Trufflehog: Encontrar claves API de AWS

Trufflehog

Cómo encontré claves API de AWS usando “Trufflehog” y las validé usando la herramienta “enumerate-iam”

Trufflehog – Hoy hablaremos sobre cómo encontré las claves API de AWS y cómo validarlas.

  • Nota 1: Por razones de privacidad, no voy a revelar el dominio de destino en el que encontré las claves API.
  • Nota 2: Este artículo es solo para fines de demostración y educación.

¡Comencemos sin perder más tiempo!


Comencé a cazar insectos en algún lugar después del verano de 2022 debido a mi interés.

Entonces, como principiante, he buscado en Google las “mejores extensiones de navegador para cazarrecompensas de errores” debido a mi curiosidad y al poco conocimiento que tengo sobre la búsqueda de errores.

Encontré varios resultados como se muestra a continuación.

Abrí el primer artículo que obtuve en los resultados anteriores. He proporcionado el enlace para el artículo a continuación.

Enlace:

  • https://www.p1boom.com/2022/02/top25-browser-extensions-for-hacker.html

Es uno de los mejores artículos que encontré en Google y proporcionó todos los enlaces para las extensiones populares, incluidas Chrome y Firefox.

Entonces, después de leer el artículo, instalé todas las extensiones mencionadas allí.

Al final de ese artículo, encontrará una extensión adicional de Chrome llamada “Trufflehog”.

Enlace de extensión:

  • https://chrome.google.com/webstore/detail/trufflehog/bafhdnhjnlcdbjcdcnafhdcphhnfnhjc/

Inicialmente, pensé que esta era una extensión normal como cualquier otra extensión.

 

Nota: Pero cuando miro hacia atrás ahora, puedo decir con confianza que encontré varias vulnerabilidades y otros datos confidenciales como listado de directorios, exposición .git, claves API, directorios confidenciales de WordPress, contraseñas y muchos otros en mi viaje de recompensas de errores usando esta extensión.

 

No necesita hacer clic en esta extensión ni abrir ningún código fuente para encontrar datos confidenciales.

Esta extensión rastrea todos los enlaces del código fuente de un sitio web que visitamos para encontrar datos confidenciales.

Felicitaciones al fundador Dylan por esta increíble extensión 🙏

Puede leer los siguientes artículos para saber más sobre esta extensión

Referencia:

  • https://www.hacker101.com/conferences/hacktivitycon2021/trufflehog.html
  • https://portswigger.net/daily-swig/meet-trufflehog-a-browser-extension-for-finding-secret-keys-in-javascript-code

Entonces, saltemos al tema principal

Abrí un objetivo aleatorio en mi navegador donde está instalada esta extensión.

Recibí una ventana emergente que dice que este sitio web contiene claves API de AWS, como se muestra a continuación.

Trufflehog

La mayoría de las veces, mostrará la clave expuesta y la ruta donde está presente.

También puede copiar la ruta y la clave filtrada desde el cuadro emergente,

Entonces, fui a la ruta y busqué la clave filtrada donde encontré la clave de acceso de AWS y la clave secreta como se muestra a continuación.

Fue un shock para mí ya que la mayoría de las veces ambas claves no estarán presentes en un sitio web en texto sin formato y me preguntaba cómo usar estas claves ya que no estoy al tanto del proceso de cómo usar esas claves.

Trufflehog

Entonces, le pregunté a uno de mis amigos que me habló de esta herramienta llamada “enumerate-iam” para probar las claves API filtradas para validarlas.

He proporcionado el enlace git de la herramienta en la siguiente sección

Enlace:

  • https://github.com/andresriancho/enumerate-iam

Así que probé las claves filtradas usando la herramienta anterior donde solo encontré información básica como se muestra a continuación.

Trufflehog

 

Nota: No hay garantía de que las claves filtradas sean válidas y brinden más información en todo momento. Tuve la suerte de obtener información básica que no sirve para aumentar el impacto en el objetivo.

 

Pero aún así, puede ver que las claves API expuestas están validadas y brindan información básica sobre la cuenta de AWS, como se muestra en la imagen de arriba.

¡Bueno, eso es todo por hoy!


Gracias por llegar hasta aquí, si encuentras esto útil no olvides dejar un👍🏼y suscribirse para recibir más contenido.

Si le interesa, puede echar un vistazo a algunos de los otros artículos que he escrito recientemente sobre AWS y Laravel:

Recent Post