Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Cognito User Pools

Support HackTricks

Basic Information

Maktaba ya mtumiaji ni directory ya watumiaji katika Amazon Cognito. Kwa maktaba ya mtumiaji, watumiaji wako wanaweza kuingia kwenye programu yako ya wavuti au simu kupitia Amazon Cognito, au kuunganishwa kupitia mtoa huduma wa kitambulisho wa third-party (IdP). Iwe watumiaji wako wanaingia moja kwa moja au kupitia upande wa tatu, wanachama wote wa maktaba ya mtumiaji wana wasifu wa directory ambao unaweza kufikia kupitia SDK.

Maktaba za watumiaji zinatoa:

  • Huduma za kujiandikisha na kuingia.

  • UI ya wavuti iliyojengwa ndani, inayoweza kubadilishwa ili kuingia watumiaji.

  • Kuingia kwa kijamii na Facebook, Google, Login with Amazon, na Sign in with Apple, na kupitia mtoa huduma wa kitambulisho wa SAML na OIDC kutoka kwa maktaba yako ya watumiaji.

  • Usimamizi wa directory ya watumiaji na wasifu wa watumiaji.

  • Vipengele vya usalama kama uthibitishaji wa hatua nyingi (MFA), ukaguzi wa akidi zilizovunjika, ulinzi wa kuchukua akaunti, na uthibitishaji wa simu na barua pepe.

  • Mifumo ya kazi iliyobadilishwa na uhamaji wa watumiaji kupitia AWS Lambda triggers.

Msimbo wa chanzo wa programu kawaida pia utakuwa na user pool ID na client application ID, (na wakati mwingine application secret?) ambazo zinahitajika kwa mtumiaji kuingia kwenye Maktaba ya Mtumiaji ya Cognito.

Potential attacks

  • Usajili: Kwa default mtumiaji anaweza kujiandikisha mwenyewe, hivyo anaweza kuunda mtumiaji kwa ajili yake mwenyewe.

  • Uainishaji wa watumiaji: Kazi ya usajili inaweza kutumika kupata majina ya watumiaji ambayo tayari yapo. Taarifa hii inaweza kuwa muhimu kwa shambulio la brute-force.

  • Login brute-force: Katika sehemu ya Authentication una mbinu zote ambazo mtumiaji anapaswa kuingia, unaweza kujaribu kuzipeleka kwa nguvu kupata akidi halali.

Tools for pentesting

  • Pacu, sasa inajumuisha moduli za cognito__enum na cognito__attack ambazo zinafanya otomatiki uainishaji wa mali zote za Cognito katika akaunti na kuashiria usanidi dhaifu, sifa za mtumiaji zinazotumika kwa udhibiti wa ufikiaji, nk, na pia zinafanya otomatiki uundaji wa watumiaji (ikiwemo msaada wa MFA) na kupandisha hadhi kulingana na sifa za kawaida zinazoweza kubadilishwa, akidi za mtoa huduma zinazoweza kutumika, majukumu yanayoweza kuchukuliwa katika vitambulisho vya id, nk. Kwa maelezo ya kazi za moduli angalia sehemu ya 2 ya blog post. Kwa maelekezo ya usakinishaji angalia ukurasa mkuu wa Pacu.

# Run cognito__enum usage to gather all user pools, user pool clients, identity pools, users, etc. visible in the current AWS account
Pacu (new:test) > run cognito__enum

# cognito__attack usage to attempt user creation and all privesc vectors against a given identity pool and user pool client:
Pacu (new:test) > run cognito__attack --username randomuser --email XX+sdfs2@gmail.com --identity_pools
us-east-2:a06XXXXX-c9XX-4aXX-9a33-9ceXXXXXXXXX --user_pool_clients
59f6tuhfXXXXXXXXXXXXXXXXXX@us-east-2_0aXXXXXXX

  • Cognito Scanner ni chombo cha CLI katika python ambacho kinatekeleza mashambulizi tofauti kwenye Cognito ikiwa ni pamoja na uundaji wa akaunti zisizohitajika na oracle ya akaunti. Angalia hii kiungo kwa maelezo zaidi.

# Install
pip install cognito-scanner
# Run
cognito-scanner --help
python cognito-attribute-enu.py -client_id 16f1g98bfuj9i0g3f8be36kkrl

Usajili

User Pools inaruhusu kwa default kujiandikisha watumiaji wapya.

aws cognito-idp sign-up --client-id <client-id> \
--username <username> --password <password> \
--region <region> --no-sign-request

Ikiwa mtu yeyote anaweza kujiandikisha

Unaweza kupata kosa linaloonyesha kuwa unahitaji kutoa maelezo zaidi kuhusu mtumiaji:

An error occurred (InvalidParameterException) when calling the SignUp operation: Attributes did not conform to the schema: address: The attribute is required

Unaweza kutoa maelezo yanayohitajika kwa JSON kama:

--user-attributes '[{"Name": "email", "Value": "carlospolop@gmail.com"}, {"Name":"gender", "Value": "M"}, {"Name": "address", "Value": "street"}, {"Name": "custom:custom_name", "Value":"supername&\"*$"}]'

Unaweza kutumia hii kazi pia kuhesabu watumiaji waliopo. Hii ndiyo ujumbe wa kosa wakati mtumiaji tayari yupo na jina hilo:

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

Kumbuka katika amri iliyopita jinsi sifa za kawaida zinaanza na "custom:". Pia fahamu kwamba unapojisajili huwezi kuunda sifa mpya za kawaida kwa mtumiaji. Unaweza tu kutoa thamani kwa sifa za kawaida (hata kama hazihitajiki) na sifa za kawaida zilizotajwa.

Au tu kujaribu kama kitambulisho cha mteja kinapatikana. Hii ndiyo hitilafu ikiwa kitambulisho cha mteja hakipo:

An error occurred (ResourceNotFoundException) when calling the SignUp operation: User pool client 3ig612gjm56p1ljls1prq2miut does not exist.

Ikiwa tu admin anaweza kujiandikisha watumiaji

Utapata kosa hili na hutakuwa na uwezo wa kujiandikisha au kuhesabu watumiaji:

An error occurred (NotAuthorizedException) when calling the SignUp operation: SignUp is not permitted for this user pool

Verifying Registration

Cognito inaruhusu kuhakiki mtumiaji mpya kwa kuangalia barua pepe yake au nambari ya simu. Hivyo, unapounda mtumiaji kwa kawaida utahitajika angalau jina la mtumiaji na nenosiri na barua pepe na/au nambari ya simu. Weka moja unayoimiliki ili upokee msimbo wa kuhakiki akaunti yako mpya ya mtumiaji iliyoundwa kama hii:

aws cognito-idp confirm-sign-up --client-id <cliet_id> \
--username aasdasd2 --confirmation-code <conf_code> \
--no-sign-request --region us-east-1

Hata kama inaonekana unaweza kutumia barua pepe hiyo hiyo na nambari ya simu, unapohitaji kuthibitisha mtumiaji aliyeundwa, Cognito italamika kuhusu kutumia taarifa hiyo hiyo na haitakuruhusu kuthibitisha akaunti.

Kuinua Mamlaka / Kusasisha Sifa

Kwa default, mtumiaji anaweza kubadilisha thamani ya sifa zake kwa kutumia kitu kama:

aws cognito-idp update-user-attributes \
--region us-east-1 --no-sign-request \
--user-attributes Name=address,Value=street \
--access-token <access token>

Custom attribute privesc

Unaweza kupata attributes za kawaida zinatumika (kama isAdmin), kwani kwa default unaweza kubadilisha thamani za attributes zako unaweza kuwa na uwezo wa kuongeza mamlaka kwa kubadilisha thamani mwenyewe!

Email/username modification privesc

Unaweza kutumia hii kubadilisha barua pepe na nambari ya simu ya mtumiaji, lakini kisha, hata kama akaunti inabaki kuwa imethibitishwa, attributes hizo zimewekwa katika hali ya kuthibitishwa (unahitaji kuzithibitisha tena).

Hutaweza kuingia kwa kutumia barua pepe au nambari ya simu hadi uzithibitisha, lakini utaweza kuingia kwa kutumia jina la mtumiaji. Kumbuka kwamba hata kama barua pepe ilibadilishwa na haijathibitishwa itaonekana katika Token ya ID ndani ya email field na filed email_verified itakuwa false, lakini ikiwa programu haiangalii hiyo unaweza kujifanya kuwa watumiaji wengine.

Zaidi ya hayo, kumbuka kwamba unaweza kuweka chochote ndani ya name field kwa kubadilisha name attribute. Ikiwa programu inakagua hiyo field kwa sababu fulani badala ya email (au attribute nyingine yoyote) unaweza kuwa na uwezo wa kujifanya kuwa watumiaji wengine.

Hata hivyo, ikiwa kwa sababu fulani umebadilisha barua pepe yako kwa mfano kuwa mpya unayoweza kufikia unaweza kuthibitisha barua pepe na msimbo ulipokea katika anwani hiyo ya barua pepe:

aws cognito-idp verify-user-attribute \
--access-token <access_token> \
--attribute-name email --code <code> \
--region <region> --no-sign-request

Tumia phone_number badala ya email kubadilisha/thibitisha nambari mpya ya simu.

Msimamizi pia anaweza kuwezesha chaguo la kuingia kwa jina la mtumiaji linalopendekezwa na mtumiaji. Kumbuka kwamba huwezi kubadilisha thamani hii kuwa jina lolote la mtumiaji au preferred_username ambalo tayari linatumika kuiga mtumiaji tofauti.

Rejesha/Badilisha Nenosiri

Inawezekana kurejesha nenosiri kwa kujua jina la mtumiaji (au email au simu inakubaliwa) na kuwa na ufikiaji kwake kwani nambari itatumwa huko:

aws cognito-idp forgot-password \
--client-id <client_id> \
--username <username/email/phone> --region <region>

Majibu ya seva daima yatakuwa chanya, kama vile jina la mtumiaji lilipo. Huwezi kutumia njia hii kuhesabu watumiaji.

Kwa msimbo unaweza kubadilisha nenosiri kwa:

aws cognito-idp confirm-forgot-password \
--client-id <client_id> \
--username <username> \
--confirmation-code <conf_code> \
--password <pwd> --region <region>

Ili kubadilisha nenosiri unahitaji kujua nenosiri la awali:

aws cognito-idp change-password \
--previous-password <value> \
--proposed-password <value> \
--access-token <value>

Authentication

Mkusanyiko wa watumiaji unasaidia njia tofauti za kuthibitisha kwake. Ikiwa una jina la mtumiaji na nenosiri kuna pia mbinu tofauti zinazosaidiwa kuingia. Zaidi ya hayo, wakati mtumiaji anapothibitishwa katika Mkusanyiko aina 3 za tokeni hutolewa: ID Token, Access token na Refresh token.

  • ID Token: Inabeba madai kuhusu utambulisho wa mtumiaji aliyethibitishwa, kama vile jina, barua pepe, na nambari ya simu. ID token inaweza pia kutumika kuwatambulisha watumiaji kwenye seva zako za rasilimali au programu za seva. Lazima uthibitishe saini ya ID token kabla huwezi kuamini madai yoyote ndani ya ID token ikiwa unaitumia katika programu za nje.

  • ID Token ndiyo tokeni ambayo ina thamani za sifa za mtumiaji, hata zile za kawaida.

  • Access Token: Inabeba madai kuhusu mtumiaji aliyethibitishwa, orodha ya makundi ya mtumiaji, na orodha ya mipaka. Lengo la access token ni kuidhinisha operesheni za API katika muktadha wa mtumiaji katika mkusanyiko wa watumiaji. Kwa mfano, unaweza kutumia access token kupewa mtumiaji wako ufikiaji wa kuongeza, kubadilisha, au kufuta sifa za mtumiaji.

  • Refresh Token: Kwa kutumia refresh tokens unaweza kupata ID Tokens na Access Tokens mpya kwa mtumiaji hadi refresh token iwe batili. Kwa kawaida, refresh token inaisha siku 30 baada ya mtumiaji wa programu yako kuingia kwenye mkusanyiko wako wa watumiaji. Unapounda programu kwa mkusanyiko wako wa watumiaji, unaweza kuweka muda wa kumalizika wa refresh token wa programu kuwa thamani yoyote kati ya dakika 60 na miaka 10.

ADMIN_NO_SRP_AUTH & ADMIN_USER_PASSWORD_AUTH

Hii ni mchakato wa uthibitishaji upande wa seva:

  • Programu ya upande wa seva inaita AdminInitiateAuth API operation (badala ya InitiateAuth). Operesheni hii inahitaji akreditif za AWS zenye ruhusa zinazojumuisha cognito-idp:AdminInitiateAuth na cognito-idp:AdminRespondToAuthChallenge. Operesheni inarudisha vigezo vya uthibitishaji vinavyohitajika.

  • Baada ya programu ya upande wa seva kuwa na vigezo vya uthibitishaji, inaita AdminRespondToAuthChallenge API operation. Operesheni ya AdminRespondToAuthChallenge inafanikiwa tu unapotoa akreditif za AWS.

Hii mbinu HAIRUHUSIWI kwa kawaida.

Ili kuingia unahitaji kujua:

  • kitambulisho cha mkusanyiko wa watumiaji

  • kitambulisho cha mteja

  • jina la mtumiaji

  • nenosiri

  • siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

Ili uweze kuingia kwa njia hii programu hiyo lazima iruhusu kuingia na ALLOW_ADMIN_USER_PASSWORD_AUTH. Zaidi ya hayo, ili kufanya kitendo hiki unahitaji akreditif zenye ruhusa**cognito-idp:AdminInitiateAuth**na cognito-idp:AdminRespondToAuthChallenge

aws cognito-idp admin-initiate-auth \
--client-id <client-id> \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'
--user-pool-id "<pool-id>"

# Check the python code to learn how to generate the hsecret_hash
Kanuni ya Kuingia

```python import boto3 import botocore import hmac import hashlib import base64

client_id = "" user_pool_id = "" client_secret = "" username = "" password = ""

boto_client = boto3.client('cognito-idp', region_name='us-east-1')

def get_secret_hash(username, client_id, client_secret): key = bytes(client_secret, 'utf-8') message = bytes(f'{username}{client_id}', 'utf-8') return base64.b64encode(hmac.new(key, message, digestmod=hashlib.sha256).digest()).decode()

If the Client App isn't configured to use a secret

just delete the line setting the SECRET_HASH

def login_user(username_or_alias, password, client_id, client_secret, user_pool_id): try: return boto_client.admin_initiate_auth( UserPoolId=user_pool_id, ClientId=client_id, AuthFlow='ADMIN_USER_PASSWORD_AUTH', AuthParameters={ 'USERNAME': username_or_alias, 'PASSWORD': password, 'SECRET_HASH': get_secret_hash(username_or_alias, client_id, client_secret) } ) except botocore.exceptions.ClientError as e: return e.response

print(login_user(username, password, client_id, client_secret, user_pool_id))

</details>

### USER\_PASSWORD\_AUTH

Njia hii ni mchakato mwingine rahisi wa **utambulisho wa mtumiaji na nenosiri** wa **kijadi**. Inapendekezwa **kuhamasisha njia ya utambulisho ya kijadi** **kwenda kwa Cognito** na **inapendekezwa** kisha **kuzimwa** na **kutumia** njia ya **ALLOW\_USER\_SRP\_AUTH** badala yake (kwa sababu hiyo haitumii nenosiri kwenye mtandao).\
Njia hii **HAIWEZEKANI** kwa default.

Tofauti kuu na **njia ya awali ya utambulisho** ndani ya msimbo ni kwamba **huhitaji kujua ID ya kundi la watumiaji** na kwamba **huhitaji ruhusa za ziada** katika Kundi la Watumiaji la Cognito.

Ili **kuingia** unahitaji kujua:

* kitambulisho cha mteja
* jina la mtumiaji
* nenosiri
* siri ya mteja (tu ikiwa programu imewekwa ili kutumia siri)

<div data-gb-custom-block data-tag="hint" data-style='info'>

Ili uweze **kuingia kwa njia hii** programu hiyo lazima iruhusu kuingia kwa ALLOW\_USER\_PASSWORD\_AUTH.

</div>

```python
aws cognito-idp initiate-auth  --client-id <client-id> \
--auth-flow USER_PASSWORD_AUTH --region <region> \
--auth-parameters 'USERNAME=<username>,PASSWORD=<password>,SECRET_HASH=<hash_if_needed>'

# Check the python code to learn how to generate the secret_hash

REFRESH_TOKEN_AUTH & REFRESH_TOKEN

Hii mbinu daima itakuwa halali (haiwezi kuzuiliwa) lakini unahitaji kuwa na tokeni halali ya refresha.

aws cognito-idp initiate-auth \
--client-id 3ig6h5gjm56p1ljls1prq2miut \
--auth-flow REFRESH_TOKEN_AUTH \
--region us-east-1 \
--auth-parameters 'REFRESH_TOKEN=<token>'
PreviousCognito Identity PoolsNextAWS - DataPipeline, CodePipeline & CodeCommit Enum

Last updated