AWS - S3 Unauthenticated Enum
Δημόσια Buckets S3
Ένα bucket θεωρείται "δημόσιο" αν οποιοσδήποτε χρήστης μπορεί να απαριθμήσει το περιεχόμενο του bucket, και "ιδιωτικό" αν το περιεχόμενο του bucket μπορεί να απαριθμηθεί ή να γραφτεί μόνο από συγκεκριμένους χρήστες.
Οι εταιρείες μπορεί να έχουν κακώς ρυθμισμένες άδειες buckets που παρέχουν πρόσβαση είτε σε όλα είτε σε όλους τους εξουσιοδοτημένους χρήστες στο AWS σε οποιοδήποτε λογαριασμό (έτσι σε οποιονδήποτε). Σημειώστε ότι ακόμα και με τέτοιες κακές ρυθμίσεις, ορισμένες ενέργειες ενδέχεται να μην είναι δυνατό να πραγματοποιηθούν καθώς τα buckets μπορεί να έχουν τις δικές τους λίστες ελέγχου πρόσβασης (ACLs).
Μάθετε για την κακώς ρυθμισμένη AWS-S3 εδώ: http://flaws.cloud και http://flaws2.cloud/
Εύρεση Buckets AWS
Διαφορετικές μέθοδοι για να βρείτε όταν μια ιστοσελίδα χρησιμοποιεί το AWS για την αποθήκευση ορισμένων πόρων:
Απαρίθμηση & OSINT:
Χρησιμοποιώντας το πρόσθετο προγράμματος περιήγησης wappalyzer
Χρησιμοποιώντας το burp (ανάρριχηση του web) ή με τη χειροκίνητη περιήγηση στη σελίδα όλοι οι φορτωμένοι πόροι θα αποθηκευτούν στο Ιστορικό.
Ελέγξτε τους πόρους σε τομείς όπως:
Ελέγξτε τα CNAMES καθώς το
resources.domain.com
ενδέχεται να έχει το CNAMEbucket.s3.amazonaws.com
Ελέγξτε το https://buckets.grayhatwarfare.com, μια ιστοσελίδα με ήδη ανακαλυμμένα ανοικτά buckets.
Το όνομα του bucket και το όνομα του τομέα του bucket πρέπει να είναι τα ίδια.
Το flaws.cloud είναι στη διεύθυνση IP 52.92.181.107 και αν πάτε εκεί σας ανακατευθύνει στο https://aws.amazon.com/s3/. Επίσης, το
dig -x 52.92.181.107
δίνειs3-website-us-west-2.amazonaws.com
.Για να ελέγξετε αν είναι ένα bucket μπορείτε επίσης να επισκεφθείτε το https://flaws.cloud.s3.amazonaws.com/.
Βίαιη Δύναμη
Μπορείτε να βρείτε buckets με το βίαιο δύναμη ονόματα που σχετίζονται με την εταιρεία που ελέγχετε:
https://github.com/jordanpotti/AWSBucketDump (Περιέχει μια λίστα με πιθανά ονόματα bucket)
Λεηλασία S3 Buckets
Δεδομένων των ανοικτών S3 buckets, το BucketLoot μπορεί αυτόματα να αναζητήσει ενδιαφέρουσες πληροφορίες.
Βρείτε την Περιοχή
Μπορείτε να βρείτε όλες τις υποστηριζόμενες περιοχές από το AWS στο https://docs.aws.amazon.com/general/latest/gr/s3.html
Μέσω DNS
Μπορείτε να βρείτε την περιοχή ενός bucket με ένα dig
και nslookup
κάνοντας μια DNS αίτηση της ανακαλυφθείσας IP:
Ελέγξτε ότι το αναγνωρισμένο domain έχει τη λέξη "website".
Μπορείτε να έχετε πρόσβαση στον στατικό ιστότοπο πηγαίνοντας στο: flaws.cloud.s3-website-us-west-2.amazonaws.com
ή μπορείτε να έχετε πρόσβαση στο bucket επισκεπτόμενο: flaws.cloud.s3-us-west-2.amazonaws.com
Δοκιμάζοντας
Αν προσπαθήσετε να έχετε πρόσβαση σε ένα bucket, αλλά στο όνομα domain που καθορίζετε μια άλλη περιοχή (για παράδειγμα το bucket είναι στο bucket.s3.amazonaws.com
αλλά προσπαθείτε να έχετε πρόσβαση στο bucket.s3-website-us-west-2.amazonaws.com
), τότε θα σας κατευθύνει στη σωστή τοποθεσία:
Απαρίθμηση του bucket
Για να δοκιμάσετε τον βαθμό προσβασιμότητας του bucket, ένας χρήστης μπορεί απλά να εισάγει το URL στον περιηγητή του ιστού. Ένα ιδιωτικό bucket θα απαντήσει με "Απορρίφθηκε η πρόσβαση". Ένα δημόσιο bucket θα εμφανίσει τα πρώτα 1.000 αντικείμενα που έχουν αποθηκευτεί.
Ανοιχτό σε όλους:
Ιδιωτικό:
Μπορείτε επίσης να το ελέγξετε αυτό με το cli:
Δημόσιος πρότυπος URL
Λήψη του Αναγνωριστικού Λογαριασμού από δημόσιο Bucket
Είναι δυνατόν να προσδιοριστεί ένας λογαριασμός AWS εκμεταλλευόμενος το νέο S3:ResourceAccount
Policy Condition Key. Αυτή η συνθήκη περιορίζει την πρόσβαση με βάση το S3 bucket στον οποίο ανήκει ένας λογαριασμός (άλλες πολιτικές που βασίζονται σε λογαριασμούς περιορίζουν βάσει του λογαριασμού στον οποίο ανήκει ο αιτούντας υποκείμενος).
Και επειδή η πολιτική μπορεί να περιέχει μπαλαντέρ είναι δυνατόν να βρεθεί ο αριθμός λογαριασμού μόνο έναν αριθμό κάθε φορά.
Αυτό το εργαλείο αυτοματοποιεί τη διαδικασία:
Αυτή η τεχνική λειτουργεί επίσης με τα URL της API Gateway, τα URL των Lambda, τα σύνολα δεδομένων του Data Exchange και ακόμη και για να πάρετε την τιμή των ετικετών (εάν γνωρίζετε το κλειδί της ετικέτας). Μπορείτε να βρείτε περισσότερες πληροφορίες στην αρχική έρευνα και το εργαλείο conditional-love για να αυτοματοποιήσετε αυτήν την εκμετάλλευση.
Αναφορές
Last updated