AWS Pentesting

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Informations de base

Avant de commencer le pentesting d’un environnement AWS, il y a quelques choses de base que vous devez savoir sur le fonctionnement d’AWS pour vous aider à comprendre ce que vous devez faire, comment trouver des erreurs de configuration et comment les exploiter.

Des concepts tels que la hiĂ©rarchie des organisations, IAM et d’autres concepts de base sont expliquĂ©s dans :

AWS - Basic Information

Laboratoires pour apprendre

Outils pour simuler des attaques :

MĂ©thodologie de Pentester/Red Team AWS

Pour auditer un environnement AWS, il est trÚs important de savoir : quels services sont utilisés, ce qui est exposé, qui a accÚs à quoi, et comment les services internes AWS et les services externes sont connectés.

Du point de vue d’une Red Team, le premier pas pour compromettre un environnement AWS est d’obtenir des identifiants. Voici quelques idĂ©es sur comment faire cela :

  • Fuites sur github (ou similaire) - OSINT
  • IngĂ©nierie Sociale
  • RĂ©utilisation de mots de passe (fuites de mots de passe)
  • VulnĂ©rabilitĂ©s dans les applications hĂ©bergĂ©es sur AWS
  • Server Side Request Forgery avec accĂšs au point de terminaison des mĂ©tadonnĂ©es
  • Lecture de fichiers locaux
  • /home/USERNAME/.aws/credentials
  • C:\Users\USERNAME\.aws\credentials
  • Violations de tiers
  • EmployĂ© interne
  • Cognito identifiants

Ou en compromettant un service non authentifié exposé :

AWS - Unauthenticated Enum & Access

Ou si vous faites une révision, vous pourriez simplement demander des identifiants avec ces rÎles :

AWS - Permissions for a Pentest

Note

AprÚs avoir réussi à obtenir des identifiants, vous devez savoir à qui appartiennent ces identifiants, et à quoi ils ont accÚs, donc vous devez effectuer une énumération de base :

ÉnumĂ©ration de base

SSRF

Si vous avez trouvĂ© un SSRF sur une machine Ă  l’intĂ©rieur d’AWS, consultez cette page pour des astuces :

Cloud SSRF - HackTricks

Whoami

L’une des premiĂšres choses que vous devez savoir est qui vous ĂȘtes (dans quel compte vous ĂȘtes et d’autres informations sur l’environnement AWS) :

# Easiest way, but might be monitored?
aws sts get-caller-identity
aws iam get-user # This will get your own user

# If you have a Key ID
aws sts get-access-key-info --access-key-id=ASIA1234567890123456

# Get inside error message
aws sns publish --topic-arn arn:aws:sns:us-east-1:*account id*:aaa --message aaa

# From metadata
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

Caution

Notez que les entreprises peuvent utiliser des canary tokens pour identifier quand des tokens sont volĂ©s et utilisĂ©s. Il est recommandĂ© de vĂ©rifier si un token est un canary token ou non avant de l’utiliser.
Pour plus d’infos consultez cette page.

Org Enumeration

AWS - Organizations Enum

IAM Enumeration

Si vous avez suffisamment de permissions, vĂ©rifier les privilĂšges de chaque entitĂ© dans le compte AWS vous aidera Ă  comprendre ce que vous et d’autres identitĂ©s pouvez faire et comment escalader les privilĂšges.

Si vous n’avez pas assez de permissions pour Ă©numĂ©rer IAM, vous pouvez les voler par bruteforce pour les dĂ©couvrir.
VĂ©rifiez comment faire l’énumĂ©ration et le bruteforce dans :

AWS - IAM, Identity Center & SSO Enum

Note

Maintenant que vous avez des informations sur vos identifiants (et si vous ĂȘtes une Ă©quipe rouge, espĂ©rons que vous n’avez pas Ă©tĂ© dĂ©tectĂ©). Il est temps de dĂ©couvrir quels services sont utilisĂ©s dans l’environnement.
Dans la section suivante, vous pouvez vĂ©rifier quelques façons d’énumĂ©rer certains services courants.

Services Enumeration, Post-Exploitation & Persistence

AWS a un nombre Ă©tonnant de services, dans la page suivante vous trouverez des informations de base, des cheatsheets d’énumĂ©ration, comment Ă©viter la dĂ©tection, obtenir de la persistance, et d’autres astuces de post-exploitation Ă  propos de certains d’entre eux :

AWS - Services

Notez que vous n’avez pas besoin d’effectuer tout le travail manuellement, ci-dessous dans ce post, vous pouvez trouver une section sur les outils automatiques.

De plus, Ă  ce stade, vous pourriez avoir dĂ©couvert plus de services exposĂ©s aux utilisateurs non authentifiĂ©s, vous pourriez ĂȘtre en mesure de les exploiter :

AWS - Unauthenticated Enum & Access

Privilege Escalation

Si vous pouvez vĂ©rifier au moins vos propres permissions sur diffĂ©rentes ressources, vous pourriez vĂ©rifier si vous ĂȘtes capable d’obtenir des permissions supplĂ©mentaires. Vous devriez vous concentrer au moins sur les permissions indiquĂ©es dans :

AWS - Privilege Escalation

Publicly Exposed Services

En Ă©numĂ©rant les services AWS, vous pourriez avoir trouvĂ© certains d’entre eux exposant des Ă©lĂ©ments Ă  Internet (ports VM/Containers, bases de donnĂ©es ou services de file d’attente, instantanĂ©s ou buckets
).
En tant que pentester/équipe rouge, vous devriez toujours vérifier si vous pouvez trouver des informations sensibles / vulnérabilités sur eux, car ils pourraient vous fournir un accÚs supplémentaire au compte AWS.

Dans ce livre, vous devriez trouver des informations sur comment trouver des services AWS exposés et comment les vérifier. Concernant comment trouver des vulnérabilités dans des services réseau exposés, je vous recommanderais de chercher le service spécifique dans :

HackTricks - HackTricks

Compromising the Organization

From the root/management account

Lorsque le compte de gestion crĂ©e de nouveaux comptes dans l’organisation, un nouveau rĂŽle est crĂ©Ă© dans le nouveau compte, nommĂ© par dĂ©faut OrganizationAccountAccessRole et donnant la politique AdministratorAccess au compte de gestion pour accĂ©der au nouveau compte.

Ainsi, pour accĂ©der en tant qu’administrateur Ă  un compte enfant, vous devez :

  • Compromettre le compte de gestion et trouver l’ID des comptes enfants et les noms du rĂŽle (OrganizationAccountAccessRole par dĂ©faut) permettant au compte de gestion d’accĂ©der en tant qu’admin.
  • Pour trouver les comptes enfants, allez dans la section des organisations dans la console AWS ou exĂ©cutez aws organizations list-accounts
  • Vous ne pouvez pas trouver le nom des rĂŽles directement, donc vĂ©rifiez toutes les politiques IAM personnalisĂ©es et recherchez celles permettant sts:AssumeRole sur les comptes enfants prĂ©cĂ©demment dĂ©couverts.
  • Compromettre un principal dans le compte de gestion avec la permission sts:AssumeRole sur le rĂŽle dans les comptes enfants (mĂȘme si le compte permet Ă  quiconque du compte de gestion de se faire passer pour, Ă©tant un compte externe, des permissions spĂ©cifiques sts:AssumeRole sont nĂ©cessaires).

Automated Tools

Recon

  • aws-recon: Un outil de collecte d’inventaire axĂ© sur la sĂ©curitĂ© AWS, multi-threadĂ©, Ă©crit en Ruby.
# Install
gem install aws_recon

# Recon and get json
AWS_PROFILE=<profile> aws_recon \
--services S3,EC2 \
--regions global,us-east-1,us-east-2 \
--verbose
  • cloudlist: Cloudlist est un outil multi-cloud pour obtenir des actifs (noms d’hĂŽtes, adresses IP) des fournisseurs de cloud.
  • cloudmapper: CloudMapper vous aide Ă  analyser vos environnements Amazon Web Services (AWS). Il contient dĂ©sormais beaucoup plus de fonctionnalitĂ©s, y compris l’audit des problĂšmes de sĂ©curitĂ©.
# Installation steps in github
# Create a config.json file with the aws info, like:
{
"accounts": [
{
"default": true,
"id": "<account id>",
"name": "dev"
}
],
"cidrs":
{
"2.2.2.2/28": {"name": "NY Office"}
}
}

# Enumerate
python3 cloudmapper.py collect --profile dev
## Number of resources discovered
python3 cloudmapper.py stats --accounts dev

# Create HTML report
## In the report you will find all the info already
python3 cloudmapper.py report --accounts dev

# Identify potential issues
python3 cloudmapper.py audit --accounts dev --json > audit.json
python3 cloudmapper.py audit --accounts dev --markdow > audit.md
python3 cloudmapper.py iam_report --accounts dev

# Identify admins
## The permissions search for are in https://github.com/duo-labs/cloudmapper/blob/4df9fd7303e0337ff16a08f5e58f1d46047c4a87/shared/iam_audit.py#L163-L175
python3 cloudmapper.py find_admins --accounts dev

# Identify unused elements
python3 cloudmapper.py find_unused --accounts dev

# Identify publivly exposed resources
python3 cloudmapper.py public --accounts dev

python cloudmapper.py prepare #Prepare webserver
python cloudmapper.py webserver #Show webserver
  • cartographie: Cartographie est un outil Python qui consolide les actifs d’infrastructure et les relations entre eux dans une vue graphique intuitive alimentĂ©e par une base de donnĂ©es Neo4j.
# Install
pip install cartography
## At the time of this writting you need neo4j version 3.5.*

# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt  --neo4j-user neo4j
  • starbase : Starbase collecte des actifs et des relations provenant de services et de systĂšmes, y compris l’infrastructure cloud, les applications SaaS, les contrĂŽles de sĂ©curitĂ©, et plus encore, dans une vue graphique intuitive soutenue par la base de donnĂ©es Neo4j.
  • aws-inventory : (Utilise python2) C’est un outil qui essaie de dĂ©couvrir tous les ressources AWS crĂ©Ă©es dans un compte.
  • aws_public_ips : C’est un outil pour rĂ©cupĂ©rer toutes les adresses IP publiques (Ă  la fois IPv4/IPv6) associĂ©es Ă  un compte AWS.

Privesc & Exploitation

# Install
## Feel free to use venvs
pip3 install pacu

# Use pacu CLI
pacu
> import_keys <profile_name> # import 1 profile from .aws/credentials
> import_keys --all # import all profiles
> list # list modules
> exec iam__enum_permissions # Get permissions
> exec iam__privesc_scan # List privileged permissions
  • PMapper : Principal Mapper (PMapper) est un script et une bibliothĂšque pour identifier les risques dans la configuration de AWS Identity and Access Management (IAM) pour un compte AWS ou une organisation AWS. Il modĂ©lise les diffĂ©rents utilisateurs et rĂŽles IAM dans un compte sous forme de graphe orientĂ©, ce qui permet de vĂ©rifier les Ă©lĂ©vations de privilĂšges et les chemins alternatifs qu’un attaquant pourrait emprunter pour accĂ©der Ă  une ressource ou Ă  une action dans AWS. Vous pouvez vĂ©rifier les permissions utilisĂ©es pour trouver des chemins de privesc dans les fichiers se terminant par _edges.py dans https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing
# Install
pip install principalmapper

# Get data
pmapper --profile dev graph create
pmapper --profile dev graph display # Show basic info
# Generate graph
pmapper --profile dev visualize # Generate svg graph file (can also be png, dot and graphml)
pmapper --profile dev visualize --only-privesc # Only privesc permissions

# Generate analysis
pmapper --profile dev analysis
## Run queries
pmapper --profile dev query 'who can do iam:CreateUser'
pmapper --profile dev query 'preset privesc *' # Get privescs with admins

# Get organization hierarchy data
pmapper --profile dev orgs create
pmapper --profile dev orgs display
  • cloudsplaining : Cloudsplaining est un outil d’évaluation de la sĂ©curitĂ© AWS IAM qui identifie les violations du principe du moindre privilĂšge et gĂ©nĂšre un rapport HTML priorisĂ© par risque.
    Il vous montrera les clients trop privilĂ©giĂ©s, les politiques en ligne et AWS, ainsi que les principaux ayant accĂšs Ă  celles-ci. (Il vĂ©rifie non seulement les Ă©lĂ©vations de privilĂšges, mais aussi d’autres types de permissions intĂ©ressantes, recommandĂ© Ă  utiliser).
# Install
pip install cloudsplaining

# Download IAM policies to check
## Only the ones attached with the versions used
cloudsplaining download --profile dev

# Analyze the IAM policies
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/
  • cloudjack : CloudJack Ă©value les comptes AWS pour des vulnĂ©rabilitĂ©s de dĂ©tournement de sous-domaine en raison de configurations dĂ©connectĂ©es de Route53 et CloudFront.
  • ccat : Lister les dĂ©pĂŽts ECR -> Tirer le dĂ©pĂŽt ECR -> Installer un backdoor -> Pousser l’image avec backdoor
  • Dufflebag : Dufflebag est un outil qui cherche Ă  travers les snapshots publics d’Elastic Block Storage (EBS) des secrets qui ont pu ĂȘtre accidentellement laissĂ©s.

Audit

  • cloudsploit: CloudSploit par Aqua est un projet open-source conçu pour permettre la dĂ©tection des risques de sĂ©curitĂ© dans les comptes d’infrastructure cloud, y compris : Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) et GitHub (Il ne recherche pas les ShadowAdmins).
./index.js --csv=file.csv --console=table --config ./config.js

# Compiance options: --compliance {hipaa,cis,cis1,cis2,pci}
## use "cis" for cis level 1 and 2
  • Prowler : Prowler est un outil de sĂ©curitĂ© Open Source pour effectuer des Ă©valuations des meilleures pratiques de sĂ©curitĂ© AWS, des audits, des rĂ©ponses aux incidents, une surveillance continue, un durcissement et une prĂ©paration Ă  la criminalistique.
# Install python3, jq and git
# Install
pip install prowler
prowler -v

# Run
prowler <provider>
prowler aws --profile custom-profile [-M csv json json-asff html]
  • CloudFox: CloudFox vous aide Ă  acquĂ©rir une conscience situationnelle dans des environnements cloud inconnus. C’est un outil en ligne de commande open source crĂ©Ă© pour aider les testeurs de pĂ©nĂ©tration et d’autres professionnels de la sĂ©curitĂ© offensive Ă  trouver des chemins d’attaque exploitables dans l’infrastructure cloud.
cloudfox aws --profile [profile-name] all-checks
  • ScoutSuite : Scout Suite est un outil d’audit de sĂ©curitĂ© multi-cloud open source, qui permet l’évaluation de la posture de sĂ©curitĂ© des environnements cloud.
# Install
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help

# Get info
scout aws -p dev
  • cs-suite : Cloud Security Suite (utilise python2.7 et semble non maintenu)
  • Zeus : Zeus est un outil puissant pour les meilleures pratiques de durcissement AWS EC2 / S3 / CloudTrail / CloudWatch / KMS (semble non maintenu). Il vĂ©rifie uniquement les identifiants configurĂ©s par dĂ©faut dans le systĂšme.

Audit Constant

  • cloud-custodian : Cloud Custodian est un moteur de rĂšgles pour gĂ©rer les comptes et ressources de cloud public. Il permet aux utilisateurs de dĂ©finir des politiques pour permettre une infrastructure cloud bien gĂ©rĂ©e, Ă  la fois sĂ©curisĂ©e et optimisĂ©e en coĂ»ts. Il consolide de nombreux scripts ad hoc que les organisations ont en un outil lĂ©ger et flexible, avec des mĂ©triques et des rapports unifiĂ©s.
  • pacbot** : Policy as Code Bot (PacBot)** est une plateforme pour la surveillance continue de la conformitĂ©, le reporting de conformitĂ© et l’automatisation de la sĂ©curitĂ© pour le cloud. Dans PacBot, les politiques de sĂ©curitĂ© et de conformitĂ© sont mises en Ɠuvre sous forme de code. Toutes les ressources dĂ©couvertes par PacBot sont Ă©valuĂ©es par rapport Ă  ces politiques pour mesurer la conformitĂ© aux politiques. Le cadre auto-fix de PacBot offre la possibilitĂ© de rĂ©pondre automatiquement aux violations de politiques en prenant des actions prĂ©dĂ©finies.
  • streamalert** :** StreamAlert est un cadre d’analyse de donnĂ©es en temps rĂ©el sans serveur qui vous permet de ingĂ©rer, analyser et alerter sur des donnĂ©es provenant de n’importe quel environnement, en utilisant des sources de donnĂ©es et une logique d’alerte que vous dĂ©finissez. Les Ă©quipes de sĂ©curitĂ© informatique utilisent StreamAlert pour scanner des tĂ©raoctets de donnĂ©es de journaux chaque jour pour la dĂ©tection et la rĂ©ponse aux incidents.

DEBUG : Capturer les requĂȘtes AWS cli

# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080

# Capture with burp nor verifying ssl
aws --no-verify-ssl ...

# Dowload brup cert and transform it to pem
curl http://127.0.0.1:8080/cert --output Downloads/certificate.cer
openssl x509 -inform der -in Downloads/certificate.cer -out Downloads/certificate.pem

# Indicate the ca cert to trust
export AWS_CA_BUNDLE=~/Downloads/certificate.pem

# Run aws cli normally trusting burp cert
aws ...

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks