Español - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - IAM & STS Unauthenticated Enum

Apoya a HackTricks

Enumerar Roles y Nombres de Usuario en una cuenta

Assume Role Brute-Force

Esta técnica ya no funciona ya que si el rol existe o no, siempre obtienes este error:

An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::947247140022:user/testenv is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::429217632764:role/account-balanceasdas

Puedes probar esto ejecutando:

aws sts assume-role --role-arn arn:aws:iam::412345678909:role/superadmin --role-session-name s3-access-example

Intentar asumir un rol sin los permisos necesarios desencadena un mensaje de error de AWS. Por ejemplo, si no estás autorizado, AWS podría devolver:

An error occurred (AccessDenied) when calling the AssumeRole operation: User: arn:aws:iam::012345678901:user/MyUser is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::111111111111:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS

Este mensaje confirma la existencia del rol pero indica que su política de asunción de rol no permite tu asunción. En contraste, intentar asumir un rol inexistente lleva a un error diferente:

An error occurred (AccessDenied) when calling the AssumeRole operation: Not authorized to perform sts:AssumeRole

Curiosamente, este método de distinguir entre roles existentes y no existentes es aplicable incluso entre diferentes cuentas de AWS. Con un ID de cuenta de AWS válido y una lista de palabras objetivo, se pueden enumerar los roles presentes en la cuenta sin enfrentar limitaciones inherentes.

Puedes usar este script para enumerar posibles principales abusando de este problema.

Trust Policies: Fuerza bruta de roles y usuarios de cuentas cruzadas

Configurar o actualizar la política de confianza de un rol de IAM implica definir qué recursos o servicios de AWS tienen permiso para asumir ese rol y obtener credenciales temporales. Si el recurso especificado en la política existe, la política de confianza se guarda exitosamente. Sin embargo, si el recurso no existe, se genera un error, indicando que se proporcionó un principal no válido.

Ten en cuenta que en ese recurso podrías especificar un rol o usuario de cuenta cruzada:

  • arn:aws:iam::acc_id:role/role_name

  • arn:aws:iam::acc_id:user/user_name

Este es un ejemplo de política:

{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":
{
"AWS":"arn:aws:iam::216825089941:role\/Test"
},
"Action":"sts:AssumeRole"
}
]
}

GUI

Ese es el error que encontrarás si usas un rol que no existe. Si el rol existe, la política se guardará sin ningún error. (El error es para actualizar, pero también funciona al crear)

CLI

### You could also use: aws iam update-assume-role-policy
# When it works
aws iam create-role --role-name Test-Role --assume-role-policy-document file://a.json
{
"Role": {
"Path": "/",
"RoleName": "Test-Role",
"RoleId": "AROA5ZDCUJS3DVEIYOB73",
"Arn": "arn:aws:iam::947247140022:role/Test-Role",
"CreateDate": "2022-05-03T20:50:04Z",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::316584767888:role/account-balance"
},
"Action": [
"sts:AssumeRole"
]
}
]
}
}
}

# When it doesn't work
aws iam create-role --role-name Test-Role2 --assume-role-policy-document file://a.json
An error occurred (MalformedPolicyDocument) when calling the CreateRole operation: Invalid principal in policy: "AWS":"arn:aws:iam::316584767888:role/account-balanceefd23f2"

Puedes automatizar este proceso con https://github.com/carlospolop/aws_tools

  • bash unauth_iam.sh -t user -i 316584767888 -r TestRole -w ./unauth_wordlist.txt

O usando Pacu:

  • run iam__enum_users --role-name admin --account-id 229736458923 --word-list /tmp/names.txt

  • run iam__enum_roles --role-name admin --account-id 229736458923 --word-list /tmp/names.txt

  • El rol admin usado en el ejemplo es un rol en tu cuenta para ser suplantado por pacu para crear las políticas que necesita crear para la enumeración

Privesc

En el caso de que el rol esté mal configurado y permita a cualquiera asumirlo:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

El atacante podría simplemente asumirlo.

Federación de Terceros OIDC

Imagina que logras leer un workflow de Github Actions que está accediendo a un rol dentro de AWS. Esta confianza podría dar acceso a un rol con la siguiente política de confianza:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::<acc_id>:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
}
}
}
]
}

Esta política de confianza podría ser correcta, pero la falta de más condiciones debería hacer que no confíes en ella. ¡Esto se debe a que el rol anterior puede ser asumido por CUALQUIERA de Github Actions! Deberías especificar en las condiciones también otras cosas como el nombre de la organización, el nombre del repositorio, el entorno, la rama...

Otra posible mala configuración es agregar una condición como la siguiente:

"StringLike": {
"token.actions.githubusercontent.com:sub": "repo:org_name*:*"
}

Note que wildcard (*) antes del colon (:). Puedes crear una organización como org_name1 y asumir el rol desde una Github Action.

Referencias

Apoya HackTricks
PreviousAWS - Elasticsearch Unauthenticated EnumNextAWS - Identity Center & SSO Unauthenticated Enum

Last updated