Voordat jy begin pentesting 'n AWS omgewing, is daar 'n paar basiese dinge wat jy moet weet oor hoe AWS werk om jou te help verstaan wat jy moet doen, hoe om miskonfigurasies te vind en hoe om dit te benut.

Konsepte soos organisasiehiërargie, IAM en ander basiese konsepte word verduidelik in:

{{#ref}} aws-basic-information/ {{#endref}}

Laboratoriums om te leer

Gereedskap om aanvalle te simuleer:

AWS Pentester/Red Team Metodologie

Om 'n AWS omgewing te oudit, is dit baie belangrik om te weet: watter dienste gebruik word, wat is blootgestel, wie het toegang tot wat, en hoe is interne AWS dienste en eksterne dienste gekoppel.

Vanuit 'n Red Team perspektief, is die eerste stap om 'n AWS omgewing te kompromitteer om daarin te slaag om 'n paar akkrediteerbare inligting te verkry. Hier is 'n paar idees oor hoe om dit te doen:

Leaks in github (of soortgelyk) - OSINT
Sosiale Ingenieurswese
Wagwoord hergebruik (wagwoordlekke)
Kwesbaarhede in AWS-gehoste toepassings
Server Side Request Forgery met toegang tot metadata-eindpunt
Plaaslike Lêer Lees
/home/USERNAME/.aws/credentials
C:\Users\USERNAME\.aws\credentials
3de partye gekompromitteer
Interne Werknemer
Cognito akkrediteerbare inligting

Of deur 'n nie-geauthentiseerde diens wat blootgestel is te kompromitteer:

{{#ref}} aws-unauthenticated-enum-access/ {{#endref}}

Of as jy 'n hersiening doen, kan jy net vraag vir akkrediteerbare inligting met hierdie rolle:

{{#ref}} aws-permissions-for-a-pentest.md {{#endref}}

Note

Nadat jy daarin geslaag het om akkrediteerbare inligting te verkry, moet jy weet aan wie behoort daardie akkrediteerbare inligting, en waartoe hulle toegang het, so jy moet 'n paar basiese enumerasie uitvoer:

Basiese Enumerasie

SSRF

As jy 'n SSRF in 'n masjien binne AWS gevind het, kyk na hierdie bladsy vir truuks:

{{#ref}} https://book.hacktricks.wiki/en/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf.html {{#endref}}

Whoami

Een van die eerste dinge wat jy moet weet, is wie jy is (in watter rekening jy is en ander inligting oor die AWS omgewing):

# Easiest way, but might be monitored?
aws sts get-caller-identity
aws iam get-user # This will get your own user

# If you have a Key ID
aws sts get-access-key-info --access-key-id=ASIA1234567890123456

# Get inside error message
aws sns publish --topic-arn arn:aws:sns:us-east-1:*account id*:aaa --message aaa

# From metadata
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

Caution

Let daarop dat maatskappye kanarie tokens mag gebruik om te identifiseer wanneer tokens gesteel en gebruik word. Dit word aanbeveel om te kontroleer of 'n token 'n kanarie token is of nie voordat jy dit gebruik.
Vir meer inligting kyk na hierdie bladsy.

Organisasie Enumerasie

{{#ref}} aws-services/aws-organizations-enum.md {{#endref}}

IAM Enumerasie

As jy genoeg regte het, sal die privileges van elke entiteit binne die AWS-rekening nagaan jou help om te verstaan wat jy en ander identiteite kan doen en hoe om privileges te verhoog.

As jy nie genoeg regte het om IAM te evalueer nie, kan jy dit steal bruteforce om dit uit te vind.
Kyk hoe om die numerasie en bruteforcing te doen in:

{{#ref}} aws-services/aws-iam-enum.md {{#endref}}

Note

Nou dat jy 'n bietjie inligting oor jou akrediteer (en as jy 'n rooi span is hoop ek jy is nie opgespoor nie). Dit is tyd om uit te vind watter dienste in die omgewing gebruik word.
In die volgende afdeling kan jy 'n paar maniere kyk om 'n paar algemene dienste te evalueer.

Dienste Enumerasie, Post-Exploitation & Persistensie

AWS het 'n verbasende hoeveelheid dienste, in die volgende bladsy sal jy basiese inligting, enumerasie cheatsheets**,** hoe om opsporing te vermy, persistensie te verkry, en ander post-exploitation truuks oor sommige van hulle vind:

{{#ref}} aws-services/ {{#endref}}

Let daarop dat jy nie al die werk handmatig hoef te doen nie, hieronder in hierdie pos kan jy 'n afdeling oor outomatiese gereedskap vind.

Boonop, in hierdie fase mag jy meer dienste ontdek wat aan nie-geverifieerde gebruikers blootgestel is, jy mag in staat wees om dit te benut:

{{#ref}} aws-unauthenticated-enum-access/ {{#endref}}

Privilege Verhoging

As jy ten minste jou eie regte oor verskillende hulpbronne kan nagaan, kan jy kyk of jy in staat is om verdere regte te verkry. Jy moet ten minste fokus op die regte wat in:

{{#ref}} aws-privilege-escalation/ {{#endref}}

Publiek Blootgestelde Dienste

Terwyl jy AWS-dienste evalueer, mag jy sommige van hulle gevind het wat elemente aan die Internet blootstel (VM/Containers poorte, databasisse of wagdiens, snappings of emmers...).
As pentester/rooi spanlid moet jy altyd kyk of jy sensitiewe inligting / kwesbaarhede op hulle kan vind, aangesien dit jou mag voorsien van verdere toegang tot die AWS-rekening.

In hierdie boek moet jy inligting vind oor hoe om blootgestelde AWS-dienste te vind en hoe om dit te kontroleer. Oor hoe om kwesbaarhede in blootgestelde netwerkdienste te vind, sou ek jou aanbeveel om te soek na die spesifieke diens in:

{{#ref}} https://book.hacktricks.wiki/ {{#endref}}

Kompromitering van die Organisasie

Van die wortel/ bestuur rekening

Wanneer die bestuurrekening nuwe rekeninge in die organisasie skep, word 'n nuwe rol in die nuwe rekening geskep, standaard genoem OrganizationAccountAccessRole en gee AdministratorAccess beleid aan die bestuurrekening om toegang tot die nuwe rekening te verkry.

So, om as administrateur toegang te verkry tot 'n kindrekening, moet jy:

Kompromiteer die bestuur rekening en vind die ID van die kindrekening en die name van die rol (OrganizationAccountAccessRole standaard) wat die bestuurrekening toelaat om as admin toegang te verkry.
Om kindrekeninge te vind, gaan na die organisasieseksie in die aws-konsol of hardloop aws organizations list-accounts
Jy kan nie die name van die rolle direk vind nie, so kyk na al die pasgemaakte IAM-beleide en soek enige wat sts:AssumeRole oor die voorheen ontdekte kindrekeninge toelaat.
Kompromiteer 'n hoof in die bestuurrekening met sts:AssumeRole toestemming oor die rol in die kindrekeninge (selfs as die rekening enige iemand van die bestuurrekening toelaat om te verpersoonlik, aangesien dit 'n eksterne rekening is, is spesifieke sts:AssumeRole toestemmings nodig).

Outomatiese Gereedskap

Recon

aws-recon: 'n multi-draad AWS sekuriteitsgefokusde inventaris versamelingsgereedskap geskryf in Ruby.

# Install
gem install aws_recon

# Recon and get json
AWS_PROFILE=<profile> aws_recon \
--services S3,EC2 \
--regions global,us-east-1,us-east-2 \
--verbose

cloudlist: Cloudlist is 'n multi-cloud hulpmiddel om Bate (Gasname, IP Adresse) van Wolk Verskaffers te verkry.
cloudmapper: CloudMapper help jou om jou Amazon Web Services (AWS) omgewings te analiseer. Dit bevat nou baie meer funksionaliteit, insluitend ouditering vir sekuriteitskwessies.

# Installation steps in github
# Create a config.json file with the aws info, like:
{
"accounts": [
{
"default": true,
"id": "<account id>",
"name": "dev"
}
],
"cidrs":
{
"2.2.2.2/28": {"name": "NY Office"}
}
}

# Enumerate
python3 cloudmapper.py collect --profile dev
## Number of resources discovered
python3 cloudmapper.py stats --accounts dev

# Create HTML report
## In the report you will find all the info already
python3 cloudmapper.py report --accounts dev

# Identify potential issues
python3 cloudmapper.py audit --accounts dev --json > audit.json
python3 cloudmapper.py audit --accounts dev --markdow > audit.md
python3 cloudmapper.py iam_report --accounts dev

# Identify admins
## The permissions search for are in https://github.com/duo-labs/cloudmapper/blob/4df9fd7303e0337ff16a08f5e58f1d46047c4a87/shared/iam_audit.py#L163-L175
python3 cloudmapper.py find_admins --accounts dev

# Identify unused elements
python3 cloudmapper.py find_unused --accounts dev

# Identify publivly exposed resources
python3 cloudmapper.py public --accounts dev

python cloudmapper.py prepare #Prepare webserver
python cloudmapper.py webserver #Show webserver

cartography: Cartography is 'n Python-gereedskap wat infrastruktuur bates en die verhoudings tussen hulle in 'n intuïtiewe grafiekweergave saamvoeg, aangedryf deur 'n Neo4j-databasis.

# Install
pip install cartography
## At the time of this writting you need neo4j version 3.5.*

# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt  --neo4j-user neo4j

starbase: Starbase versamel bates en verhoudings van dienste en stelsels, insluitend wolkinfrastruktuur, SaaS-toepassings, sekuriteitsbeheer, en meer in 'n intuïtiewe grafiekweergave wat deur die Neo4j-databasis ondersteun word.
aws-inventory: (Gebruik python2) Dit is 'n hulpmiddel wat probeer om alle AWS hulpbronne wat in 'n rekening geskep is, te ontdek.
aws_public_ips: Dit is 'n hulpmiddel om alle publieke IP-adresse (both IPv4/IPv6) wat met 'n AWS-rekening geassosieer is, te haal.

Privesc & Exploiting

SkyArk: Ontdek die mees bevoorregte gebruikers in die gescande AWS-omgewing, insluitend die AWS Shadow Admins. Dit gebruik powershell. Jy kan die definisie van bevoorregte beleide in die funksie Check-PrivilegedPolicy vind in https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.
pacu: Pacu is 'n oopbron AWS eksploitasiestelsel, ontwerp vir offensiewe sekuriteitstoetsing teen wolkomgewings. Dit kan opnoem, mis-konfigurasies vind en dit eksploiteer. Jy kan die definisie van bevoorregte toestemmings vind in https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 binne die user_escalation_methods dict.
Let daarop dat pacu slegs jou eie privesc-paaie nagaan (nie rekeningwyd nie).

# Install
## Feel free to use venvs
pip3 install pacu

# Use pacu CLI
pacu
> import_keys <profile_name> # import 1 profile from .aws/credentials
> import_keys --all # import all profiles
> list # list modules
> exec iam__enum_permissions # Get permissions
> exec iam__privesc_scan # List privileged permissions

PMapper: Principal Mapper (PMapper) is 'n skrif en biblioteek om risiko's in die konfigurasie van AWS Identity and Access Management (IAM) vir 'n AWS-rekening of 'n AWS-organisasie te identifiseer. Dit modelleer die verskillende IAM-gebruikers en rolle in 'n rekening as 'n gerigte grafiek, wat toelaat dat kontroles vir privilege escalation en vir alternatiewe paaie wat 'n aanvaller kan neem om toegang tot 'n hulpbron of aksie in AWS te verkry, gedoen word. Jy kan die permissions used to find privesc paaie in die lêername wat eindig op _edges.py in https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing nagaan.

# Install
pip install principalmapper

# Get data
pmapper --profile dev graph create
pmapper --profile dev graph display # Show basic info
# Generate graph
pmapper --profile dev visualize # Generate svg graph file (can also be png, dot and graphml)
pmapper --profile dev visualize --only-privesc # Only privesc permissions

# Generate analysis
pmapper --profile dev analysis
## Run queries
pmapper --profile dev query 'who can do iam:CreateUser'
pmapper --profile dev query 'preset privesc *' # Get privescs with admins

# Get organization hierarchy data
pmapper --profile dev orgs create
pmapper --profile dev orgs display

cloudsplaining: Cloudsplaining is 'n AWS IAM Sekuriteitsbeoordeling hulpmiddel wat oortredings van die minste voorreg identifiseer en 'n risiko-geprioritiseerde HTML-verslag genereer.
Dit sal jou moontlik oorvoorregte kliënt, inline en aws beleide wys en watter beginsels toegang tot hulle het. (Dit kontroleer nie net vir privesc nie, maar ook ander soort interessante toestemmings, dit word aanbeveel om te gebruik).

# Install
pip install cloudsplaining

# Download IAM policies to check
## Only the ones attached with the versions used
cloudsplaining download --profile dev

# Analyze the IAM policies
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/

cloudjack: CloudJack evalueer AWS-rekeninge vir subdomein-hijacking kwesbaarhede as gevolg van ontkoppelde Route53 en CloudFront konfigurasies.
ccat: Lys ECR repos -> Trek ECR repo -> Backdoor dit -> Stoot backdoored beeld
Dufflebag: Dufflebag is 'n hulpmiddel wat soek deur openbare Elastic Block Storage (EBS) snapshots vir geheime wat dalk per ongeluk agtergelaat is.

Oudit

cloudsploit: CloudSploit deur Aqua is 'n oopbronprojek wat ontwerp is om die opsporing van veiligheidsrisiko's in wolkinfrastruktuur rekeninge moontlik te maak, insluitend: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI), en GitHub (Dit soek nie na ShadowAdmins nie).

./index.js --csv=file.csv --console=table --config ./config.js

# Compiance options: --compliance {hipaa,cis,cis1,cis2,pci}
## use "cis" for cis level 1 and 2

Prowler: Prowler is 'n Open Source sekuriteitstoepassing om AWS sekuriteit beste praktyke assesserings, ouditte, insidentrespons, deurlopende monitering, verharding en forensiese gereedheid uit te voer.

# Install python3, jq and git
# Install
pip install prowler
prowler -v

# Run
prowler <provider>
prowler aws --profile custom-profile [-M csv json json-asff html]

CloudFox: CloudFox help jou om situasionele bewustheid te verkry in onbekende wolkomgewings. Dit is 'n oopbron-opdraglyn hulpmiddel wat geskep is om penetrasietoetsers en ander offensiewe sekuriteitsprofessionals te help om ontginbare aanvalspaaie in wolkinfrastruktuur te vind.

cloudfox aws --profile [profile-name] all-checks

ScoutSuite: Scout Suite is 'n oopbron multi-cloud sekuriteitsouditeringstoel, wat sekuriteitsposisie-evaluering van wolkomgewings moontlik maak.

# Install
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help

# Get info
scout aws -p dev

cs-suite: Cloud Security Suite (gebruik python2.7 en lyk ononderhoude)
Zeus: Zeus is 'n kragtige hulpmiddel vir AWS EC2 / S3 / CloudTrail / CloudWatch / KMS beste versterking praktyke (lyk ononderhoude). Dit kontroleer slegs standaard geconfigureerde kredensiale binne die stelsel.

Konstante Oudit

cloud-custodian: Cloud Custodian is 'n reëlsengine vir die bestuur van openbare wolk rekeninge en hulpbronne. Dit stel gebruikers in staat om beleide te definieer om 'n goed bestuurde wolkinfrastruktuur te enable, wat beide veilig en koste-geoptimaliseer is. Dit konsolideer baie van die adhoc skripte wat organisasies het in 'n liggewig en buigsame hulpmiddel, met verenigde metrieke en verslagdoening.
pacbot: Policy as Code Bot (PacBot) is 'n platform vir deurlopende nakoming monitering, nakoming verslagdoening en sekuriteitsoutomatisering vir die wolk. In PacBot word sekuriteit en nakoming beleid as kode geïmplementeer. Alle hulpbronne wat deur PacBot ontdek word, word teen hierdie beleide geëvalueer om beleid nakoming te meet. Die PacBot auto-fix raamwerk bied die vermoë om outomaties op beleid oortredings te reageer deur vooraf gedefinieerde aksies te neem.
streamalert: StreamAlert is 'n serverless, regte-tyd data analise raamwerk wat jou in staat stel om data van enige omgewing in te neem, te analiseer en te waarsku. Rekenaar sekuriteitspanne gebruik StreamAlert om terabytes van logdata elke dag te skandeer vir insidentdetectie en -reaksie.

DEBUG: Capture AWS cli requests

# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080

# Capture with burp nor verifying ssl
aws --no-verify-ssl ...

# Dowload brup cert and transform it to pem
curl http://127.0.0.1:8080/cert --output Downloads/certificate.cer
openssl x509 -inform der -in Downloads/certificate.cer -out Downloads/certificate.pem

# Indicate the ca cert to trust
export AWS_CA_BUNDLE=~/Downloads/certificate.pem

# Run aws cli normally trusting burp cert
aws ...

README.md

AWS Pentesting

Basiese Inligting