Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Prema njihovoj početnoj stranici: Supabase je open source alternativa za Firebase. Počnite svoj projekat sa Postgres bazom podataka, Autentikacijom, instant API-jima, Edge funkcijama, Realtime pretplatom, Skladištem i Vektorskim ugnežđivanjem.
U osnovi, kada se projekat kreira, korisnik će dobiti supabase.co poddomen poput: jnanozjdybtpqgcwhdiz.supabase.co
{% hint style="success" %}
Ovim podacima se može pristupiti preko linka poput https://supabase.com/dashboard/project/<project-id>/settings/database
{% endhint %}
Ova baza podataka će biti implementirana u nekoj AWS regiji, i kako bi se povezali sa njom, moguće je to učiniti povezivanjem na: postgres://postgres.jnanozjdybtpqgcwhdiz:[VAŠA-LOZINKA]@aws-0-us-west-1.pooler.supabase.com:5432/postgres
(ovo je kreirano u us-west-1).
Lozinka je lozinka koju je korisnik unio ranije.
Stoga, pošto je poddomen poznat i koristi se kao korisničko ime, a AWS regioni su ograničeni, moguće je pokušati bruteforce napad na lozinku.
Ova sekcija takođe sadrži opcije za:
- Resetovanje lozinke baze podataka
- Konfigurisanje poolinga konekcija
- Konfigurisanje SSL-a: Odbijanje plain-text konekcija (podrazumevano su omogućene)
- Konfigurisanje veličine diska
- Primena mrežnih restrikcija i zabrana
{% hint style="success" %}
Ovim podacima se može pristupiti preko linka poput https://supabase.com/dashboard/project/<project-id>/settings/api
{% endhint %}
URL za pristup supabase API-ju u vašem projektu će biti: https://jnanozjdybtpqgcwhdiz.supabase.co
.
Takođe će generisati anon API ključ (role: "anon"
), poput: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk
koji će aplikacija morati koristiti kako bi kontaktirala API ključ izložen u našem primeru u
Moguće je pronaći API REST za kontaktiranje ovog API-ja u dokumentaciji, ali najinteresantniji endpointovi bi bili:
Registracija (/auth/v1/signup)
``` POST /auth/v1/signup HTTP/2 Host: id.io.net Content-Length: 90 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: */* Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}
</details>
<details>
<summary>Prijavljivanje (/auth/v1/token?grant_type=password)</summary>
POST /auth/v1/token?grant_type=password HTTP/2 Host: hypzbtgspjkludjcnjxl.supabase.co Content-Length: 80 X-Client-Info: supabase-js-web/2.39.2 Sec-Ch-Ua: "Not-A.Brand";v="99", "Chromium";v="124" Sec-Ch-Ua-Mobile: ?0 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.60 Safari/537.36 Content-Type: application/json;charset=UTF-8 Apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6ImFub24iLCJpYXQiOjE3MTQ5OTI3MTksImV4cCI6MjAzMDU2ODcxOX0.sRN0iMGM5J741pXav7UxeChyqBE9_Z-T0tLA9Zehvqk Sec-Ch-Ua-Platform: "macOS" Accept: / Origin: https://cloud.io.net Sec-Fetch-Site: same-site Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: https://cloud.io.net/ Accept-Encoding: gzip, deflate, br Accept-Language: en-GB,en-US;q=0.9,en;q=0.8 Priority: u=1, i
{"email":"test@exmaple.com","password":"SomeCOmplexPwd239."}
</details>
Dakle, kada otkrijete klijenta koji koristi supabase sa poddomenom koji im je odobren (moguće je da poddomen kompanije ima CNAME preko njihovog supabase poddomena), možete pokušati **kreirati novi nalog na platformi koristeći supabase API**.
### tajni / service\_role API ključevi
Takođe će biti generisan tajni API ključ sa **`role: "service_role"`**. Ovaj API ključ treba da bude tajan jer će moći da zaobiđe **Row Level Security**.
API ključ izgleda ovako: `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImpuYW5vemRyb2J0cHFnY3doZGl6Iiwicm9sZSI6InNlcnZpY2Vfcm9sZSIsImlhdCI6MTcxNDk5MjcxOSwiZXhwIjoyMDMwNTY4NzE5fQ.0a8fHGp3N_GiPq0y0dwfs06ywd-zhTwsm486Tha7354`
### JWT Tajna
Takođe će biti generisana **JWT Tajna** kako bi aplikacija mogla **kreirati i potpisati prilagođene JWT tokene**.
## Autentikacija
### Registracije
{% hint style="success" %}
**Podrazumevano**, supabase će dozvoliti **novim korisnicima da kreiraju naloge** na vašem projektu korišćenjem prethodno pomenutih API endpointova.
{% endhint %}
Međutim, ovi novi nalozi, podrazumevano, **će morati da potvrde svoju email adresu** kako bi mogli da se prijave na nalog. Moguće je omogućiti **"Dozvoli anonimne prijave"** kako bi se omogućilo ljudima da se prijave bez provere njihove email adrese. To bi moglo omogućiti pristup **neočekivanim podacima** (oni dobijaju uloge `public` i `authenticated`).\
Ovo je veoma loša ideja jer supabase naplaćuje po aktivnom korisniku pa ljudi mogu kreirati korisnike, prijaviti se i supabase će naplatiti za njih:
<figure><img src="../.gitbook/assets/image (1).png" alt=""><figcaption></figcaption></figure>
### Lozinke i sesije
Moguće je naznačiti minimalnu dužinu lozinke (podrazumevano), zahteve (ne podrazumevano) i zabraniti korišćenje procurelih lozinki.\
Preporučuje se **unapređenje zahteva jer su podrazumevani slabi**.
* Korisničke Sesije: Moguće je konfigurisati kako korisničke sesije funkcionišu (istek vremena, 1 sesija po korisniku...)
* Zaštita od Botova i Zloupotreba: Moguće je omogućiti Captcha.
### SMTP Postavke
Moguće je postaviti SMTP za slanje emailova.
### Napredne Postavke
* Postavite vreme isteka pristupnih tokena (3600 podrazumevano)
* Postavite da detektujete i opozovete potencijalno kompromitovane osvežavajuće tokene i vreme isteka
* MFA: Naznačite koliko MFA faktora može biti upisano odjednom po korisniku (10 podrazumevano)
* Maksimalne Direktne Baze Podataka: Maksimalan broj konekcija korišćen za autentifikaciju (10 podrazumevano)
* Maksimalno Trajanje Zahteva: Maksimalno vreme dozvoljeno za zahtev za autentifikaciju (10s podrazumevano)
## Skladištenje
{% hint style="success" %}
Supabase omogućava **skladištenje fajlova** i čini ih dostupnim preko URL-a (koristi S3 kofe).
{% endhint %}
* Postavite ograničenje veličine fajla za otpremanje (podrazumevano je 50MB)
* Veza sa S3 je data sa URL-om kao: `https://jnanozjdybtpqgcwhdiz.supabase.co/storage/v1/s3`
* Moguće je **zatražiti S3 pristupne ključeve** koji se sastoje od `ID pristupnog ključa` (npr. `a37d96544d82ba90057e0e06131d0a7b`) i `tajni pristupni ključ` (npr. `58420818223133077c2cec6712a4f909aec93b4daeedae205aa8e30d5a860628`)
## Edge Funkcije
Moguće je **skladištiti tajne informacije** u supabase-u koje će biti **dostupne putem edge funkcija** (one se mogu kreirati i brisati sa veba, ali nije moguće pristupiti njihovoj vrednosti direktno).