AWS Pentesting

Informations de base

Avant de commencer le pentesting d'un environnement AWS, il y a quelques choses de base que vous devez savoir sur le fonctionnement d'AWS pour vous aider à comprendre ce que vous devez faire, comment trouver des mauvaises configurations et comment les exploiter.

Des concepts tels que la hiérarchie de l'organisation, IAM et d'autres concepts de base sont expliqués dans :

Labs pour apprendre

• https://github.com/RhinoSecurityLabs/cloudgoat

• https://github.com/BishopFox/iam-vulnerable

• https://github.com/nccgroup/sadcloud

• https://github.com/bridgecrewio/terragoat

• https://github.com/ine-labs/AWSGoat

• http://flaws.cloud/

• http://flaws2.cloud/

Outils pour simuler des attaques :

• https://github.com/Datadog/stratus-red-team/

• https://github.com/sbasu7241/AWS-Threat-Simulation-and-Detection/tree/main

Méthodologie Pentester/Red Team AWS

Pour auditer un environnement AWS, il est très important de savoir : quels services sont utilisés, ce qui est exposé, qui a accès à quoi, et comment les services internes AWS et les services externes sont connectés.

Du point de vue d'une Red Team, la première étape pour compromettre un environnement AWS est de réussir à obtenir des identifiants. Voici quelques idées pour y parvenir :

• Fuites sur github (ou similaire) - OSINT

• Ingénierie sociale

• Réutilisation de mot de passe (fuites de mots de passe)

• Vulnérabilités dans les applications hébergées sur AWS

• Server Side Request Forgery avec accès au point de terminaison des métadonnées

• Lecture de fichier local

• /home/USERNAME/.aws/credentials

• C:\Users\USERNAME\.aws\credentials

• 3rd parties compromis

• Employé interne

• Cognito credentials

Ou en compromettant un service non authentifié exposé :

Ou si vous effectuez une revue, vous pouvez simplement demander des identifiants avec ces rôles :

Énumération de base

SSRF

Si vous avez trouvé un SSRF dans une machine à l'intérieur d'AWS, consultez cette page pour des astuces :

Whoami

L'une des premières choses que vous devez savoir est qui vous êtes (dans quel compte vous êtes et d'autres informations sur l'environnement AWS) :

# Easiest way, but might be monitored?
aws sts get-caller-identity
aws iam get-user # This will get your own user

# If you have a Key ID
aws sts get-access-key-info --access-key-id=ASIA1234567890123456

# Get inside error message
aws sns publish --topic-arn arn:aws:sns:us-east-1:*account id*:aaa --message aaa

# From metadata
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

Org Enumeration

IAM Enumeration

Si vous avez suffisamment de permissions, vérifier les privilèges de chaque entité à l'intérieur du compte AWS vous aidera à comprendre ce que vous et d'autres identités pouvez faire et comment escalader les privilèges.

Si vous n'avez pas assez de permissions pour énumérer IAM, vous pouvez les voler par force brute pour les découvrir. Consultez comment faire l'énumération et la force brute dans :

Services Enumeration, Post-Exploitation & Persistence

AWS dispose d'une quantité impressionnante de services, dans la page suivante vous trouverez des informations de base, des cheatsheets d'énumération, comment éviter la détection, obtenir de la persistance, et d'autres astuces de post-exploitation sur certains d'entre eux :

Notez que vous n'avez pas besoin de faire tout le travail manuellement, ci-dessous dans ce post vous pouvez trouver une section sur les outils automatiques.

De plus, à ce stade, vous pourriez avoir découvert plus de services exposés aux utilisateurs non authentifiés, vous pourriez être en mesure de les exploiter :

Privilege Escalation

Si vous pouvez vérifier au moins vos propres permissions sur différentes ressources, vous pourriez vérifier si vous êtes capable d'obtenir d'autres permissions. Vous devriez vous concentrer au moins sur les permissions indiquées dans :

Publicly Exposed Services

En énumérant les services AWS, vous pourriez en avoir trouvé certains exposant des éléments à Internet (ports VM/Containers, bases de données ou services de file d'attente, snapshots ou buckets...). En tant que pentester/équipe rouge, vous devriez toujours vérifier si vous pouvez trouver des informations sensibles / vulnérabilités sur eux car ils pourraient vous fournir un accès supplémentaire au compte AWS.

Dans ce livre, vous devriez trouver des informations sur comment trouver des services AWS exposés et comment les vérifier. Pour savoir comment trouver des vulnérabilités dans les services réseau exposés, je vous recommande de rechercher le service spécifique dans :

Compromising the Organization

From the root/management account

Lorsque le compte de gestion crée de nouveaux comptes dans l'organisation, un nouveau rôle est créé dans le nouveau compte, par défaut nommé OrganizationAccountAccessRole et donnant la politique AdministratorAccess au compte de gestion pour accéder au nouveau compte.

Donc, pour accéder en tant qu'administrateur à un compte enfant, vous avez besoin de :

• Compromettre le compte de gestion et trouver l'ID des comptes enfants et les noms du rôle (OrganizationAccountAccessRole par défaut) permettant au compte de gestion d'accéder en tant qu'admin.

• Pour trouver les comptes enfants, allez à la section organisations dans la console aws ou exécutez aws organizations list-accounts

• Vous ne pouvez pas trouver directement le nom des rôles, alors vérifiez toutes les politiques IAM personnalisées et recherchez celles permettant sts:AssumeRole sur les comptes enfants précédemment découverts.

• Compromettre un principal dans le compte de gestion avec la permission sts:AssumeRole sur le rôle dans les comptes enfants (même si le compte permet à quiconque du compte de gestion de se faire passer pour lui, comme c'est un compte externe, des permissions spécifiques sts:AssumeRole sont nécessaires).

Automated Tools

Recon

• aws-recon : Un outil de collecte d'inventaire multi-threadé axé sur la sécurité AWS écrit en Ruby.

# Install
gem install aws_recon

# Recon and get json
AWS_PROFILE=<profile> aws_recon \
--services S3,EC2 \
--regions global,us-east-1,us-east-2 \
--verbose

• cloudlist : Cloudlist est un outil multi-cloud pour obtenir des actifs (noms d'hôte, adresses IP) des fournisseurs de cloud.

• cloudmapper : CloudMapper vous aide à analyser vos environnements Amazon Web Services (AWS). Il contient désormais beaucoup plus de fonctionnalités, y compris l'audit des problèmes de sécurité.

# Installation steps in github
# Create a config.json file with the aws info, like:
{
"accounts": [
{
"default": true,
"id": "<account id>",
"name": "dev"
}
],
"cidrs":
{
"2.2.2.2/28": {"name": "NY Office"}
}
}

# Enumerate
python3 cloudmapper.py collect --profile dev
## Number of resources discovered
python3 cloudmapper.py stats --accounts dev

# Create HTML report
## In the report you will find all the info already
python3 cloudmapper.py report --accounts dev

# Identify potential issues
python3 cloudmapper.py audit --accounts dev --json > audit.json
python3 cloudmapper.py audit --accounts dev --markdow > audit.md
python3 cloudmapper.py iam_report --accounts dev

# Identify admins
## The permissions search for are in https://github.com/duo-labs/cloudmapper/blob/4df9fd7303e0337ff16a08f5e58f1d46047c4a87/shared/iam_audit.py#L163-L175
python3 cloudmapper.py find_admins --accounts dev

# Identify unused elements
python3 cloudmapper.py find_unused --accounts dev

# Identify publivly exposed resources
python3 cloudmapper.py public --accounts dev

python cloudmapper.py prepare #Prepare webserver
python cloudmapper.py webserver #Show webserver

• cartography : Cartography est un outil Python qui consolide les actifs d'infrastructure et les relations entre eux dans une vue graphique intuitive alimentée par une base de données Neo4j.

# Install
pip install cartography
## At the time of this writting you need neo4j version 3.5.*

# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt  --neo4j-user neo4j

• starbase: Starbase collecte des actifs et des relations provenant de services et systèmes, y compris l'infrastructure cloud, les applications SaaS, les contrôles de sécurité, et plus encore dans une vue graphique intuitive soutenue par la base de données Neo4j.

• aws-inventory: (Utilise python2) C'est un outil qui tente de découvrir toutes les ressources AWS créées dans un compte.

• aws_public_ips: C'est un outil pour récupérer toutes les adresses IP publiques (IPv4/IPv6) associées à un compte AWS.

Privesc & Exploitation

• SkyArk: Découvrir les utilisateurs les plus privilégiés dans l'environnement AWS scanné, y compris les AWS Shadow Admins. Il utilise powershell. Vous pouvez trouver la définition des politiques privilégiées dans la fonction Check-PrivilegedPolicy dans https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.

• pacu: Pacu est un framework d'exploitation AWS open-source, conçu pour les tests de sécurité offensive contre les environnements cloud. Il peut énumérer, trouver des mauvais configurations et les exploiter. Vous pouvez trouver la définition des permissions privilégiées dans https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 à l'intérieur du dict user_escalation_methods.

• Notez que pacu vérifie uniquement vos propres chemins de privescs (pas à l'échelle du compte).

# Install
## Feel free to use venvs
pip3 install pacu

# Use pacu CLI
pacu
> import_keys <profile_name> # import 1 profile from .aws/credentials
> import_keys --all # import all profiles
> list # list modules
> exec iam__enum_permissions # Get permissions
> exec iam__privesc_scan # List privileged permissions

• PMapper : Principal Mapper (PMapper) est un script et une bibliothèque pour identifier les risques dans la configuration de AWS Identity and Access Management (IAM) pour un compte AWS ou une organisation AWS. Il modélise les différents IAM Users et Roles dans un compte comme un graphe orienté, ce qui permet de vérifier l'escalade de privilèges et les chemins alternatifs qu'un attaquant pourrait emprunter pour accéder à une ressource ou une action dans AWS. Vous pouvez vérifier les permissions utilisées pour trouver des chemins privesc dans les noms de fichiers se terminant par _edges.py dans https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing

# Install
pip install principalmapper

# Get data
pmapper --profile dev graph create
pmapper --profile dev graph display # Show basic info
# Generate graph
pmapper --profile dev visualize # Generate svg graph file (can also be png, dot and graphml)
pmapper --profile dev visualize --only-privesc # Only privesc permissions

# Generate analysis
pmapper --profile dev analysis
## Run queries
pmapper --profile dev query 'who can do iam:CreateUser'
pmapper --profile dev query 'preset privesc *' # Get privescs with admins

# Get organization hierarchy data
pmapper --profile dev orgs create
pmapper --profile dev orgs display

• cloudsplaining : Cloudsplaining est un outil d'évaluation de la sécurité IAM AWS qui identifie les violations du principe du moindre privilège et génère un rapport HTML priorisé par risque. Il vous montrera les clients potentiellement sur-privilégiés, les politiques inline et aws et quels principaux y ont accès. (Il ne vérifie pas seulement les privesc mais aussi d'autres types d'autorisations intéressantes, recommandé à utiliser).

# Install
pip install cloudsplaining

# Download IAM policies to check
## Only the ones attached with the versions used
cloudsplaining download --profile dev

# Analyze the IAM policies
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/

• cloudjack: CloudJack évalue les comptes AWS pour les vulnérabilités de détournement de sous-domaine résultant de configurations découpées de Route53 et CloudFront.

• ccat: Lister les dépôts ECR -> Extraire le dépôt ECR -> Le backdoor -> Pousser l'image backdoorée

• Dufflebag: Dufflebag est un outil qui recherche dans les instantanés publics Elastic Block Storage (EBS) des secrets qui pourraient avoir été laissés accidentellement.

Audit

• cloudsploit: CloudSploit par Aqua est un projet open-source conçu pour permettre la détection des risques de sécurité dans les comptes d'infrastructure cloud, y compris : Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI), et GitHub (Il ne recherche pas les ShadowAdmins).

./index.js --csv=file.csv --console=table --config ./config.js

# Compiance options: --compliance {hipaa,cis,cis1,cis2,pci}
## use "cis" for cis level 1 and 2

• Prowler : Prowler est un outil de sécurité Open Source pour effectuer des évaluations des meilleures pratiques de sécurité AWS, des audits, des réponses aux incidents, une surveillance continue, un durcissement et une préparation à la criminalistique.

# Install python3, jq and git
# Install
pip install prowler
prowler -v

# Run
prowler <provider>
prowler aws --profile custom-profile [-M csv json json-asff html]

• CloudFox: CloudFox vous aide à acquérir une connaissance situationnelle dans des environnements cloud inconnus. C’est un outil en ligne de commande open source créé pour aider les testeurs de pénétration et autres professionnels de la sécurité offensive à trouver des chemins d'attaque exploitables dans l'infrastructure cloud.

cloudfox aws --profile [profile-name] all-checks

• ScoutSuite: Scout Suite est un outil d'audit de sécurité multi-cloud open source, qui permet l'évaluation de la posture de sécurité des environnements cloud.

# Install
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help

# Get info
scout aws -p dev

• cs-suite: Cloud Security Suite (utilise python2.7 et semble non maintenu)

• Zeus: Zeus est un outil puissant pour les meilleures pratiques de durcissement AWS EC2 / S3 / CloudTrail / CloudWatch / KMS (semble non maintenu). Il vérifie uniquement les creds configurés par défaut à l'intérieur du système.

Audit Constant

• cloud-custodian: Cloud Custodian est un moteur de règles pour gérer les comptes et ressources de cloud public. Il permet aux utilisateurs de définir des politiques pour permettre une infrastructure cloud bien gérée, à la fois sécurisée et optimisée en termes de coûts. Il consolide de nombreux scripts ad hoc que les organisations ont en un outil léger et flexible, avec des métriques et des rapports unifiés.

• pacbot: Policy as Code Bot (PacBot) est une plateforme pour la surveillance continue de la conformité, le reporting de conformité et l'automatisation de la sécurité pour le cloud. Dans PacBot, les politiques de sécurité et de conformité sont implémentées en tant que code. Toutes les ressources découvertes par PacBot sont évaluées par rapport à ces politiques pour mesurer la conformité aux politiques. Le cadre auto-fix de PacBot offre la possibilité de répondre automatiquement aux violations de politiques en prenant des actions prédéfinies.

• streamalert: StreamAlert est un cadre d'analyse de données en temps réel sans serveur qui vous permet d'ingérer, d'analyser et d'alerter sur les données de n'importe quel environnement, en utilisant les sources de données et la logique d'alerte que vous définissez. Les équipes de sécurité informatique utilisent StreamAlert pour analyser des téraoctets de données de journaux chaque jour pour la détection et la réponse aux incidents.

DEBUG: Capturer les requêtes AWS cli

# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080

# Capture with burp nor verifying ssl
aws --no-verify-ssl ...

# Dowload brup cert and transform it to pem
curl http://127.0.0.1:8080/cert --output Downloads/certificate.cer
openssl x509 -inform der -in Downloads/certificate.cer -out Downloads/certificate.pem

# Indicate the ca cert to trust
export AWS_CA_BUNDLE=~/Downloads/certificate.pem

# Run aws cli normally trusting burp cert
aws ...

Références

• https://www.youtube.com/watch?v=8ZXRw4Ry3mQ

• https://cloudsecdocs.com/aws/defensive/tooling/audit/