0x1 前言
各位靓仔靓女们,大家好!最近沉迷于云安全漏洞挖掘,发现了不少骚操作。今天就来和大家聊聊,如何玩转云安全,成功拿下SRC。文章里满满的都是我实战中挖到的漏洞案例,绝对干货满满,看完保证你功力大增!
本文将由浅入深,带你了解云安全的那些事儿。从云安全的发展和未来趋势,到可能面临的各种安全问题,给你一个全方位的解读。云安全最大的优势在于便捷,但安全问题绝对不能掉以轻心。
接下来,我会分享一些关于AccessKey的独家秘笈。在云安全渗透测试中,拿到AK和SK绝对是关键的一环。
最后,我会深入剖析AWS S3对象存储的攻防技巧,通过实战案例,让你彻底掌握Bucket接管、OSS存储桶漏洞等核心技能。当然,还有我之前在EDUSRC和攻防演练中挖到的真实案例,绝对让你大呼过瘾!
0x2 云安全:机遇与挑战并存的未来战场
1、一句话搞懂云安全
别再纠结云安全是啥了!简单来说,就是把传统的安全服务搬到云上,通过互联网远程提供各种安全防护,告别本地软件和硬件的束缚。有了云安全,企业再也不用自己吭哧吭哧地安装和管理安全软件了,安全团队也能随时随地通过Web管理各种安全策略,简直不要太方便!云安全的核心技术包括:Zero Trust Network Access、云访问安全代理、威胁情报、数据安全、数据丢失防范以及身份和访问管理等等。
2、云计算:让你的IT架构飞起来
还在用传统的老旧IT架构?Out啦!现在都流行“上云”!云计算就是通过互联网,随时随地访问各种计算资源、软件和数据库。有了云计算,企业可以把一部分或大部分IT基础设施交给第三方托管,从而实现业务的快速扩张和灵活部署。
目前最流行的云计算服务主要有三种:
- IaaS(基础设施即服务):企业可以自己管理部分数据和应用,同时把服务器、硬件、网络、虚拟化和存储等基础设施交给云服务商,实现混合云模式。
- PaaS(平台即服务):云服务商提供应用程序开发和交付的平台,企业可以专注于业务逻辑,无需关心操作系统、软件更新、存储等底层技术。
- SaaS(软件即服务):直接使用云服务商提供的在线软件,无需安装和维护。所有技术问题都由云服务商搞定,企业可以大大降低IT成本。
3、云安全:前方高能,这些坑一定要避开!
云安全虽然好处多多,但也面临着不少挑战。一不小心,就可能掉进坑里!
- 监控盲区:公有云服务商无法提供完全透明的云环境监控能力,安全团队难以有效跟踪和管理威胁。
- 躺枪风险:公有云采用多租户模式,多个客户共享同一台物理服务器。一旦其他企业受到攻击,你可能也会跟着遭殃。
- 影子IT:员工未经IT部门批准,私自使用各种云服务,导致安全策略失效,埋下安全隐患。
- 合规性难题:法律法规对用户数据的存储、使用和保护都有严格规定。将数据存储在云端,可能会面临数据主权和合规性方面的挑战。
4、云安全:Buff加持,优势多到爆!
相比传统的本地安全方案,云安全简直就是开了挂!
- 省钱才是硬道理:告别昂贵的硬件、软件和许可费用,让你的钱包不再哭泣!
- 效率翻倍:云服务商负责软件更新和漏洞修复,IT团队可以腾出手来,专注于更重要的工作。
- 管理So Easy:云服务商帮你搞定日常安全运维,IT团队只需关注核心安全策略。
- 黑科技加持:随时使用最新的安全工具、病毒库和安全解决方案,让你的防御能力始终在线。
- 弹性扩容:根据业务需求,快速扩展安全防护能力,轻松应对各种挑战。
- 专家护航:云安全服务商拥有专业的安全团队,为你提供更专业、更可靠的安全保障。
- 闪电部署:告别漫长的安装和配置过程,几分钟或几小时就能完成云安全部署。
- 快速响应:在安全事件发生时,快速响应,及时修复漏洞,将损失降到最低。
- 轻松合规:云安全解决方案可以帮助企业轻松满足各种合规性要求,省时省力。
0x3 AWS S3对象存储攻防:手把手教你玩转云存储安全
一、AWS S3:云存储界的扛把子
对象存储,又称面向对象的存储或云存储,现在已经成为主流的存储方式。
提到对象存储,就不得不提Amazon S3 (Simple Storage Service) 简单存储服务。它定义了S3协议,成为了行业标准。国内主流的对象存储厂商基本都支持S3协议。
在Amazon S3标准下,对象存储由多个桶(Bucket)组成,对象(Object)则存储在桶里。每个对象包含三个部分:Key、Data 和 Metadata。
- Key:存储桶中的唯一标识符,例如URL:https://test.s3.amazonaws.com/test,这里的test是存储桶Bucket的名称,/test就是Key。
- Data:存储的数据本体,也就是实际的文件内容。
- Metadata:元数据,可以理解为数据的标签或描述信息。与传统文件存储不同,元数据可以大大加快对象的排序、分类和查找。
操作Amazon S3的方式有很多:
- AWS控制台操作
- AWS命令行工具操作
- AWS SDK操作
- REST API操作:通过HTTP请求创建、提取和删除存储桶和对象。
二、手把手教你创建AWS S3储存桶
首先,你需要注册一个亚马逊账号:
https://signin.amazonaws.cn/signup?request_type=register
登录后,打开Amazon S3面板。
点击“创建储存桶”并进行配置。
配置成功后,你就可以开始使用S3存储桶了。
三、Bucket爆破:扫出隐藏的宝藏
不知道Bucket名称?没关系,用爆破来搞定!类似于目录爆破,但判断方式不同。
Bucket不存在时,有两种返回情况:InvalidBucketName 和 NoSuchBucket。
Bucket存在时,也有两种情况:列出Object 或 返回 AccessDenied。
四、Bucket接管:空手套白狼的骚操作
渗透测试时,如果发现目标子域显示以下内容:
页面显示NoSuchBucket,说明这个Bucket可以被接管!页面也告诉了我们Bucket的名称:xxxxxxx.s3.amazonaws.com。
直接在AWS控制台里创建一个名称为xxxxxxx.s3.amazonaws.com的Bucket,就可以成功接管!
再次访问,显示AccessDenied,说明Bucket已经被你成功收入囊中!
将Bucket设置为公开,并上传一个文件试试。
可以看到,通过接管Bucket,你已经成功控制了这个子域名的权限!
五、实战案例:漏洞挖掘的正确姿势
我之前在渗透一个站点时,发现登录系统页面各种尝试都无果。
于是我用fofa搜索该域名的子域名,看看有没有突破口。
发现一个子域名包含OSS关键字,猜测可能是存储桶,尝试挖掘OSS存储桶漏洞。
访问这个oss子域名,发现存在OSS存储桶漏洞,可以遍历出不少文件。
手动拼接文件URL太麻烦?推荐你使用这款神器——OSSFileBrowse!
下载地址:https://github.com/jdr2021/OSSFileBrowse/releases/tag/v1.1
使用方法超简单,直接把存储桶的URL放进去,就能遍历出所有文件!
想要扩大战果?尝试文件存储桶文件覆盖!
可以看到1.html文件的内容,接下来我们使用bp抓包,通过PUT上传文件,覆盖原文件。
利用PUT文件上传方式,覆盖存储桶原始文件,只要文件名对应即可。
如果目标的对象存储支持html解析,就可以利用任意文件上传,进行XSS钓鱼、挂暗链、挂黑页、供应链投毒等操作。这个站点支持html解析,我们可以打个钓鱼链接。
0x4 AccessKey泄露:一不小心,云环境就被别人接管了!
一、划重点:AccessKey的重要性
看完曾哥的文章,我总结了一下,AccessKey在云安全渗透中扮演着至关重要的角色。
通常,我们可以通过敏感配置文件、未授权访问、任意文件读取漏洞等方式,找到AK和SK。
一般可以通过正则匹配式来寻找AK和SK:
(?i)((access_key|access_token|admin_pass|admin_user|algolia_admin_key|algolia_api_key|alias_pass|alicloud_access_key|amazon_secret_access_key|amazonaws|ansible_vault_password|aos_key|api_key|api_key_secret|api_key_sid|api_secret|api.googlemaps AIza|apidocs|apikey|apiSecret|app_debug|app_id|app_key|app_log_level|app_secret|appkey|appkeysecret|application_key|appsecret|appspot|auth_token|authorizationToken|authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_app_key|bashrc password|bintray_apikey|bintray_gpg_password|bintray_key|bintraykey|bluemix_api_key|bluemix_pass|browserstack_access_key|bucket_password|bucketeer_aws_access_key_id|bucketeer_aws_secret_access_key|built_branch_deploy_key|bx_password|cache_driver|cache_s3_secret_key|cattle_access_key|cattle_secret_key|certificate_password|ci_deploy_password|client_secret|client_zpk_secret_key|clojars_password|cloud_api_key|cloud_watch_aws_access_key|cloudant_password|cloudflare_api_key|cloudflare_auth_key|cloudinary_api_secret|cloudinary_name|codecov_token|config|conn.login|connectionstring|consumer_key|consumer_secret|credentials|cypress_record_key|database_password|database_schema_test|datadog_api_key|datadog_app_key|db_password|db_server|db_username|dbpasswd|dbpassword|dbuser|deploy_password|digitalocean_ssh_key_body|digitalocean_ssh_key_ids|docker_hub_password|docker_key|docker_pass|docker_passwd|docker_password|dockerhub_password|dockerhubpassword|dot-files|dotfiles|droplet_travis_password|dynamoaccesskeyid|dynamosecretaccesskey|elastica_host|elastica_port|elasticsearch_password|encryption_key|encryption_password|env.heroku_api_key|env.sonatype_password|eureka.awssecretkey)[a-z0-9_ .-,]{0,25})(=|>|:=|||:|<=|=>|:).{0,5}['"]([0-9a-zA-Z-_=]{8,64})['"]
下面我给大家总结了几个主流云厂商的Access Key特征,方便大家快速识别,精准打击!
二、阿里云:LTAI开头,记住这个标志!
阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 “LTAI“。
^LTAI[A-Za-z0-9]{12,20}$
- Access Key ID长度为16-24个字符,由大写字母和数字组成。
- Access Key Secret长度为30个字符,由大写字母、小写字母和数字组成。
三、腾讯云:AKID开头,认准这个记号!
腾讯云 (Tencent Cloud) 的 Access Key 开头标识一般是 “AKID“。
^AKID[A-Za-z0-9]{13,20}$
- SecretId长度为17个字符,由字母和数字组成。
- SecretKey长度为40个字符,由字母和数字组成。
四、实战演练:AccessKey泄露,一键接管云环境!
我之前在某次渗透测试中,通过插件findsomething找到了OSSaccessKeyId,这可是云安全的关键信息,相当于账号!
然后我直接F12检索源代码,搜索OSSaccessKeyId关键字,找到了ossAccessid和ossAccesskey,有了这两个关键信息,就可以使用云接管工具进行攻击!
五、接管云工具:行云管家,你的云安全小助手
使用行云管家这个工具,可以轻松接管云环境。
https://yun.cloudbility.com/
第一步:登录行云管家,选择云主机厂商并导入资源。
第二步:导入key id跟key secret。
第三步:AK/SK验证通过后,选择绑定的云主机。
第四步:完成导入操作。
虽然这次没有扫描到云主机信息,但这个思路很重要!拿到Access Key后,就可以尝试各种云接管操作!
六、神器推荐:oss-browser,你的OSS连接利器
如果找不到访问URL或无法访问登录连接,可以尝试使用oss-browser连接OSS。
https://github.com/aliyun/oss-browser
使用泄露的access-key值,直接连接成功!
里面有很多云主机泄露的信息,大家可以自行分析。
0x5 云安全之OSS存储桶漏洞:挖洞姿势大揭秘
一、EDUSRC微信小程序:一次意外的发现
之前在挖掘EDUSRC时,我挖到一个某大学证书站的微信小程序,意外发现了OSS存储桶漏洞!
首先,我通过这个学校微信小程序的访客系统,发现teacherName参数可控,置空后可以泄露访客用户信息,比如姓名、手机号、地址等。
然后,我发现访客预约进群系统存在文件上传图片的功能点。通过bp抓取数据包,发现这个小程序可能存在OSS存储桶漏洞!
访问这个URL,发现就是开始上传的图片。
接下来,我开始逐个删除URL中的目录,观察页面回显信息。如果出现AccessDenied关键字,说明没有权限访问,无法利用。
如果回显NoSuchkey关键字,说明可能存在OSS存储桶漏洞!
最终,我成功挖到了OSS存储桶漏洞!
将对应的文件图片目录名称拼接到URL后面,就可以泄露云安全文件!
二、攻防演练:一次惊险的云安全劫持
在某次攻防演练中,我发现了OSS存储桶漏洞,还泄露了ak/sk等敏感信息!
通过访问以下URL,如果能够成功回显,就可以尝试使用泄露的access-key和secret-key进行密钥登录。
我直接登录成功,看到了云空间里面的各种存储信息,包括日志信息等!
还可以使用阿里云的OSS接管工具:
https://github.com/aliyun/oss-browser
我们把学习路线分成L1到L4四个阶段,一步步带你从入门到进阶,从理论到实战。

L1级别:网络安全的基础入门
L1阶段:我们会去了解计算机网络的基础知识,以及网络安全在行业的应用和分析;学习理解安全基础的核心原理,关键技术,以及PHP编程基础;通过证书考试,可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别:网络安全的技术进阶
L2阶段我们会去学习渗透测试:包括情报收集、弱口令与口令爆破以及各大类型漏洞,还有漏洞挖掘和安全检查项目,可参加CISP-PTE证书考试。

L3级别:网络安全的高阶提升
L3阶段:我们会去学习反序列漏洞、RCE漏洞,也会学习到内网渗透实战、靶场实战和技术提取技术,系统学习Python编程和实战。参加CISP-PTE考试。

L4级别:网络安全的项目实战
L4阶段:我们会更加深入进行实战训练,包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握;而L3 L4更多的是通过项目实战来掌握核心技术,针对以上网安的学习路线我们也整理了对应的学习视频教程,和配套的学习资料。
二、技术文档和经典PDF书籍
书籍和学习文档资料是学习网络安全过程中必不可少的,我自己整理技术文档,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,(书籍含电子版PDF)

三、网络安全视频教程
对于很多自学或者没有基础的同学来说,书籍这些纯文字类的学习教材会觉得比较晦涩难以理解,因此,我们提供了丰富的网安视频教程,以动态、形象的方式展示技术概念,帮助你更快、更轻松地掌握核心知识。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛
学以致用 ,当你的理论知识积累到一定程度,就需要通过项目实战,在实际操作中检验和巩固你所学到的知识,同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

面试不仅是技术的较量,更需要充分的准备。
在你已经掌握了技术之后,就需要开始准备面试,我们将提供精心整理的网安面试题库,涵盖当前面试中可能遇到的各种技术问题,让你在面试中游刃有余。
如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…


**读者福利 |** CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
扫一扫
2012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
