AWS - Federation Abuse

学习并练习 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

检查订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

SAML

有关 SAML 的信息，请查看：

SAML AttacksHackTricks

要通过 SAML 配置身份联合，只需提供一个名称和包含所有 SAML 配置（端点、带有公钥的证书）的元数据 XML。

OIDC - Github Actions 滥用

要将 github action 添加为身份提供者：

对于 提供程序类型，选择 OpenID Connect。
对于 提供程序 URL，输入 https://token.actions.githubusercontent.com
单击 获取指纹 以获取提供程序的指纹
对于受众，输入 sts.amazonaws.com
创建一个具有 github action 需要的权限和信任策略的新角色，信任提供者如下：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }

6. 请注意在上述策略中，只有**组织**的**存储库**中的**分支**被授权具有特定的**触发器**。
7. github action 将能够**冒充**的**角色**的**ARN**将是 github action 需要知道的“秘密”，因此请将其存储在**环境**中的**秘密**中。
8. 最后，使用 github action 配置要由工作流程使用的 AWS 凭据：
```yaml
name: 'test AWS Access'

# The workflow should only trigger on pull requests to the main branch
on:
pull_request:
branches:
- main

# Required to get the ID Token that will be used for OIDC
permissions:
id-token: write
contents: read # needed for private repos to checkout

jobs:
aws:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3

- name: Configure AWS Credentials
uses: aws-actions/configure-aws-credentials@v1
with:
aws-region: eu-west-1
role-to-assume: ${{ secrets.READ_ROLE }}
role-session-name: OIDCSession

- run: aws sts get-caller-identity
shell: bash

OIDC - EKS 滥用

# Crate an EKS cluster (~10min)
eksctl create cluster --name demo --fargate

# Create an Identity Provider for an EKS cluster
eksctl utils associate-iam-oidc-provider --cluster Testing --approve

可以通过将集群的OIDC URL设置为新的Open ID身份提供者，简单地在EKS集群中生成OIDC提供者。这是一种常见的默认策略：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com"
}
}
}
]
}

这个策略正确地指示了只有具有ID 20C159CDF6F2349B68846BEC03BE031B 的EKS集群可以承担这个角色。然而，它没有指明哪个服务账号可以承担这个角色，这意味着任何具有Web身份令牌的服务账号都可以承担这个角色。

为了指定哪个服务账号可以承担这个角色，需要指定一个条件，其中指定了服务账号名称，例如：

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",

参考资料

https://www.eliasbrange.dev/posts/secure-aws-deploys-from-github-actions-with-oidc/

学习并实践AWS黑客技术：HackTricks培训AWS红队专家（ARTE） 学习并实践GCP黑客技术：HackTricks培训GCP红队专家（GRTE）

支持HackTricks

检查订阅计划!
加入 💬 Discord群组 或 电报群组 或关注我们的Twitter 🐦 @hacktricks_live.
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享黑客技巧。

PreviousAWS - Basic Information NextAWS - Permissions for a Pentest

Last updated 1 month ago