AWS - Federation Abuse

Reading time: 4 minutes

tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

SAML

SAMLに関する情報は以下を確認してください：

SAML Attacks - HackTricks

SAMLを通じたアイデンティティフェデレーションを構成するには、名前とすべてのSAML構成を含むメタデータXML（エンドポイント、公開鍵を持つ証明書）を提供するだけです。

OIDC - Github Actions Abuse

アイデンティティプロバイダーとしてgithubアクションを追加するには：

_プロバイダータイプ_としてOpenID Connectを選択します。
_プロバイダーURL_にhttps://token.actions.githubusercontent.comを入力します。
_サムプリントを取得_をクリックしてプロバイダーのサムプリントを取得します。
_オーディエンス_にsts.amazonaws.comを入力します。
githubアクションが必要とする権限を持つ新しいロールを作成し、次のようなプロバイダーを信頼する信頼ポリシーを設定します：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::0123456789:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:sub": [ "repo:ORG_OR_USER_NAME/REPOSITORY:pull_request", "repo:ORG_OR_USER_NAME/REPOSITORY:ref:refs/heads/main" ], "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" } } } ] }

6. 前述のポリシーでは、特定の**トリガー**で**組織**の**リポジトリ**の**ブランチ**のみが承認されていることに注意してください。
7. githubアクションが**なりすます**ことができる**ロール**の**ARN**は、githubアクションが知っておく必要がある「秘密」になるため、**環境**内の**シークレット**に**保存**します。
8. 最後に、ワークフローで使用するAWSクレデンシャルを設定するためにgithubアクションを使用します：

name: "test AWS Access"

The workflow should only trigger on pull requests to the main branch

on: pull_request: branches:

main

Required to get the ID Token that will be used for OIDC

permissions: id-token: write contents: read # needed for private repos to checkout

jobs: aws: runs-on: ubuntu-latest steps:

name: Checkout uses: actions/checkout@v3
name: Configure AWS Credentials uses: aws-actions/configure-aws-credentials@v1 with: aws-region: eu-west-1 role-to-assume:${{ secrets.READ_ROLE }} role-session-name: OIDCSession
run: aws sts get-caller-identity shell: bash

## OIDC - EKSの悪用

Crate an EKS cluster (~10min)

eksctl create cluster --name demo --fargate

Create an Identity Provider for an EKS cluster

eksctl utils associate-iam-oidc-provider --cluster Testing --approve

**OIDCプロバイダー**を**EKS**クラスターで生成することは、クラスターの**OIDC URL**を**新しいOpen IDアイデンティティプロバイダー**として設定するだけで可能です。これは一般的なデフォルトポリシーです：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::123456789098:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "oidc.eks.us-east-1.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:aud": "sts.amazonaws.com" } } } ] }

このポリシーは、**id** `20C159CDF6F2349B68846BEC03BE031B` を持つ **EKS クラスター** のみがロールを引き受けることができることを正しく示しています。しかし、どのサービスアカウントがそれを引き受けることができるかは示されていないため、**ウェブアイデンティティトークンを持つ任意のサービスアカウント** がロールを **引き受けることができる** ことになります。

**どのサービスアカウントがロールを引き受けることができるかを指定するためには、** **サービスアカウント名が指定される条件** を指定する必要があります。

"oidc.eks.region-code.amazonaws.com/id/20C159CDF6F2349B68846BEC03BE031B:sub": "system:serviceaccount:default:my-service-account",