AWS - 目录服务 / WorkDocs 枚举

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

目录服务

AWS 目录服务为 Microsoft Active Directory 提供了一项托管服务,使您能够轻松地在 AWS 云中设置、操作和扩展目录。它基于实际的Microsoft Active Directory构建,并与其他 AWS 服务紧密集成,使您能够轻松管理目录感知的工作负载和 AWS 资源。使用 AWS 托管的 Microsoft AD,您可以使用现有的 Active Directory 用户、组和策略来管理对 AWS 资源的访问。这可以帮助简化您的身份管理,并减少对额外身份解决方案的需求。AWS 托管的 Microsoft AD 还提供自动备份和灾难恢复功能,帮助确保您的目录的可用性和持久性。总体而言,AWS 目录服务为 Microsoft Active Directory 可以通过提供一个托管的、高可用的和可扩展的 Active Directory 服务来帮助您节省时间和资源。

选项

目录服务允许创建 5 种类型的目录:

  • AWS 托管的 Microsoft AD:将在 AWS 中运行一个新的Microsoft AD。您将能够设置管理员密码并访问 VPC 中的 DC。
  • 简单 AD:将是一个Linux-Samba 兼容的 Active Directory 服务器。您将能够设置管理员密码并访问 VPC 中的 DC。
  • AD 连接器:一个代理,用于将目录请求重定向到您现有的 Microsoft Active Directory,而不在云中缓存任何信息。它将在VPC中监听,您需要提供访问现有 AD 的凭据
  • Amazon Cognito 用户池:这与 Cognito 用户池相同。
  • 云目录:这是最简单的一个。一个无服务器目录,您指明要使用的模式并根据使用情况计费

AWS 目录服务允许与您现有的本地 Microsoft AD同步在 AWS 中运行您自己的,或与其他目录类型同步。

实验室

在这里,您可以找到一个很好的教程来创建您自己的 Microsoft AD 在 AWS 中:https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_base.html

枚举

# Get directories and DCs
aws ds describe-directories
aws ds describe-domain-controllers --directory-id <id>
# Get directory settings
aws ds describe-trusts
aws ds describe-ldaps-settings --directory-id <id>
aws ds describe-shared-directories --owner-directory-id <id>
aws ds get-directory-limits
aws ds list-certificates --directory-id <id>
aws ds describe-certificate --directory-id <id> --certificate-id <id>

登录

请注意,如果目录的描述字段中的**AccessUrl包含域**,则可能是因为用户可以使用其AD凭据在某些AWS服务登录

  • <name>.awsapps.com/connect (Amazon Connect)
  • <name>.awsapps.com/workdocs (Amazon WorkDocs)
  • <name>.awsapps.com/workmail (Amazon WorkMail)
  • <name>.awsapps.com/console (Amazon Management Console)
  • <name>.awsapps.com/start (IAM Identity Center)

权限提升

AWS - Directory Services Privesc

持久性

使用AD用户

可以通过角色赋予AD用户对AWS管理控制台的访问权限默认用户名是Admin,可以从AWS控制台更改其密码

因此,可以更改Admin的密码创建新用户更改用户的密码并授予该用户一个角色以保持访问权限。
还可以将用户添加到AD中的组授予该AD组对角色的访问权限(以使这种持久性更加隐蔽)。

共享AD(从受害者到攻击者)

可以将AD环境从受害者共享给攻击者。这样,攻击者将能够继续访问AD环境。
然而,这意味着要共享托管的AD并创建VPC对等连接。

您可以在这里找到指南:https://docs.aws.amazon.com/directoryservice/latest/admin-guide/step1_setup_networking.html

共享AD(从攻击者到受害者)

似乎无法将AWS访问权限授予来自不同AD环境的用户到一个AWS账户。

WorkDocs

Amazon Web Services (AWS) WorkDocs是一个基于云的文件存储和共享服务。它是AWS云计算服务套件的一部分,旨在为组织提供一个安全且可扩展的解决方案,以存储、共享和协作处理文件和文档。

AWS WorkDocs提供了一个基于Web的界面,供用户上传、访问和管理他们的文件和文档。它还提供版本控制、实时协作以及与其他AWS服务和第三方工具的集成功能。

枚举

# Get AD users (Admin not included)
aws workdocs describe-users --organization-id <directory-id>
# Get AD groups (containing "a")
aws workdocs describe-groups --organization-id d-9067a0285c --search-query a

# Create user (created inside the AD)
aws workdocs create-user --username testingasd --given-name testingasd --surname testingasd --password <password> --email-address name@directory.domain --organization-id <directory-id>

# Get what each user has created
aws workdocs describe-activities --user-id "S-1-5-21-377..."

# Get what was created in the directory
aws workdocs describe-activities --organization-id <directory-id>

# Get folder content
aws workdocs describe-folder-contents --folder-id <fold-id>

# Get file (a url to access with the content will be retreived)
aws workdocs get-document --document-id <doc-id>

# Get resource permissions if any
aws workdocs describe-resource-permissions --resource-id <value>

# Add permission so anyway can see the file
aws workdocs add-resource-permissions --resource-id <id> --principals Id=anonymous,Type=ANONYMOUS,Role=VIEWER
## This will give an id, the file will be acesible in: https://<name>.awsapps.com/workdocs/index.html#/share/document/<id>

提权

AWS - WorkDocs Privesc

Tip

学习并练习 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks