AWS - S3, Athena & Glacier Enum

htARTE（HackTricks AWS Red Team Expert） を通じて、ゼロからヒーローまでAWSハッキングを学びましょう！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @hacktricks_liveでフォローする。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

S3

Amazon S3は、大量のデータを保存できるサービスです。

Amazon S3は、データのRESTにおける保護を実現するための複数のオプションを提供します。オプションには権限（ポリシー）、暗号化（クライアントおよびサーバーサイド）、バケットのバージョニング、MFA ベースの削除が含まれます。ユーザーはこれらのオプションのいずれかを有効にしてデータ保護を実現できます。データレプリケーションは、AWSによる内部施設であり、S3は自動的に各オブジェクトをすべての可用性ゾーンに複製し、組織はこの場合にそれを有効にする必要はありません。

リソースベースの権限を使用すると、バケットのサブディレクトリに対して個別の権限を定義できます。

バケットのバージョニングとMFAベースの削除

バケットのバージョニングが有効になっている場合、ファイル内のファイルを変更しようとするすべてのアクションは、ファイルの新しいバージョンを生成し、同じ内容の前の内容も保持します。したがって、内容を上書きしません。

さらに、MFAベースの削除は、S3バケット内のファイルのバージョンが削除されるのを防ぎ、また、ファイルが変更されないようにするため、バケットのバージョニングが無効になります。

S3アクセスログ

特定のバケットにS3アクセスログインを有効にすることができます（デフォルトでは無効）。ログを別のバケットに保存して、バケットにアクセスしているユーザーを知ることができます（両方のバケットは同じリージョンにある必要があります）。

S3 Presigned URLs

通常、バケット内の指定されたファイルにアクセスするために使用できる署名付きURLを生成することができます。署名付きURLは次のようになります:

https://<bucket-name>.s3.us-east-1.amazonaws.com/asd.txt?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIAUUE8GZC4S5L3TY3P%2F20230227%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20230227T142551Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Security-Token=IQoJb3JpZ2luX2VjELf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLWVhc3QtMSJHMEUCIBhQpdETJO3HKKDk2hjNIrPWwBE8gZaQccZFV3kCpPCWAiEAid3ueDtFFU%2FOQfUpvxYTGO%2BHoS4SWDMUrQAE0pIaB40qggMIYBAAGgwzMTgxNDIxMzg1NTMiDJLI5t7gr2EGxG1Y5CrfAioW0foHIQ074y4gvk0c%2B%2Fmqc7cNWb1njQslQkeePHkseJ3owzc%2FCwkgE0EuZTd4mw0aJciA2XIbJRCLPWTb%2FCBKPnIMJ5aBzIiA2ltsiUNQTTUxYmEgXZoJ6rFYgcodnmWW0Et4Xw59UlHnCDB2bLImxPprriyCzDDCD6nLyp3J8pFF1S8h3ZTJE7XguA8joMs4%2B2B1%2FeOZfuxXKyXPYSKQOOSbQiHUQc%2BFnOfwxleRL16prWk1t7TamvHR%2Bt3UgMn5QWzB3p8FgWwpJ6GjHLkYMJZ379tkimL1tJ7o%2BIod%2FMYrS7LDCifP9d%2FuYOhKWGhaakPuJKJh9fl%2B0vGl7kmApXigROxEWon6ms75laXebltsWwKcKuYca%2BUWu4jVJx%2BWUfI4ofoaGiCSaKALTqwu4QNBRT%2BMoK6h%2BQa7gN7JFGg322lkxRY53x27WMbUE4unn5EmI54T4dWt1%2Bg8ljDS%2BvKfBjqmAWRwuqyfwXa5YC3xxttOr3YVvR6%2BaXpzWtvNJQNnb6v0uI3%2BTtTexZkJpLQYqFcgZLQSxsXWSnf988qvASCIUhAzp2UnS1uqy7QjtD5T73zksYN2aesll7rvB80qIuujG6NOdHnRJ2M5%2FKXXNo1Yd15MtzPuSjRoSB9RSMon5jFu31OrQnA9eCUoawxbB0nHqwK8a43CKBZHhA8RoUAJW%2B48EuFsp3U%3D&X-Amz-Signature=3436e4139e84dbcf5e2e6086c0ebc92f4e1e9332b6fda24697bc339acbf2cdfa

プリサインURLは、オブジェクトにアクセス権を持つ主体の資格情報を使用してcliから作成できます（使用するアカウントにアクセス権がない場合、短いプリサインURLが作成されますが、無効です）。

aws s3 presign --region <bucket-region> 's3://<bucket-name>/<file-name>'

署名付き URL を生成するために必要な唯一の権限は、与えられる権限であるため、前のコマンドでプリンシパルに必要な権限は s3:GetObject のみです。

他の権限を持つ署名付き URL も作成することが可能です：

import boto3
url = boto3.client('s3').generate_presigned_url(
ClientMethod='put_object',
Params={'Bucket': 'BUCKET_NAME', 'Key': 'OBJECT_KEY'},
ExpiresIn=3600
)

S3 暗号化メカニズム

DEK はデータ暗号化キーを意味し、常に生成され、データを暗号化するために使用されます。

S3 管理キーを使用したサーバーサイド暗号化、SSE-S3

このオプションでは、最小限の構成が必要で、使用されるすべての暗号化キーの管理がAWSによって管理されます。あなたがやるべきことは、データをアップロードするだけで、S3 が他のすべての側面を処理することです。S3 アカウント内の各バケットにはバケットキーが割り当てられます。

暗号化:
オブジェクトデータ + 作成された平文 DEK --> 暗号化されたデータ（S3 内に保存）
作成された平文 DEK + S3 マスターキー --> 暗号化された DEK（S3 内に保存）および平文はメモリから削除
復号:
暗号化された DEK + S3 マスターキー --> 平文 DEK
平文 DEK + 暗号化されたデータ --> オブジェクトデータ

この場合、キーは AWS によって管理されます（3年ごとのローテーションのみ）。独自のキーを使用すると、ローテーション、無効化、アクセス制御の適用が可能になります。

KMS 管理キーを使用したサーバーサイド暗号化、SSE-KMS

この方法では、S3 がキー管理サービスを使用してデータ暗号化キーを生成できます。KMS を使用すると、キーの管理方法にははるかに大きな柔軟性が得られます。たとえば、CMK の無効化、ローテーション、アクセス制御を適用し、AWS Cloud Trail を使用してその使用に対抗することができます。

暗号化:
S3 が KMS CMK からデータキーを要求
KMS は CMK を使用して DEK の平文と DEK の暗号化を生成し、それらを S3 に送信
S3 は平文キーを使用してデータを暗号化し、暗号化されたデータと暗号化されたキーを保存し、平文キーをメモリから削除
復号:
S3 がオブジェクトの暗号化されたデータキーの復号を KMS に要求
KMS が CMK でデータキーを復号し、それを S3 に返す
S3 がオブジェクトデータを復号

顧客提供キーを使用したサーバーサイド暗号化、SSE-C

このオプションを使用すると、AWS の外部で既に使用しているマスターキーを提供し、その顧客提供キーがデータと共に S3 に送信され、S3 が暗号化を実行します。

暗号化:
ユーザーがオブジェクトデータ + 顧客キーを S3 に送信
顧客キーを使用してデータを暗号化し、暗号化されたデータを保存
顧客キーの塩基付き HMAC 値も将来のキー検証のために保存
顧客キーはメモリから削除
復号:
ユーザーが顧客キーを送信
キーが保存された HMAC 値と照合される
顧客提供キーを使用してデータを復号

KMS を使用したクライアントサイド暗号化、CSE-KMS

SSE-KMS と同様に、この方法もキー管理サービスを使用してデータ暗号化キーを生成します。ただし、今回は S3 ではなくクライアントを介して KMS が呼び出されます。その後、暗号化はクライアント側で行われ、暗号化されたデータが S3 に送信されて保存されます。

暗号化:
クライアントが KMS にデータキーを要求
KMS が平文 DEK と CMK で暗号化された DEK を返す
両方のキーが返される
クライアントはその後、平文 DEK でデータを暗号化し、暗号化されたデータ + 暗号化された DEK（S3 内の暗号化データのメタデータとして保存）を S3 に送信
復号:
暗号化されたデータと暗号化された DEK がクライアントに送信される
クライアントは KMS に CMK を使用して暗号化されたキーを復号するよう要求し、KMS が平文 DEK を返す
クライアントは今や暗号化されたデータを復号できる

顧客提供キーを使用したクライアントサイド暗号化、CSE-C

このメカニズムを使用すると、独自の提供キーを利用し、AWS-SDK クライアントを使用してデータを暗号化してから S3 に送信することができます。

暗号化:
クライアントが DEK を生成し、平文データを暗号化
次に、独自のカスタム CMK を使用して DEK を暗号化
暗号化されたデータ + 暗号化された DEK を S3 に送信し、保存されます
復号:
S3 が暗号化されたデータと DEK を送信
クライアントはすでに DEK を暗号化するために使用した CMK を持っているため、DEK を復号し、その後、平文 DEK を使用してデータを復号します

列挙

AWS 組織を侵害する伝統的な主要な方法の1つは、公開アクセス可能なバケットを侵害することから始まります。**このページで**パブリックバケットエンマンレータを見つけることができます。

# Get buckets ACLs
aws s3api get-bucket-acl --bucket <bucket-name>
aws s3api get-object-acl --bucket <bucket-name> --key flag

# Get policy
aws s3api get-bucket-policy --bucket <bucket-name>
aws s3api get-bucket-policy-status --bucket <bucket-name> #if it's public

# list S3 buckets associated with a profile
aws s3 ls
aws s3api list-buckets

# list content of bucket (no creds)
aws s3 ls s3://bucket-name --no-sign-request
aws s3 ls s3://bucket-name --recursive

# list content of bucket (with creds)
aws s3 ls s3://bucket-name
aws s3api list-objects-v2 --bucket <bucket-name>
aws s3api list-objects --bucket <bucket-name>
aws s3api list-object-versions --bucket <bucket-name>

# copy local folder to S3
aws s3 cp MyFolder s3://bucket-name --recursive

# delete
aws s3 rb s3://bucket-name –-force

# download a whole S3 bucket
aws s3 sync s3://<bucket>/ .

# move S3 bucket to different location
aws s3 sync s3://oldbucket s3://newbucket --source-region us-west-1

# list the sizes of an S3 bucket and its contents
aws s3api list-objects --bucket BUCKETNAME --output json --query "[sum(Contents[].Size), length(Contents[])]"

# Update Bucket policy
aws s3api put-bucket-policy --policy file:///root/policy.json --bucket <bucket-name>
##JSON policy example
{
"Id": "Policy1568185116930",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1568184932403",
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::welcome",
"Principal": "*"
},
{
"Sid": "Stmt1568185007451",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::welcome/*",
"Principal": "*"
}
]
}

# Update bucket ACL
aws s3api get-bucket-acl --bucket <bucket-name> # Way 1 to get the ACL
aws s3api put-bucket-acl --bucket <bucket-name> --access-control-policy file://acl.json

aws s3api get-object-acl --bucket <bucket-name> --key flag #Way 2 to get the ACL
aws s3api put-object-acl --bucket <bucket-name> --key flag --access-control-policy file://objacl.json

##JSON ACL example
## Make sure to modify the Owner’s displayName and ID according to the Object ACL you retrieved.
{
"Owner": {
"DisplayName": "<DisplayName>",
"ID": "<ID>"
},
"Grants": [
{
"Grantee": {
"Type": "Group",
"URI": "http://acs.amazonaws.com/groups/global/AuthenticatedUsers"
},
"Permission": "FULL_CONTROL"
}
]
}
## An ACL should give you the permission WRITE_ACP to be able to put a new ACL

デュアルスタック

仮想ホストスタイルまたはパススタイルのエンドポイント名を使用して、デュアルスタックエンドポイントを介してS3バケットにアクセスできます。これらはIPv6を介してS3にアクセスするために役立ちます。

デュアルスタックエンドポイントは以下の構文を使用します:

bucketname.s3.dualstack.aws-region.amazonaws.com
s3.dualstack.aws-region.amazonaws.com/bucketname

特権昇格

以下のページでは、S3の権限を悪用して特権を昇格する方法を確認できます:

pageAWS - S3 Privesc

その他のS3脆弱性

S3 HTTPキャッシュポイズニングの問題

この研究によると、任意のバケットの応答を異なるものとしてキャッシュすることが可能でした。これは、例えばJavaScriptファイルの応答を変更し、S3を使用して静的コードを保存することで任意のページを危険にさらす可能性がありました。

Amazon Athena

Amazon Athenaは、Amazon Simple Storage Service（Amazon S3）内のデータを標準のSQLを使用して直接分析することを容易にするインタラクティブクエリサービスです。

監視されているS3バケットに表示されるコンテンツの形式でリレーショナルDBテーブルを準備する必要があります。その後、Amazon AthenaはログからDBをポピュレートできるため、クエリを実行できます。

Amazon Athenaは、すでに暗号化されているS3データをクエリする機能をサポートしており、それが構成されている場合、Athenaはクエリの結果を暗号化し、それをS3に保存することもできます。

この結果の暗号化は、クエリされたS3データの基礎とは独立しています。つまり、S3データが暗号化されていなくても、クエリされた結果は暗号化される可能性があります。Amazon Athenaは、SSE-S3、SSE-KMS、およびCSE-KMSで暗号化されたデータのみをサポートしていることに注意する必要があります。

SSE-CおよびCSE-Eはサポートされていません。さらに、Amazon Athenaは、クエリ自体と同じリージョンにある暗号化されたオブジェクトに対してのみクエリを実行します。KMSを使用して暗号化されたS3データをクエリする必要がある場合、Athenaユーザーにはクエリを実行できるようにするための特定の権限が必要です。

列挙

# Get catalogs
aws athena list-data-catalogs

# Get databases inside catalog
aws athena list-databases --catalog-name <catalog-name>
aws athena list-table-metadata --catalog-name <catalog-name> --database-name <db-name>

# Get query executions, queries and results
aws athena list-query-executions
aws athena get-query-execution --query-execution-id <id> # Get query and meta of results
aws athena get-query-results --query-execution-id <id> # This will rerun the query and get the results

# Get workgroups & Prepared statements
aws athena list-work-groups
aws athena list-prepared-statements --work-group <wg-name>
aws athena get-prepared-statement --statement-name <name> --work-group <wg-name>

# Run query
aws athena start-query-execution --query-string <query>

参考文献

htARTE（HackTricks AWS Red Team Expert） htARTE（HackTricks AWS Red Team Expert）でAWSハッキングをゼロからヒーローまで学ぶ！