AWS - IAM, Identity Center & SSO Enum

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

IAM

Možete pronaći opis IAM-a u:

AWS - Basic Information

Enumeracija

Glavne dozvole potrebne:

  • iam:ListPolicies, iam:GetPolicy i iam:GetPolicyVersion

  • iam:ListRoles

  • iam:ListUsers

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListAttachedUserPolicies

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedGroupPolicies

  • iam:ListUserPolicies i iam:GetUserPolicy

  • iam:ListGroupPolicies i iam:GetGroupPolicy

  • iam:ListRolePolicies i iam:GetRolePolicy

# All IAMs
## Retrieves  information about all IAM users, groups, roles, and policies
## in your Amazon Web Services account, including their relationships  to
## one another. Use this operation to obtain a snapshot of the configura-
## tion of IAM permissions (users, groups, roles, and  policies)  in  your
## account.
aws iam get-account-authorization-details

# List users
aws iam list-users
aws iam list-ssh-public-keys #User keys for CodeCommit
aws iam get-ssh-public-key --user-name <username> --ssh-public-key-id <id> --encoding SSH #Get public key with metadata
aws iam list-service-specific-credentials #Get special permissions of the IAM user over specific services
aws iam get-user --user-name <username> #Get metadata of user, included permissions boundaries
aws iam list-access-keys #List created access keys
## inline policies
aws iam list-user-policies --user-name <username> #Get inline policies of the user
aws iam get-user-policy --user-name <username> --policy-name <policyname> #Get inline policy details
## attached policies
aws iam list-attached-user-policies --user-name <username> #Get policies of user, it doesn't get inline policies

# List groups
aws iam list-groups #Get groups
aws iam list-groups-for-user --user-name <username> #Get groups of a user
aws iam get-group --group-name <name> #Get group name info
## inline policies
aws iam list-group-policies --group-name <username> #Get inline policies of the group
aws iam get-group-policy --group-name <username> --policy-name <policyname> #Get an inline policy info
## attached policies
aws iam list-attached-group-policies --group-name <name> #Get policies of group, it doesn't get inline policies

# List roles
aws iam list-roles #Get roles
aws iam get-role --role-name <role-name> #Get role
## inline policies
aws iam list-role-policies --role-name <name> #Get inline policies of a role
aws iam get-role-policy --role-name <name> --policy-name <name> #Get inline policy details
## attached policies
aws iam list-attached-role-policies --role-name <role-name> #Get policies of role, it doesn't get inline policies

# List policies
aws iam list-policies [--only-attached] [--scope Local]
aws iam list-policies-granting-service-access --arn <identity> --service-namespaces <svc> # Get list of policies that give access to the user to the service
## Get policy content
aws iam get-policy --policy-arn <policy_arn>
aws iam list-policy-versions --policy-arn <arn>
aws iam get-policy-version --policy-arn <arn:aws:iam::975426262029:policy/list_apigateways> --version-id <VERSION_X>

# Enumerate providers
aws iam list-saml-providers
aws iam get-saml-provider --saml-provider-arn <ARN>
aws iam list-open-id-connect-providers
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>

# Password Policy
aws iam get-account-password-policy

# MFA
aws iam list-mfa-devices
aws iam list-virtual-mfa-devices

Brute Force napadi na dozvole

Ako vas zanimaju vaše sopstvene dozvole, a nemate pristup upitu IAM, uvek možete pokušati da ih otkrijete brute force tehnikom.

bf-aws-dozvole

Alat bf-aws-dozvole je samo bash skripta koja će se pokrenuti koristeći naznačeni profil sve list*, describe*, get* akcije koje može pronaći koristeći pomoć aws cli poruka i vratiti uspešne izvršavanja.

# Bruteforce permissions
bash bf-aws-permissions.sh -p default > /tmp/bf-permissions-verbose.txt

bf-aws-perms-simulate

Alatka bf-aws-perms-simulate može pronaći vašu trenutnu dozvolu (ili dozvole drugih principala) ako imate dozvolu iam:SimulatePrincipalPolicy

# Ask for permissions
python3 aws_permissions_checker.py --profile <AWS_PROFILE> [--arn <USER_ARN>]

Perms2ManagedPolicies

Ako ste pronašli neka dozvole koje vaš korisnik ima, i mislite da su one dodeljene od strane upravljane AWS uloge (a ne prilagođene). Možete koristiti alat aws-Perms2ManagedRoles da proverite sve AWS upravljane uloge koje dodeljuju dozvole koje ste otkrili da imate.

# Run example with my profile
python3 aws-Perms2ManagedPolicies.py --profile myadmin --permissions-file example-permissions.txt

Moguće je "znati" da li su dozvole koje imate dodeljene od strane AWS upravljane uloge ako primetite da imate dozvole nad uslugama koje se ne koriste na primer.

Cloudtrail2IAM

CloudTrail2IAM je Python alat koji analizira AWS CloudTrail zapise kako bi izvukao i sumirao akcije koje su obavljene od strane svih ili samo određenog korisnika ili uloge. Alat će parsirati svaki cloudtrail zapis iz navedene kante.

git clone https://github.com/carlospolop/Cloudtrail2IAM
cd Cloudtrail2IAM
pip install -r requirements.txt
python3 cloudtrail2IAM.py --prefix PREFIX --bucket_name BUCKET_NAME --profile PROFILE [--filter-name FILTER_NAME] [--threads THREADS]

Ako pronađete .tfstate (Terraform stanje datoteke) ili CloudFormation datoteke (obično su to yaml datoteke smeštene unutar kante sa prefiksom cf-templates), takođe možete ih pročitati da biste pronašli AWS konfiguraciju i saznali koje dozvole su dodeljene kome.

enumerate-iam

Da biste koristili alat https://github.com/andresriancho/enumerate-iam prvo morate preuzeti sve API AWS endpointe, od kojih će skripta generate_bruteforce_tests.py dobiti sve "list_", "describe_" i "get_" endpointe. Na kraju, pokušaće da pristupi njima sa datim akreditivima i ukazati da li je uspelo.

(U mom iskustvu, alat se zakači u nekom trenutku, proverite ovaj popravak da biste pokušali da to popravite).

Po mom iskustvu, ovaj alat je sličan prethodnom, ali radi lošije i proverava manje dozvola.

# Install tool
git clone git@github.com:andresriancho/enumerate-iam.git
cd enumerate-iam/
pip install -r requirements.txt

# Download API endpoints
cd enumerate_iam/
git clone https://github.com/aws/aws-sdk-js.git
python3 generate_bruteforce_tests.py
rm -rf aws-sdk-js
cd ..

# Enumerate permissions
python3 enumerate-iam.py --access-key ACCESS_KEY --secret-key SECRET_KEY [--session-token SESSION_TOKEN] [--region REGION]

weirdAAL

Takođe možete koristiti alat weirdAAL. Ovaj alat će proveriti nekoliko uobičajenih operacija na nekoliko uobičajenih servisa (proveriće neka dozvole za enumeraciju i neka dozvole za privesc). Međutim, proverava samo kodirane provere (jedini način da se proveri više stvari je kodiranje dodatnih testova).

# Install
git clone https://github.com/carnal0wnage/weirdAAL.git
cd weirdAAL
python3 -m venv weirdAAL
source weirdAAL/bin/activate
pip3 install -r requirements.txt

# Create a .env file with aws credentials such as
[default]
aws_access_key_id = <insert key id>
aws_secret_access_key = <insert secret key>

# Setup DB
python3 create_dbs.py

# Invoke it
python3 weirdAAL.py -m ec2_describe_instances -t ec2test # Just some ec2 tests
python3 weirdAAL.py -m recon_all -t MyTarget # Check all permissions
# You will see output such as:
# [+] elbv2 Actions allowed are [+]
# ['DescribeLoadBalancers', 'DescribeAccountLimits', 'DescribeTargetGroups']

Alatke za jačanje bezbednosti za BF dozvole

# Export env variables
./index.js --console=text --config ./config.js --json /tmp/out-cloudsploit.json

# Filter results removing unknown
jq 'map(select(.status | contains("UNKNOWN") | not))' /tmp/out-cloudsploit.json | jq 'map(select(.resource | contains("N/A") | not))' > /tmp/out-cloudsploit-filt.json

# Get services by regions
jq 'group_by(.region) | map({(.[0].region): ([map((.resource | split(":"))[2]) | unique])})' ~/Desktop/pentests/cere/greybox/core-dev-dev-cloudsploit-filtered.json

<VašAlat>

Ni jedan od prethodnih alata nije sposoban da proveri skoro sve dozvole, pa ako znate bolji alat pošaljite PR!

Neautentifikovan pristup

AWS - IAM & STS Unauthenticated Enum

Eskalacija privilegija

Na sledećoj stranici možete proveriti kako zloupotrebiti IAM dozvole radi eskalacije privilegija:

AWS - IAM Privesc

IAM post eksploatacija

AWS - IAM Post Exploitation

IAM upornost

AWS - IAM Persistence

IAM Centar identiteta

Možete pronaći opis IAM Centra identiteta u:

AWS - Basic Information

Povezivanje putem SSO sa CLI

# Connect with sso via CLI aws configure sso
aws configure sso

[profile profile_name]
sso_start_url = https://subdomain.awsapps.com/start/
sso_account_id = <account_numbre>
sso_role_name = AdministratorAccess
sso_region = us-east-1

Enumeracija

Glavni elementi Centra identiteta su:

  • Korisnici i grupe

  • Setovi dozvola: Imaju pridružene politike

  • AWS nalozi

Zatim se uspostavljaju odnosi tako da korisnici/grupe imaju Setove dozvola nad AWS nalogom.

Imajte na umu da postoji 3 načina za pridruživanje politika Setu dozvola. Pridruživanje AWS upravljanih politika, Korisnički upravljane politike (ove politike treba kreirati u svim nalozima na koje Set dozvola utiče) i ugrađene politike (definisane unutar njih).

# Check if IAM Identity Center is used
aws sso-admin list-instances

# Get Permissions sets. These are the policies that can be assigned
aws sso-admin list-permission-sets --instance-arn <instance-arn>
aws sso-admin describe-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>

## Get managed policies of a permission set
aws sso-admin list-managed-policies-in-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get inline policies of a permission set
aws sso-admin get-inline-policy-for-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get customer managed policies of a permission set
aws sso-admin list-customer-managed-policy-references-in-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## Get boundaries of a permission set
aws sso-admin get-permissions-boundary-for-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>

## List accounts a permission set is affecting
aws sso-admin list-accounts-for-provisioned-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn>
## List principals given a permission set in an account
aws sso-admin list-account-assignments --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --account-id <account_id>

# Get permissions sets affecting an account
aws sso-admin list-permission-sets-provisioned-to-account --instance-arn <instance-arn> --account-id <account_id>

# List users & groups from the identity store
aws identitystore list-users --identity-store-id <store-id>
aws identitystore list-groups --identity-store-id <store-id>
## Get members of groups
aws identitystore list-group-memberships --identity-store-id <store-id> --group-id <group-id>
## Get memberships or a user or a group
aws identitystore list-group-memberships-for-member --identity-store-id <store-id> --member-id <member-id>

Lokalna enumeracija

Moguće je kreirati unutar fascikle $HOME/.aws fajl config kako bi se konfigurisali profili koji su pristupačni putem SSO-a, na primer:

[default]
region = us-west-2
output = json

[profile my-sso-profile]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-west-2
sso_account_id = 123456789012
sso_role_name = MySSORole
region = us-west-2
output = json

[profile dependent-profile]
role_arn = arn:aws:iam::<acc-id>:role/ReadOnlyRole
source_profile = Hacktricks-Admin

Ova konfiguracija može se koristiti sa sledećim komandama:

# Login in ms-sso-profile
aws sso login --profile my-sso-profile
# Use dependent-profile
aws s3 ls --profile dependent-profile

Kada se profil iz SSO-a koristi za pristupanje određenim informacijama, akreditacije se keširaju u datoteci unutar fascikle $HOME/.aws/sso/cache. Stoga se mogu pročitati i koristiti odatle.

Osim toga, više akreditacija može biti sačuvano u fascikli $HOME/.aws/cli/cache. Ova keš fascikla se uglavnom koristi kada radite sa AWS CLI profilima koji koriste IAM korisničke akreditacije ili pretpostavljaju uloge putem IAM-a (bez SSO-a). Primer konfiguracije:

[profile crossaccountrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
mfa_serial = arn:aws:iam::123456789012:mfa/saanvi
external_id = 123456

Neovlašćen pristup

AWS - Identity Center & SSO Unauthenticated Enum

Eskalacija privilegija

AWS - SSO & identitystore Privesc

Post eksploatacija

AWS - SSO & identitystore Post Exploitation

Upornost

Kreirajte korisnika i dodelite mu dozvole

# Create user identitystore:CreateUser
aws identitystore create-user --identity-store-id <store-id> --user-name privesc --display-name privesc --emails Value=sdkabflvwsljyclpma@tmmbt.net,Type=Work,Primary=True --name Formatted=privesc,FamilyName=privesc,GivenName=privesc
## After creating it try to login in the console using the selected username, you will receive an email with the code and then you will be able to select a password
  • Napravite grupu i dodelite joj dozvole, zatim postavite kontrolisanog korisnika na nju

  • Dajte dodatne dozvole kontrolisanom korisniku ili grupi

  • Podrazumevano, samo korisnici sa dozvolama iz Upravljačkog naloga će moći da pristupe i kontrolišu IAM Identity Center.

Međutim, moguće je putem Delegiranog administratora omogućiti korisnicima iz drugog naloga da ga upravljaju. Neće imati potpuno iste dozvole, ali će moći da obavljaju aktivnosti upravljanja.

Last updated