AWS - STS Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

STS

AWS Security Token Service (STS) в основному призначений для видачі тимчасових, обмежених привілеїв облікових даних. Ці облікові дані можуть бути запитані для AWS Identity and Access Management (IAM) користувачів або для автентифікованих користувачів (федеративних користувачів).

Оскільки мета STS полягає у видачі облікових даних для ідентифікаційного підроблення, сервіс є надзвичайно цінним для ескалації привілеїв та підтримки стійкості, хоча може не мати широкого спектру опцій.

Assume Role Impersonation

Дія AssumeRole, що надається AWS STS, є критично важливою, оскільки дозволяє суб'єкту отримати облікові дані для іншого суб'єкта, фактично підробляючи його. Після виклику вона відповідає з ідентифікатором ключа доступу, секретним ключем та токеном сесії, що відповідає вказаному ARN.

Для тестувальників на проникнення або членів червоної команди ця техніка є важливою для ескалації привілеїв (як детально описано тут). Однак варто зазначити, що ця техніка є досить помітною і може не здивувати атакуючого.

Assume Role Logic

Щоб прийняти роль в одному й тому ж обліковому записі, якщо роль, яку потрібно прийняти, дозволяє конкретно роль ARN як у:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<acc_id>:role/priv-role"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

Роль priv-role в цьому випадку не потребує спеціального дозволу для прийняття цієї ролі (з цим дозволом достатньо).

Однак, якщо роль дозволяє обліковому запису приймати її, як у:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<acc_id>:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}

Роль, яку намагаються взяти, повинна мати конкретний дозвіл sts:AssumeRole для того, щоб взяти її.

Якщо ви намагаєтеся взяти роль з іншого облікового запису, взята роль повинна це дозволяти (вказуючи ARN ролі або зовнішній обліковий запис), і роль, яка намагається взяти іншу, МУСТИ мати дозволи для її взяття (в цьому випадку це не є необов'язковим, навіть якщо взята роль вказує ARN).

Enumeration

# Get basic info of the creds
aws sts get-caller-identity
aws sts get-access-key-info --access-key-id <AccessKeyID>

# Get CLI a session token with current creds
## Using CLI creds
## You cannot get session creds using session creds
aws sts get-session-token
## MFA
aws sts get-session-token --serial-number <arn_device> --token-code <otp_code>

Privesc

На наступній сторінці ви можете перевірити, як зловживати дозволами STS для ескалації привілеїв:

AWS - STS Privesc

Post Exploitation

AWS - STS Post Exploitation

Persistence

AWS - STS Persistence

References

https://blog.christophetd.fr/retrieving-aws-security-credentials-from-the-aws-console/?utm_source=pocket_mylist

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Step Functions Enum NextAWS - Other Services Enum

Last updated 3 days ago