль у вашій організації. Оскільки зовнішній обліковий запис B не знає цей рядок, навіть якщо він має доступ до A, він не зможе отримати доступ до вашої ролі.
Однак зверніть увагу, що цей ExternalId
"секрет" не є секретом, будь-хто, хто може читати політику прийняття ролі IAM, зможе його побачити. Але поки зовнішній обліковий запис A знає його, а зовнішній обліковий запис B не знає його, це запобігає зловживанню B для доступу до вашої ролі через A.
Приклад:
Щоб зловмисник міг експлуатувати заплутаного заступника, йому потрібно буде якимось чином з'ясувати, чи можуть принципали поточного облікового запису видавати себе за ролі в інших облікових записах.
Ця політика дозволяє всім AWS приймати роль.
Ця політика дозволяє будь-якому обліковому запису налаштувати свій apigateway для виклику цього Lambda.
Якщо S3 бакет вказано як принципал, оскільки S3 бакети не мають ідентифікатора облікового запису, якщо ви видалили свій бакет, а зловмисник створив його у своєму обліковому записі, то вони могли б це зловживати.
Звичайний спосіб уникнути проблем з Confused Deputy - це використання умови з AWS:SourceArn
для перевірки вихідного ARN. Однак, деякі сервіси можуть цього не підтримувати (як CloudTrail, згідно з деякими джерелами).
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)