HackTricks CloudAWS - API Gateway Unauthenticated Enum
Reading time: 4 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
Contournement de l'invocation de l'API
Selon la présentation Attack Vectors for APIs Using AWS API Gateway Lambda Authorizers - Alexandre & Leonardo, les Lambda Authorizers peuvent être configurés en utilisant la syntaxe IAM pour donner des permissions d'invocation des points de terminaison API. Cela est tiré de la documentation:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Permission",
"Action": ["execute-api:Execution-operation"],
"Resource": [
"arn:aws:execute-api:region:account-id:api-id/stage/METHOD_HTTP_VERB/Resource-path"
]
}
]
}
Le problème avec cette façon de donner des permissions pour invoquer des points de terminaison est que le "*" implique "tout" et qu'il n'y a plus de syntaxe regex supportée.
Quelques exemples :
- Une règle telle que
arn:aws:execute-apis:sa-east-1:accid:api-id/prod/*/dashboard/*afin de donner à chaque utilisateur accès à/dashboard/user/{username}leur donnera accès à d'autres routes telles que/admin/dashboard/createAdminpar exemple.
warning
Notez que "*" ne cesse pas de s'étendre avec des barres obliques, donc, si vous utilisez "*" dans api-id par exemple, cela pourrait également indiquer "n'importe quelle étape" ou "n'importe quelle méthode" tant que la regex finale est toujours valide.
Donc arn:aws:execute-apis:sa-east-1:accid:*/prod/GET/dashboard/*
Peut valider une requête post pour tester l'étape au chemin /prod/GET/dashboard/admin par exemple.
Vous devez toujours avoir clairement en tête ce que vous souhaitez autoriser à accéder et ensuite vérifier si d'autres scénarios sont possibles avec les permissions accordées.
Pour plus d'infos, en plus des docs, vous pouvez trouver du code pour implémenter des autorisateurs dans ce github officiel aws.
Injection de politique IAM
Dans la même discussion, il est exposé que si le code utilise l'entrée utilisateur pour générer les politiques IAM, des jokers (et d'autres tels que "." ou des chaînes spécifiques) peuvent y être inclus dans le but de contourner les restrictions.
Modèle d'URL publique
https://{random_id}.execute-api.{region}.amazonaws.com/{user_provided}
Obtenir l'ID de compte à partir de l'URL publique de l'API Gateway
Tout comme avec les buckets S3, Data Exchange et les URL de passerelles Lambda, il est possible de trouver l'ID de compte d'un compte en abusant de la aws:ResourceAccount Policy Condition Key à partir d'une URL publique de l'API Gateway. Cela se fait en trouvant l'ID de compte un caractère à la fois en abusant des jokers dans la section aws:ResourceAccount de la politique.
Cette technique permet également d'obtenir les valeurs des tags si vous connaissez la clé du tag (il y en a quelques-unes par défaut intéressantes).
Vous pouvez trouver plus d'informations dans la recherche originale et l'outil conditional-love pour automatiser cette exploitation.
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.