detecting-aws-iam-privilege-escalation

使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径,识别过度宽松的策略、危险权限组合和最小权限违规。

9 stars

Best use case

detecting-aws-iam-privilege-escalation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径,识别过度宽松的策略、危险权限组合和最小权限违规。

Teams using detecting-aws-iam-privilege-escalation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-aws-iam-privilege-escalation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-aws-iam-privilege-escalation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-aws-iam-privilege-escalation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-aws-iam-privilege-escalation Compares

Feature / Agentdetecting-aws-iam-privilege-escalationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 boto3 和 Cloudsplaining 策略分析检测 AWS IAM 权限提升路径,识别过度宽松的策略、危险权限组合和最小权限违规。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测 AWS IAM 权限提升

## 概述

本 skill 使用 boto3 和 Cloudsplaining 风格的分析来识别 AWS 账户中的 IAM 权限提升路径。它下载账户授权详情,分析每个策略的危险权限组合(iam:PassRole + lambda:CreateFunction、iam:CreatePolicyVersion、sts:AssumeRole),并标记违反最小权限原则的策略。

## 前置条件

- Python 3.8+ 及 boto3 库
- 具有 IAM 只读访问权限的 AWS 凭据(iam:GetAccountAuthorizationDetails)
- 可选:用于生成 HTML 报告的 cloudsplaining Python 包

## 工作流程

1. **下载 IAM 授权详情** — 调用 iam:GetAccountAuthorizationDetails 检索所有用户、组、角色和策略
2. **分析策略中的权限提升** — 检查每个策略中的已知提升权限组合
3. **识别通配符资源策略** — 标记使用 Resource: "*" 配合危险操作的策略
4. **映射主体到策略关系** — 构建主体可访问哪些提升路径的图
5. **评分和优先排序发现** — 根据提升向量类型按严重性对发现进行排名
6. **生成报告** — 生成带修复指导的结构化 JSON 报告

## 输出格式

- 带严重性评分的权限提升发现 JSON 报告
- 每个主体的危险权限组合列表
- 通配符资源策略审计结果
- 每个发现的修复建议

Related Skills

performing-privileged-account-discovery

9
from killvxk/cybersecurity-skills-zh

发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-privilege-escalation-on-linux

9
from killvxk/cybersecurity-skills-zh

Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。

performing-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。

performing-aws-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-privileged-session-monitoring

9
from killvxk/cybersecurity-skills-zh

监控和审计特权用户会话,包括 SSH、RDP 和数据库访问。 跟踪会话元数据、记录命令执行、检测异常活动, 并为 PAM 合规性执行会话策略。

implementing-privileged-identity-management-with-azure

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft Graph API 配置 Azure AD 特权身份管理(PIM),管理符合条件的角色分配、即时激活、访问审查,以及用于零信任特权访问的角色管理策略。

implementing-privileged-access-workstation

9
from killvxk/cybersecurity-skills-zh

设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。

implementing-privileged-access-management-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

implementing-azure-ad-privileged-identity-management

9
from killvxk/cybersecurity-skills-zh

配置 Microsoft Entra 特权身份管理(PIM)以强制执行即时角色激活(Just-in-Time)、审批工作流和 Azure AD 特权角色的访问审查。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。