🐹弹性计算服务攻防

内容过时,不再适应当前环境, Time:2023.11.5 研究一些新的内容暂不对外

  • 阅读产品文档、阅读架构文档、了解相关操作手册,了解产品功能模块

  • 常规渗透一样子域名查找、端口扫描、目录扫描、指纹识别等,在查找的过程中留意AccessKey等密钥,会在APK文件、Github关键词、Web页面、JS文件、常规配置文件

  • 云主机的应用漏洞(SSRF、RCE、本地文件读取等常规漏洞)

  • 云产品的默认配置

    • OSS文件存储服务,默认设置为开放,导致文件任意下载

    • 端口默认对外0.0.0.0/0公网开放

AccessKey泄漏利用

渗透场景:

  • APK文件中存放Access Key;

  • Web页面/JS文件/phpinfo等;

  • Github查找目标关键字发现AccessKey与AccessKey Secret;

  • 拥有WebShell低权限的情况下搜集阿里云Access Key利用;

使用行云管家直接导入,获取OSS数据:

可直接获取阿里云主机进行重置密码等操作:

OpenAPI Explorer调用

在线API调用操作:

调用CreateCommand新建一条云助手命令,CreateCommand.py

Name随便写

Type类型:

可以创建以下类型的命令:

  • Windows实例适用的Bat脚本(RunBatScript)

  • Windows实例适用的PowerShell脚本(RunPowerShellScript)

  • Linux实例适用的Shell脚本(RunShellScriptCommandContent

该参数的值必须使用Base64编码后传输,且脚本内容的大小在Base64编码之后不能超过16KB。

常用脚本:

  • DescribeSecurityGroups

查询您创建的安全组的基本信息,例如安全组ID和安全组描述等。返回列表按照安全组ID降序排列。

  • DescribeCommands

查询您已经创建的云助手命令

  • DescribeRegions

查询您可以使用的阿里云地域。

  • DescribeInstances

查询一台或多台ECS实例的详细信息。

  • GetInstanceConsoleOutput

获取一台实例的系统命令行输出,数据以Base64编码后返回。

  • DescribeSnapshotPackage

查询您在一个阿里云地域下已经购买的对象存储OSS存储包,存储包可以用于抵扣快照存储容量。

  • GetInstanceScreenshot

获取实例的截屏信息。

  • ExportImage

导出您的自定义镜像到与该自定义镜像同一地域的OSS Bucket

  • InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

  • RunCommand

图形化操作

无脑操作【推荐】

https://github.com/mrknow001/aliyun-accesskey-Tools

SSRF查看实例元数据

实例元数据是云服务器(如亚马逊 AWS 云、阿里云、腾讯云等)提供的一种特殊的 Web 服务,它允许云服务器上的实例在内部网络内查询它们的元数据,例如它们的内网 IP 地址、安全组、密钥对等信息。可以结合SSRF漏洞一起使用。

https://cloud.tencent.com/document/product/213/4934

Previous云安全中心简介Next对象存储攻防

Last updated

Was this helpful?