AWS - S3 Unauthenticated Enum
S3 Public Buckets
Ndoo inachukuliwa kuwa “public” ikiwa mtumiaji yeyote anaweza kuorodhesha yaliyomo ya ndoo, na “private” ikiwa yaliyomo kwenye ndoo yanaweza kuorodheshwa au kuandikwa na watumiaji fulani tu.
Kampuni zinaweza kuwa na ruhusa za ndoo zilizosanidiwa vibaya zinazotoa ufikiaji kwa kila kitu au kwa kila mtu aliyethibitishwa katika AWS katika akaunti yoyote (kwa hivyo kwa mtu yeyote). Kumbuka, hata na mipangilio mibaya kama hiyo baadhi ya vitendo vinaweza kuwa haviwezi kufanywa kwani ndoo zinaweza kuwa na orodha zao za udhibiti wa ufikiaji (ACLs).
Jifunze kuhusu usumbufu wa AWS-S3 hapa: http://flaws.cloud na http://flaws2.cloud/
Kutafuta Ndoo za AWS
Mbinu tofauti za kutafuta wakati ukurasa wa wavuti unatumia AWS kuhifadhi baadhi ya rasilimali:
Enumeration & OSINT:
Kutumia wappalyzer browser plugin
Kutumia burp (spidering wavuti) au kwa kuvinjari kwa mikono kupitia ukurasa rasilimali zote zilizopakiwa zitaokolewa kwenye Historia.
Angalia rasilimali katika vikoa kama:
Angalia CNAMES kama
resources.domain.com
inaweza kuwa na CNAMEbucket.s3.amazonaws.com
Angalia https://buckets.grayhatwarfare.com, tovuti yenye ndoo wazi zilizogunduliwa tayari.
Jina la ndoo na jina la kikoa cha ndoo lazima ziwe sawa.
flaws.cloud iko katika IP 52.92.181.107 na ukienda huko inakuelekeza kwa https://aws.amazon.com/s3/. Pia,
dig -x 52.92.181.107
inatoas3-website-us-west-2.amazonaws.com
.Ili kuangalia kama ni ndoo unaweza pia kutembelea https://flaws.cloud.s3.amazonaws.com/.
Brute-Force
Unaweza kupata ndoo kwa brute-forcing majina yanayohusiana na kampuni unayofanya pentesting:
https://github.com/jordanpotti/AWSBucketDump (Inayo orodha ya majina ya ndoo yanayowezekana)
Loot S3 Buckets
Kwa kuzingatia ndoo za S3 wazi, BucketLoot inaweza kutafuta taarifa za kuvutia kiotomatiki.
Pata Eneo
Unaweza kupata maeneo yote yanayoungwa mkono na AWS katika https://docs.aws.amazon.com/general/latest/gr/s3.html
Kwa DNS
Unaweza kupata eneo la ndoo kwa kutumia dig
na nslookup
kwa kufanya ombi la DNS la IP iliyogunduliwa:
Angalia kwamba kikoa kilichotatuliwa kina neno "website".
Unaweza kufikia tovuti tuli kwa kwenda: flaws.cloud.s3-website-us-west-2.amazonaws.com
au unaweza kufikia ndoo kwa kutembelea: flaws.cloud.s3-us-west-2.amazonaws.com
Kwa Kujaribu
Ukijaribu kufikia ndoo, lakini katika jina la kikoa unataja eneo lingine (kwa mfano ndoo iko bucket.s3.amazonaws.com
lakini unajaribu kufikia bucket.s3-website-us-west-2.amazonaws.com
, basi utaelekezwa kwenye eneo sahihi:
Kuweka ndoo
Ili kujaribu uwazi wa ndoo mtumiaji anaweza tu kuingiza URL kwenye kivinjari chao cha wavuti. Ndoo ya kibinafsi itajibu na "Access Denied". Ndoo ya umma itaorodhesha vitu 1,000 vya kwanza vilivyohifadhiwa.
Wazi kwa kila mtu:
Binafsi:
Unaweza pia kuangalia hii na cli:
Ikiwa ndoo haina jina la kikoa, wakati wa kujaribu kuorodhesha, weka jina la ndoo pekee na siyo kikoa chote cha AWSs3. Mfano: s3://<BUCKETNAME>
Kiolezo cha URL ya Umma
Pata Kitambulisho cha Akaunti kutoka kwa Bucket ya Umma
Inawezekana kubaini akaunti ya AWS kwa kutumia S3:ResourceAccount
Policy Condition Key mpya. Hali hii inazuia ufikiaji kulingana na S3 bucket ambayo akaunti iko ndani (sera zingine za akaunti zinazuia kulingana na akaunti ambayo mwombaji mkuu yuko ndani).
Na kwa sababu sera inaweza kuwa na wildcards inawezekana kupata nambari ya akaunti nambari moja kwa wakati mmoja.
Chombo hiki kinachakata mchakato:
Mbinu hii pia inafanya kazi na API Gateway URLs, Lambda URLs, Data Exchange data sets na hata kupata thamani ya tags (ikiwa unajua tag key). Unaweza kupata maelezo zaidi katika tafiti asilia na zana conditional-love ili kuendesha unyonyaji huu kiotomatiki.
Kuthibitisha ndoo inamilikiwa na akaunti ya AWS
Kama ilivyoelezwa katika blogi hii, ikiwa una ruhusa za kuorodhesha ndoo inawezekana kuthibitisha accountID ambayo ndoo inamilikiwa kwa kutuma ombi kama:
Ikiwa kosa ni "Access Denied" inamaanisha kwamba ID ya akaunti ilikuwa si sahihi.
Kutumia Barua Pepe kama uorodheshaji wa akaunti ya root
Kama ilivyoelezwa katika blogi hii, inawezekana kuangalia kama anwani ya barua pepe inahusiana na akaunti yoyote ya AWS kwa kujaribu kutoa ruhusa za barua pepe juu ya ndoo ya S3 kupitia ACLs. Ikiwa hii haileti kosa, inamaanisha kwamba barua pepe ni mtumiaji wa root wa akaunti fulani ya AWS:
Marejeo
Last updated