云上攻防--云服务&&对象存储(域名接管)&&弹性计算(元数据泄露)

已于 2023-12-29 14:35:10 修改
阅读量1k 收藏 22
点赞数 14
分类专栏: 云安全 文章标签: web安全 阿里云 安全
于 2023-12-29 14:33:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74985952/article/details/135290376
版权

云上攻防–云服务&&对象存储(域名接管)&&弹性计算(元数据泄露)

目录标题

对象存储

各个厂商对于对象存储的叫法不同,但是除了叫法基本没有其他区别。

  • 对象存储各大云名词:

阿里云:OSS 腾讯云:COS 华为云:OBS
谷歌云:GCS 微软云:Blob 亚马逊云:S3
对于对象存储的漏洞或者说错误配置点如下

权限配置错误

  • 权限Bucket授权策略:设置ListObject显示完整结构(类似于目录遍历)
  • 权限Bucket读写权限:公共读写直接PUT文件任意上传,由于管理员配置对象存储时错误配置公共读写权限,使得任何人都可以进行写入,通过PUT方法即可任意上传文件。

域名接管

对象存储可以配置域名映射,接管域名即是Bucket存储桶绑定域名后,访问域名即访问对象存储中的存储桶,当存储桶被删除而域名解析未删除,访问域名时候显示关键信息NoSuchBucket时可以尝试接管。
接管流程:

  1. 确认域名绑定存储桶(通过ping命令出现对象存储解析地址)
  2. 通过域名访问存储桶提示NoSuchBucket(没有这样的桶)
  3. 通过对象存储地址信息推断出存储桶名称、对象存储厂商、云存储所在城市
  4. 去对应得厂商创建对应城市对应名称的存储桶
  5. 再次访问域名即可访问到所创建的存储桶

当Bucket显示NoSuchBucket说明是可以接管的,如果显示AccessDenied则不行。
image.png

参考文章
阿里云 OSS 对象存储攻防

AK/SK泄漏:

通过泄露的AK/SK进行接管

  • APP逆向源代码
  • 小程序反编译
  • JS代码泄露
  • 代码托管平台泄露
  • 接口泄露

得到AK/SK之后可以利用云服务工具直接连接相应服务进行任意操作,例如各云厂商的官方工具、CF利用工具等。
云业务 AccessKey 标识特征整理

弹性计算

元数据泄露

  • 元数据

关于什么是元数据以下引用阿里云对于元数据的解释:
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)
总的来说,元数据就是存储了一些服务器的关键信息。每个厂商的服务器都存在元数据,但是各个厂商的获取元数据的地址不同。
各厂商元数据获取地址:

阿里云元数据地址:http://100.100.100.200/latest/meta-data/
腾讯云元数据地址:http://metadata.tencentyun.com/latest/meta-data/
华为云元数据地址:http://169.254.169.254/openstack/latest/meta_data.json
亚马逊云元数据地址:http://169.254.169.254/latest/meta-data/
微软云元数据地址:http://169.254.169.254/
谷歌云元数据地址:http://metadata.google.internal/

具体查询方式可以查询云厂商官方说明
查询样式如下图:
image.png

  • 访问控制

访问控制是云厂商提供的一种运维手段,可以将管理员用户的权限进行拆分,将部分权限交给其他用户。从而控制对于云服务资源的访问。
各云厂商对于访问控制的名称不同,阿里云称之为RAM。

  • 利用条件
  1. 弹性计算配置RAM访问控制管理角色
  2. 获取服务器权限、发现SSRF漏洞、RCE等可以控制目标机器访问其他地址

配置RAM访问控制管理角色后获取元数据会多一项RAM。
image.png
依次进行访问特定地址后通过泄露的元数据信息得到AccessKeyId以及AccessKeySecret即可通过利用工具对目标账号下的资源进行接管,接管资源根据AK/SK的权限而定,也就是当前弹性计算所配置RAM角色权限大小而定。
image.png
根据元数据中泄露的AK/SK可以使用利用工具进一步利用。

云渗透项目CF,目前工具已经闭源,最新开源版本在0.5,网上应该可以找到开源版本。

加固措施

  1. RAM角色权限过大导致控制台被接管, 主要还是需要使用者严格遵守权限最小化的原则,在为 RAM 角色赋予权限时,避免赋予过高的权限,只赋予自己所需要的权限,这样可以将影响程度降到最低,但是这并不能治本
  2. 将实例上的元数据访问模式设置为加固模式 ,不过这种方法在攻击人员拿下实例权限后依然会通过获取token的方法来访问元数据

参考文章
阿里云控制台接管
阿里云 ECS 弹性计算服务攻防

SuperMan529
关注
  • 14
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第80天:红蓝对抗-AWD模式&准备&攻防&监控&批量1
08-03
1.队伍分工明确 2.脚本工具环境完整 4.安全防御 WAF 及批量脚本完整
CVE-2022-22980 exp && 靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
「数据泄露云上攻防的实践与思考 - 系统安全.zip
11-28
「数据泄露云上攻防的实践与思考 - 系统安全 安全管理 信息安全 业务安全 攻防实训 防火墙
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
siu~
02-29 1063
1、云服务-对象存储-权限配置不当 2、云服务-对象存储-域名解析接管 3、云服务-对象存储-AccessKey泄漏
Hexo折腾系列——博客访问速度优化
江风引雨的博客
08-25 2298
这几天一直在折腾Hexo博客站,功能上已经整的差不多了,markdown写作非常舒适。但由于是部署在GitHub Pages 上,国内访问速度真的一言难尽。于是就在寻找国内有没有免费的静态网站托管平台。首先找到的就是Gitee,结果却发现免费版不支持自定义域名和ssl,那显然是用不了了。之后终于找到了腾讯的Coding平台,支持免费静态网站部署,且支持自定义域名和ssl,基本符合我的要求了。 使用Coding平台部署网站 注册账号 首先当然是要注册,一开始不知道这平台是腾讯的,账号跟腾讯互通,用了没绑
亚马逊商品元数据集解析(Amazon dataset)
weixin_45332508的博客
01-03 2005
亚马逊数据集解析
浅析云服务oss/obs/cos对象存储安全攻防
道阻且长,行则将至。
01-21 1241
本文主要学习了储存服务的基础使用,实践掌握了 Bucket 对象存储服务错误配置带来的的安全风险,并重点分析了主机 AccessKeySecret 认证凭据泄露所带来的风险。
主机AK/SK泄露利用
Fly_鹏程万里
10-20 904
主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
Web实战】阿里云手动接管控制台(保姆级别教程不触发告警)
hackzkaq的博客
11-17 276
说到cli接管之前,首先得看明白阿里云官方文档,搞清楚具体流程和官方工具和api的调用方式,链接如下 https://next.api.aliyun.com/document/Ram/2015-05-01/overview阿里云是我个人认为公有最简单也是最容易上手的一个云服务,在很多我们挖洞或者是攻防的过程中会遇到一些ak/sk,习惯了使用cf工具一把梭,从而触发短信或控制台告警,导致目标响应过快,达不到渗透目的,所以本篇写一下自己个人的一些小技巧和心得,如何手动接管阿里云控制台,并且不触发短信告警。
青藤-2020年中国主机安全市场报告-Frost&Sullivan-26
07-18
2020年中国主机安全市场报告-Frost&Sullivan 本报告旨在分析中国主机安全产品发展现状、产品特点、技术动向及发展趋势,并识别中国主机安全市场竞争态势,反映该细分市场领袖梯队品牌的差异化竞争优势。 ...
如何获取k8s元数据信息
qq_22548549的博客
12-04 938
介绍通过Downward API和REST获取k8s元数据
2021 部署 Hexo 到(新版)CODING Pages 并实现全站 HTTPS 协议
cdtaogang's blog
06-06 3689
说明:该篇博客是博主一字一码编写的,实属不易,请尊重原创,谢谢大家! 前言        在上一篇《 2021 搭建一个属于自己的静态网站(Hexo+GitHub Pages)》文章中博主给大家演示了怎么搭建基于Hexo一个静态网站并部署到GitHub Pages, 那么这篇文章主要是给大家讲解演示怎么将 Hexo 网站部署到新版的Coding Pages。       &nb
kafka元数据信息存储在哪里,如何查看
zjjcchina的博客
11-30 3839
本文主要讲述以下两部分内容: kafka数据的存储方式; kafka如何通过offset查找message。 1.前言 写介绍kafka的几个重要概念: Broker:消息中间件处理结点,一个Kafka节点就是一个broker,多个broker可以组成一个Kafka集群; Topic:一类消息,例如page view日志、click日志等都可以以topic的形式存在,Kafka集群能够同时负责多个topic的分发; Partition:topic物理上的分组,一个topic可以分为多个parti
一文速览字节最新分布式操作系统KubeWharf
克克克克业业的学习记录
12-13 629
本文对Kubenetes 的基本概念和KubeWharf 的三个项目做了介绍,KubeWharf不仅仅是某一项或某几项技术,更是一种理念和引导,促进企业在上的过程中使用相关技术来更好的发挥计算的优势。针对大规模多租户集群的场景,进一步加强多租户支持,提供更细粒度的权限控制和更智能的资源分配。随着原生技术的发展,KubeWharf 可能会更深入地整合更多原生工具和服务,以提供更全面的解决方案。通过吸引更多的开发者和用户,形成更为活跃的社区,有助于项目的稳健发展和持续创新。
前端不暴露ak/sk直接上传阿里云oss的方案
北亮的专栏
07-07 2172
介绍如何在不暴露ak/sk的情况下,使用javascript直接上传阿里云 oss的方案,并小小的吐槽一下
攻防实战 | 记一次nacos到接管阿里云&百万数据泄露
最新发布
zkaqlaoniao的博客
03-20 365
在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息通过翻看配置文件,发现腾讯的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直接上!利用CF工具加上之前的AK,SK配置信息,创建腾讯控制台账号密码,登录后直接上!翻看腾讯的资源信息,发现5个存储桶,这一波直接加大分还可以看一下账单信息,看看购买了什么资源在私有网络当中,发现里面有两个子网,不过上不去也就没办法。
安全-对象存储安全(配置错误,域名接管,AK泄露
告白的博客
10-25 691
创建相同的桶,上传html文件访问测试(通过oss设置的备案域名访问,oss域名无效危害证明)通过put或者自己上传文件后访问,发现上传成功,可以通过对方设置的域名直接访问,造成接管厂商所对应的云服务包括:对象存储数据库,弹性计算服务(主机),控制台。各厂商对象存储名词:阿里云OSS,腾讯COS,华为OBS,亚马逊S3。上传后尝试通过对方设置的域名信息访问,如访问成功,则成功接管安全厂商分类:阿里云,腾讯,华为,亚马逊等。与其创建相同的oss(厂商,地区,相同名称)
&p->payload
07-28
回答: 在引用\[1\]中的代码中,"&p->payload"是指针p的payload成员的地址。这个地址可以用来访问和操作p的payload数据。在这个代码片段中,payload被用来构造一个特定的数据包,然后通过网络发送出去。在引用\[2\]中的代码中,payload指针被设置为指向某个区域,用于存储数据。在引用\[3\]中的代码中,pbuf_free(p)释放了指针p所指向的内存空间,包括payload数据。所以,"&p->payload"是一个指向p的payload数据的指针。 #### 引用[.reference_title] - *1* [CTF PWN - ROP ->Payload实例(攻防世界level2)](https://blog.csdn.net/yajuanpi4899/article/details/121153088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [LWIP网络数据包](https://blog.csdn.net/u012142460/article/details/79962441)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [lwip源码分析之 TCP协议 数据输入 (一)](https://blog.csdn.net/weixin_44821644/article/details/111339566)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值