AWS - STS Post Exploitation

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

STS

Για περισσότερες πληροφορίες:

AWS - IAM, Identity Center & SSO Enum

Από IAM Creds στην κονσόλα

Αν καταφέρατε να αποκτήσετε κάποιες IAM credentials, ίσως σας ενδιαφέρει να αποκτήσετε πρόσβαση στην web κονσόλα χρησιμοποιώντας τα παρακάτω εργαλεία.
Σημειώστε ότι ο χρήστης/ρόλος πρέπει να έχει την άδεια sts:GetFederationToken.

Προσαρμοσμένο script

Το παρακάτω script θα χρησιμοποιήσει το default profile και μια προεπιλεγμένη τοποθεσία AWS (όχι gov και όχι cn) για να σας δώσει ένα signed URL που μπορείτε να χρησιμοποιήσετε για να συνδεθείτε στην web κονσόλα:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)


# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Μπορείτε να δημιουργήσετε έναν σύνδεσμο στην κονσόλα web με https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Warning

Βεβαιωθείτε ότι ο χρήστης IAM έχει την άδεια sts:GetFederationToken, ή παρέχετε έναν ρόλο για ανάληψη.

aws-vault

aws-vault είναι ένα εργαλείο για ασφαλή αποθήκευση και πρόσβαση στα AWS credentials σε περιβάλλον ανάπτυξης.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Note

Μπορείτε επίσης να χρησιμοποιήσετε aws-vault για να αποκτήσετε μια συνεδρία της κονσόλας του browser

Από το Web Console στις IAM Creds

Η επέκταση του browser https://github.com/AI-redteam/clier μπορεί να υποκλέπτει από το δίκτυο τα IAM credentials πριν αυτά προστατευτούν στη μνήμη του browser.

Παρακάμψτε τους περιορισμούς User-Agent από Python

Αν υπάρχει περιορισμός για την εκτέλεση ορισμένων ενεργειών βάσει του user agent που χρησιμοποιείται (όπως περιορισμός της χρήσης της python boto3 library βάσει του user agent), είναι δυνατό να χρησιμοποιήσετε την προηγούμενη τεχνική για να συνδεθείτε στο web console μέσω ενός browser, ή μπορείτε απευθείας να τροποποιήσετε τον boto3 user-agent κάνοντας:

# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")

# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )

# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])

sts:GetFederationToken

Με αυτή την άδεια είναι δυνατόν να δημιουργηθεί μια ομοσπονδιακή ταυτότητα για τον χρήστη που την εκτελεί, περιορισμένη στις άδειες που έχει αυτός ο χρήστης.

aws sts get-federation-token --name <username>

Το token που επιστρέφεται από το sts:GetFederationToken ανήκει στην federated identity του καλούντος χρήστη, αλλά με περιορισμένα δικαιώματα. Ακόμα κι αν ο χρήστης έχει δικαιώματα διαχειριστή, ορισμένες ενέργειες — όπως η απαρίθμηση χρηστών IAM ή η επισύναψη πολιτικών — δεν μπορούν να εκτελεστούν μέσω του federated token.

Επιπλέον, αυτή η μέθοδος είναι κάπως πιο διακριτική, καθώς ο federated user δεν εμφανίζεται στο AWS Portal — μπορεί να παρατηρηθεί μόνο μέσω των CloudTrail logs ή εργαλείων παρακολούθησης.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.