实战 | 云服务器accessKey泄露实战利用

最新推荐文章于 2024-04-23 10:04:40 发布
最新推荐文章于 2024-04-23 10:04:40 发布
阅读量1k 收藏 18
点赞数 9
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80127209/article/details/136931964
版权

通过信息收集发现子域为xx.xx.com网站,打开先找功能点,测试登录,是微信扫描登录,自己太菜,测试一圈没测出来什么

图片

指纹识别发现是js开发,如果登录或者找回密码不是扫码登录的话,八成是前端验证,可惜没有如果

图片

js开发还有可能存在接口未授权,打开熊猫头插件,把这些路径放到burp去跑一遍,无果

图片

继续向下翻发现泄露accessKeyId和accessKeySecret,域名处也泄露了储存桶域名信息

图片

图片

设置的挺好,没有权限,下一个用ak连接oss

图片

打开oss利用工具,不知道利用工具的可以下载个这个工具箱,还不错

图片

那么问题来了,连接oss不知道哪个平台怎么办,这就要通过“字符特征”来判断,这个文章就对常见平台ak标识做了整理

https://wiki.teamssix.com/cloudservice/more/

图片

发现上面ak标识上面有accessKeyId: LTAI,尝试去连接

图片

图片

成功oss储存桶接管,高危漏洞到手

图片

图片

尝试利用cf框架能不能接管整个云,输入cf config配置文件,选择阿里云

图片

继续输入备注,防止忘记

图片

输入ak信息

图片

回车继续输入秘钥,秘钥就是accessKeySecret后面的

图片

这样就配置完成了,继续输入cf alibaba perm,查看当前访问凭证的权限

图片

输入cf alibaba console 接管控制台

图片

还有一种方法,用行云管家都行

图片

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

运维Z叔
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
主机秘钥(ak/sk)泄露利用案例
渗透测试研究中心
12-14 2198
平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:主机秘钥泄露。此漏洞使攻击者接管服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。ak、sk拿到后的利用,阿里、腾讯主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
主机秘钥泄露利用
技术超强的网络安全平台
08-02 1786
平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:主机秘钥泄露。此漏洞使攻击者接管服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key。
一次OSS Accesskey泄露记录
最新发布
weixin_59047731的博客
04-23 490
渗透千万条,安全第一条。操作不规范,亲人两行泪。
由OSS AccessKey泄露引发的思考
mingyqf的博客
08-23 2657
请求的主机名xxxx.aliyuncs.com和表单的OSSAccessKeyId参数,基本可以确认系统使用 OSS 作为上传文件存储,即使上传恶意脚本文件也无法成功解析,面对这种情况如何破局?ossbrowser 是 OSS 官方提供的图形化管理工具,提供类似 Windows 资源管理器的功能,使用 ossbrowser,您可以方便地浏览、上传、下载和管理文件。一键备份数据到阿里OSS,支持Bucket管理,支持鼠标拖放,支持剪贴板,支持断点续传,支持统计目录大小,支持文件搜索。
AccessKey泄露利用
anlalu233的博客
06-11 2071
泄露的OSS密钥(阿里OSS使用前端直传的危害) 由swagger引发的OSS AccessKey泄露 阿里主机泄露Access Key到getshell
OSS accessKey的信息泄露安全问题
weixin_50464560的博客
08-21 2032
1、找到一个上传文件处的地方进行burp抓包 上传文件请求包如下 返回包如下 可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是OSS的AccessKeyId和AccessKeySecret,后面还有个bucket字段 所以这里打开OSS Browser进行相应的泄露信息的利用 总结: 需要利用到的条件有四个: 1、AccessKeyId OSS账号 2、AccessKeySec.
微信小程序漏洞之accesskey泄露
crowsec
11-14 1694
这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定有很多不正确的地方,希望大家能理解,也能指正其中的错误。
阿里及腾讯通过AccessKey执行命令
02-11
阿里及腾讯通过AccessKey执行命令,已实现腾讯返回命令执行结果
aliyun-accesskey-Tools:阿里accesskey利用工具
03-21
对于ALIYUN_ACCESSKEY利用方式可可参考文章: 工具截图 安装模块 点安装-r requirements.txt pyinstaller打包exe命令 pyinstaller --hidden-import = queue -w -F OSSTools.py 由于时间关系,没空写了。策略方面...
Access实战经典.docx
11-16
Access实战经典.docx
ALIYUN-ACCESSKEY.rar
08-18
ALIYUN_ACCESSKEY
accesskey 提交
01-19
<html><head><meta http-equiv=”Content-Type” content=”... charset=gb2312″><title>无标题文档</title>...input type=submit accessKey=”S” value=提交(Alt+s)></form>
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程
Shuttle的技术博客
08-19 611
为了减少服务端的压力,直接让app直连oss服务,而且把最高权限的Accesskey和secretKey 下发到客户端,那么结果就是只要安装了该app的人,人手一份。可以看到里面有个ApiCall,而下面就是对应的阿里的ECS服务器,也就是说,现在通过这个AccessKey可以访问某台ECS服务器,并且在上面执行命令,但它是如何执行命令的呢?防御的办法,只能是关闭原有的AccessKey,并在下发给客户端的时候不再发放最高权限的key,这是一个惨痛的教训!接下来就是用工具破壳,反编译即可,
实战阿里OSS存储,某政府网站渗透测试
weixin_47112073的博客
03-05 677
阿里 OSS对象存储攻防
4.1.5-检查网页内容是否存在信息泄露
qq_44232452的博客
09-13 495
程序员在他们的源代码中包含详细的注释和元数据是很常见的,甚至建议这样做。但是,HTML 代码中包含的注释和元数据可能会泄露潜在攻击者不应获得的内部信息。应进行注释和元数据审查,以确定是否有任何信息被泄露。此外,某些应用程序可能会泄漏重定向响应正文中的信息。对于现代 Web 应用程序,在前端使用客户端 JavaScript 正变得越来越流行。流行的前端构造技术使用客户端JavaScript,如ReactJS,AngularJS或Vue。
上攻防-服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
今天是几号的博客
10-11 2058
服务,顾名思义就是上服务,在厂商上购买的产品服务。国内有阿里、腾讯、华为、天翼、Ucloud、金山等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM等。各个厂商对服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在上的一台虚拟机。
【推荐】阿里主机accesskey利用工具
Websec
12-21 4981
1、简介 在日常渗透过程中我们经常遇到信息泄露出ALIYUN_ACCESSKEYID与ALIYUN_ACCESSKEYSECRET(阿里APIkey),特别是laravel框架得debug信息。APP中也会泄露这些信息.通过这款利用工具我们可以进行命令执行获取到shell然后进行内网渗透。 具体的github地址如下: https://github.com/mrknow001/aliyun-accesskey-Tools exe文件下载地址: https://github.com/mrknow.
由access key泄露浅谈安全
MSB_WLAQ的博客
10-14 6597
accesskey基础 什么是accesskey? 访问密钥AccessKey(AK)相当于登录密码,只是使用场景不同。AccessKey用于程序方式调用服 务API,而登录密码用于登录控制台。如果您不需要调用API,那么就不需要创建AccessKey。 accessky创建步骤: 使用账号登录RAM控制台。 在左侧导航栏的人员管理菜单下,单击用户。 在用户登录名称/显示名称列表下,单击目标RAM用户名称。 在用户AccessKey区域下,单击创建AccessKey。 t.
阿里accesskey利用工具 - aliyun-accesskey-Tools
千寻的博客
08-30 2369
此工具用于查询ALIYUN_ACCESSKEY的主机,并且远程执行命令
AccessKey泄露有何风险
07-12
AccessKey是用于身份验证和访问阿里资源的凭证,包括AccessKeyId和AccessKeySecret。如果AccessKey泄露,可能会导致以下风险: 1. 资源滥用:攻击者可以使用泄露AccessKey进行非法操作和滥用阿里资源,例如创建、修改或删除服务器实例、存储桶等,导致资源的过度消耗或破坏。 2. 数据泄露泄露AccessKey可以被用于访问存储在阿里上的敏感数据,攻击者可以获取、篡改或删除数据,造成严重的数据泄露和损失。 3. 费用损失:攻击者可以使用泄露AccessKey进行大量的计算和存储操作,导致用户产生高额费用。 4. 身份冒充:如果AccessKey泄露,攻击者可以使用该AccessKey冒充合法用户身份,进行各种操作,包括访问敏感信息、执行未经授权的操作等。 为了避免AccessKey泄露带来的风险,建议用户采取以下安全措施: 1. 定期轮换AccessKey:定期更换AccessKey可以降低泄露风险,建议每隔一段时间更新一次AccessKey。 2. 限制AccessKey的使用范围:为每个AccessKey设置适当的权限,仅允许访问必要的资源和操作,避免不必要的权限暴露。 3. 保护AccessKey的安全:将AccessKey保存在安全的地方,不要将其明文保存在代码、配置文件或公开可访问的地方。 4. 启用MFA(多因素认证):为阿里账号启用MFA可以增加额外的安全层级,提供更强的身份验证保护。 5. 监控和审计:定期监控和审计AccessKey的使用情况,及时发现异常操作,并及时采取措施进行响应和修复。 总之,AccessKey泄露可能会导致资源滥用、数据泄露、费用损失和身份冒充等风险。用户应采取相应的安全措施,保护和管理好AccessKey

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值