云主机AK/SK泄露利用

最新推荐文章于 2024-03-20 17:00:00 发布
最新推荐文章于 2024-03-20 17:00:00 发布
阅读量821 收藏 2
点赞数
文章标签: Web渗透测试 渗透测试 信息泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/133951589
版权
基本介绍

云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略该操作并返回错误码

信息泄露

大部分云主机都支持AK/SK都认证方式,用于API调用等功能,由于开发的不规范以及一些其它漏洞可能会导致AK/SK泄露,在渗透中如果发现目标泄露了AK/SK,可以通过AK/SK直接攻击其对应的云服务器

利用工具

https://github.com/mrknow001/aliyun-accesskey-Tools/releases/tag/1.2

利用方式

官方网址:https://yun.cloudbility.com/

使用步骤:

Step 1:登录行云管家之后选择云主机厂商并导入资源

Step 2:填写API凭证

Step 3:AK/SK验证通过后选择绑定的云主机

Step 4:之后完成导入操作

Step 5:之后可以进行重置密码等操作

防御措施

云主机AK/SK信息泄露是一种非常严重的安全问题,可能导致云主机被非法访问和控制,引发各种安全问题。以下是一些防御云主机AK/SK信息泄露的措施:

  • 安全设置:配置云主机的安全选项,例如使用强密码、开启防火墙、限制远程访问等
  • 安全审计:定期进行安全审计,检查云主机的安全性,发现潜在的安全问题并及时修复
  • 定期更换:建议定期更换AK/SK信息,避免长期使用同一组AK/SK信息导致泄露风险增加
  • 日志监控:开启云主机的日志监控,包括登录日志、系统日志等,及时发现异常情况并采取相应措施
  • 访问限制:开启IP白名单,限制仅允许特定的IP地址进行远程访问,并且只开放必要端口,例如:HTTP/HTTPS

  • 安全存储:妥善保管AK/SK信息,避免泄露。AK/SK信息可以存储在安全的密钥管理系统中,例如:AWS KMS等

FLy_鹏程万里
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
阿里云ak/sk漏洞利用工具
06-27
方便可执行系统命令
云主机AK/SK泄露挖掘
weixin_44217321的博客
01-22 610
AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。
攻防实战 | 记一次nacos到接管阿里云&百万数据泄露
zkaqlaoniao的博客
03-20 338
在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直接上云!利用CF工具加上之前的AKSK配置信息,创建腾讯云控制台账号密码,登录后直接上云!翻看腾讯云的资源信息,发现5个存储桶,这一波直接加大分还可以看一下账单信息,看看购买了什么资源在私有网络当中,发现里面有两个子网,不过上不去也就没办法。
DSA数字签名-针对随机数k的共享k攻击&线性k攻击
ATFWUS的博客
10-17 1398
DSA数字签名算法是NIST在数字签名标准DSS中采用的签名算法,它公布于1994年5月19日的联邦记录上,并于1994年12月1日采纳为标准DSS。本文简单总结DSA算法针对随机数k的一些攻击方法。
企业云上安全审计:操作审计 | 凌云时刻
云布道师
05-06 932
凌云时刻 · 技术导读:越来越多企业将核心业务搬迁上云,部署大量云上IT设施,在IT设施的管理中,IT信息系统的安全至关重要,本篇文章从企业内部和外部的审计需求出发,希望可以为大家带来云...
i春秋首届全国数据安全大赛部分复盘
热门推荐
weixin_48421613的博客
10-27 1万+
2022年10月25日,为期两日的数据安全大赛于i春秋平台线上举行,在王队长的领队下,团队三个屁民开始了有趣的解题之旅。题目分为四个类型,分别是“安全知识”、“数据分析”、“数据算法”、以及数据安全。时间有点短,再加上有里还有活要干,所以很多题也没有答完,这次由我代表大家给大家进行一个复盘。
一个AK/SK泄露检测的实现思路
04-21 1628
01、简介在企业上云的过程中,AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下,公有云和私有云都存在大量的AccessKey,如何有效地检测可能的AK/SK泄露事件,一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路,完成AK/SK泄露检测能力的构建,实现类似于阿里云云安全中心AK泄露检测的功能,检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...
云主机秘钥(ak/sk)泄露利用案例
渗透测试研究中心
12-14 1344
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。aksk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
阿里云因Ak泄露,被攻击处理过程
caojiawei的专栏
02-04 1802
阿里云Linux服务器AK泄露,无法远程,挖矿病毒,ddns
SRC漏洞挖掘笔记
山兔的博客
01-09 1733
因为前期挖洞的手法不熟,思路和操作有限,你是挖不到的,这个时候要是SRC的站跟我们平时做项目挖的站一样,就好了,但如果说SRC的资产很少,那我们的想法就基本上不可能实现,因为他就那几个站,翻来覆去的去测试,早就被别人挖过了,但如果说资产很多,我们通过前期的信息收集,肯定会挖到一些边缘的资产,虽然是边缘,但也会增强你的自信心。直接点击删除,抓包,替换id参数值为受害者的,尝试过无法越权删除,直接通过双写实现绕过越权限制,第一个id是自己的,第二个id是受害者,通过重放越权数据包,删除受害者的领取记录。
AK泄露检测工具
weixin_46211944的博客
07-04 339
收集企业内部所有的AccessKeyId作为关键特征,借助 Github API 强大的代码搜索能力,通过定时任务检测关键特征,以发现可能的AK/SK泄露事件。(3)Syslog集成。
基于百度云AK-SK开发工单详情,工单评论,文件下载
08-17
基于百度云AK-SK开发工单详情,工单评论,文件下载,下载可用!
百度OCR文字识别案例_android防止ak&sk;泄漏版本
01-14
百度OCR文字识别,支持手机拍照识别,相册选择识别。网络图片识别等功能。该demo的配文博客为https://blog.csdn.net/pyfysf/article/details/86438769
奥托尼克斯AK/AK-B 步进电机英文样本.pdf
09-23
奥托尼克斯AK/AK-B 步进电机英文样本pdf,提供奥托尼克斯AK/AK-B 步进电机英文样本资料下载,主要介绍AK/AK-B步进电机规格参数及外形尺寸
人工智能-项目实践-图像识别-keras使用迁移学习实现医学图像二分类(AKSK
05-24
人工智能-项目实践-图像识别-keras使用迁移学习实现医学图像二分类(AKSK) 问题描述 要解决的是一个医学图像的二分类问题,有AKSK两种病症,根据一定量数据,进行训练,对图像进行预测。 解决思路 整体上采用...
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
如何利用泄漏的阿里云ak/sk和token信息
06-13
如果阿里云的AK/SK和Token泄漏,攻击者可以利用这些信息进行以下攻击: 1. 访问阿里云资源:攻击者可以使用泄露AK/SK或Token访问您的阿里云资源,包括云服务器、对象存储、数据库等,甚至可以进行恶意操作,比如删除数据、挂载云盘等。 2. 篡改数据:攻击者可以使用泄露AK/SK或Token篡改您的数据,比如在数据库中插入或删除数据,或者在对象存储中上传恶意文件。 3. 产生费用:攻击者可以使用泄露AK/SK或Token创建阿里云资源,比如创建云服务器、负载均衡等,从而产生费用。 4. 盗用账号:攻击者可以使用泄露AK/SK或Token获取更多的权限,比如创建新的临时AK/SK和Token,进一步扩大攻击面,最终可能导致整个账号被盗用。 因此,如果发现阿里云的AK/SK和Token泄露,您应该立即采取措施,比如撤销已经分配的AK/SK或Token,修改账号密码等,以免受到攻击者的攻击。同时,也应该加强账号安全,避免泄露敏感信息,比如使用复杂的密码,定期更换密码,开启多因素身份认证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值