AWS - STS Privesc

htARTE（HackTricks AWS Red Team Expert） を通じて、ゼロからヒーローまでAWSハッキングを学びましょう！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいかHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsコレクションを見つける
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @hacktricks_liveでフォローする。
HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

STS

`sts:AssumeRole`

すべてのロールはロール信頼ポリシーとともに作成されます。このポリシーは作成されたロールを誰がアサムできるかを示します。同じアカウントからのロールが、アカウントがそれをアサムできると述べている場合、そのアカウントはそのロールにアクセスできるようになります（そして潜在的に特権昇格できる可能性があります）。

たとえば、次のロール信頼ポリシーは、誰でもそれをアサムできることを示しており、したがって任意のユーザーがそのロールに関連付けられた権限に特権昇格できることを意味します。

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole"
}
]
}

あなたは次のコマンドを実行してロールをなりすますことができます：

aws sts assume-role --role-arn $ROLE_ARN --role-session-name sessionname

潜在的影響: ロールへの特権昇格。

この場合、権限sts:AssumeRoleが悪用するためにロールに指定されている必要があり、攻撃者に属するポリシーには含まれていません。 1つの例外を除いて、別のアカウントからロールを仮定するには、攻撃者アカウントもロールに対して**sts:AssumeRole**を持っている必要があります。

`sts:AssumeRoleWithSAML`

このロールの信頼ポリシーにより、SAML経由で認証されたユーザーがロールをなりすますことができます。

この権限を持つ信頼ポリシーの例は次のとおりです：

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OneLogin",
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::290594632123:saml-provider/OneLogin"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

一般的に、その役割を偽装するための資格情報を生成するには、次のようなものを使用できます：

aws sts  assume-role-with-saml --role-arn <value> --principal-arn <value>

しかし、プロバイダーは、onelogin-aws-assume-roleのような独自のツールを使用して、これをより簡単にする場合があります：

onelogin-aws-assume-role --onelogin-subdomain mettle --onelogin-app-id 283740 --aws-region eu-west-1 -z 3600

潜在的な影響: ロールへの特権昇格。

`sts:AssumeRoleWithWebIdentity`

この権限は、モバイル、Webアプリケーション、EKSなどで認証されたユーザーがウェブアイデンティティプロバイダーを使用して一連の一時セキュリティ資格情報を取得する権限を付与します。こちらで詳細を確認してください。

たとえば、EKSサービスアカウントがIAMロールをなりすますできるようにする場合、/var/run/secrets/eks.amazonaws.com/serviceaccount/tokenにトークンがあり、次のような操作を行うことでロールを仮定し資格情報を取得できます:

aws sts assume-role-with-web-identity --role-arn arn:aws:iam::123456789098:role/<role_name> --role-session-name something --web-identity-token file:///var/run/secrets/eks.amazonaws.com/serviceaccount/token
# The role name can be found in the metadata of the configuration of the pod

フェデレーションの悪用

pageAWS - Federation Abuse

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTコレクションを見つける
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする。
HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

前へAWS - SSM Privesc 次へAWS - WorkDocs Privesc

最終更新 3 か月前