0x1 前言
各位靓仔靓女们,大家好!最近沉迷于研究云安全漏洞挖掘,发现了不少骚操作。今天就来和大家分享一下,保证干货满满,都是我实战中挖出来的站点漏洞案例!
本文将带你了解云安全的崛起以及未来可能遇到的各种问题。从多个角度,用大白话给大家讲讲云安全的优点、缺点,以及最重要的安全问题。毕竟,云安全最大的特点就是方便,但安全问题绝对不能掉以轻心!
接下来,我会分享关于AccessKey的那些事儿。现在云渗透可是越来越火了,搞到AK和SK,绝对是云安全渗透中不可或缺的一环。
然后是AWS S3对象存储的攻防秘籍,同样会分享几个实战案例,包括Bucket接管漏洞、OSS存储桶漏洞,以及Github神器的使用方法。最后,还会分享我之前在EDUSRC和攻防演练中挖到的OSS存储桶漏洞,绝对让你大呼过瘾!
0x2 云安全:从“小透明”到“C位担当”的逆袭之路
1、云安全是个啥?一句话给你讲明白!
别再以为云安全是高不可攀的技术啦!简单来说,它就是通过互联网,从远端的服务器提供各种安全服务,而不是像以前那样,在本地电脑上安装软件和硬件。有了云安全,企业就不用自己搭建和维护安全系统,安全团队也能随时随地通过Web面板远程管理,简直不要太方便!云安全通常包括零信任网络访问(ZTNA)、云访问安全代理(CASB)、威胁情报、数据安全、数据防泄漏(DLP)以及身份和访问管理(IAM)等解决方案。
2、云计算:你中有我,我中有你
“云”,或者说“云计算”,就是通过互联网访问各种资源、软件和数据库。有了它,企业可以把一部分或大部分的基础设施管理交给第三方,从而更灵活地扩展业务。
最常见的云计算服务有三种:
- IaaS(基础设施即服务): 混合云模式,企业可以自己管理一部分数据和应用,云供应商负责服务器、硬件、网络、虚拟化和存储等。
- PaaS(平台即服务): 简化应用开发和交付,提供自定义应用框架,自动管理云中的操作系统、软件更新、存储和基础设施。
- SaaS(软件即服务): 在线托管软件,通常以订阅方式提供。第三方负责管理所有技术问题,例如数据、中间件、服务器和存储。
3、云安全为啥这么难?这几个坑你得注意!
云安全解决方案旨在解决传统安全方案的老大难问题。
- 监控盲区: 公有云供应商无法提供对云环境的完全监控能力,导致安全团队难以跟踪和管理威胁。
- 躺枪风险: 公有云允许多个客户共享同一台物理服务器的资源,一旦服务器上的其他企业受到攻击,你可能也会跟着遭殃。
- 影子IT: 员工未经IT部门批准,偷偷使用各种云服务来共享文件或提高效率,这些未经安全策略控制的“影子IT”可能会带来严重风险。
- 合规性难题: 法律法规对私人客户数据的存储、使用、保留和保护方式都有严格规定,要把数据放在云存储里,还得遵守各种数据主权和驻留法规,简直太复杂!
4、云安全的“超能力”:吊打传统方案!
和本地解决方案相比,云安全服务有很多优势。
- 省钱才是硬道理: 企业可以省下本地安全解决方案的硬件、软件和许可成本,IT团队也能更轻松地管理安全,不用再招兵买马。
- 事半功倍: 云服务提供商负责更新软件和应用补丁,修复漏洞,你只需要坐享其成。
- 管理So Easy: 云提供商负责安全控制管理方面的日常任务,IT团队可以专注于更重要的工作。
- 黑科技加持: IT团队可以使用最新的工具、病毒定义、防病毒软件和其他安全解决方案。
- 弹性伸缩: 像所有云服务一样,云安全产品可以快速轻松地扩展,以保护更多用户、设备和位置。
- 专家护航: 云安全提供商专注于安全,可以聘请更多技能、经验和专业知识丰富的专家。
- 光速部署: 安装和配置本地解决方案可能需要数周或数月,但设置云安全服务通常只需几分钟或几小时。
- 快速响应: 云解决方案有助于缩短安全事件的响应时间,更快地修复漏洞和消除威胁。
- 轻松合规: IT团队经常发现,要确保符合HIPAA、GDPR和PCI DSS等框架是一项艰巨的任务。云安全解决方案使企业能够轻松完成合规性任务,减轻IT团队的负担。
0x3 AWS S3对象存储:黑客的玩具,安全工程师的噩梦
一、AWS S3:对象存储界的扛把子
对象存储(Object-Based Storage),也叫面向对象的存储,现在很多厂商直接叫它云存储。
说到对象存储,就不得不提Amazon。Amazon S3 (Simple Storage Service) 简单存储服务,是Amazon的公开云存储服务,对应的协议是S3协议,现在S3协议已经是行业标准了,国内主流的对象存储厂商基本都支持S3协议。
在Amazon S3标准下,对象存储里可以有多个桶(Bucket),对象(Object)就放在桶里。对象包含三个部分:Key、Data 和 Metadata。
- Key: 存储桶里的唯一标识符。比如URL:
https://test.s3.amazonaws.com/test,这里的test是存储桶Bucket的名称,/test就是Key。 - Data: 存储的数据本体,很好理解。
- Metadata: 元数据,可以理解成数据的标签、描述信息。和传统的文件存储不同,传统的文件存储中这类信息直接封装在文件里。有了元数据,可以大大加快对象的排序、分类和查找。
操作Amazon S3的方式有很多:
- AWS 控制台操作
- AWS 命令行工具操作
- AWS SDK 操作
- REST API 操作,通过REST API,可以用HTTP请求创建、提取和删除存储桶和对象。
二、手把手教你创建AWS S3存储桶
首先,你需要注册一个亚马逊的账号:
https://signin.amazonaws.cn/signup?request_type=register
登录后,打开Amazon S3面板
点击“创建存储桶”并进行配置
配置成功后,你会看到这样的界面
三、Bucket爆破:猜猜猜,猜中就发财!
不知道Bucket名称?没关系,爆破它!这有点像目录爆破,只不过目录爆破一般通过状态码判断,而Bucket爆破通过页面内容判断。
Bucket不存在有两种返回情况:InvalidBucketName 和 NoSuchBucket
Bucket存在也有两种情况:列出Object
或者返回AccessDenied
四、Bucket接管:鸠占鹊巢,变废为宝!
渗透测试时,如果发现目标的子域显示如下内容
通过页面特征,可以判断这是一个Amazon的S3,而且页面显示NoSuchBucket,说明这个Bucket可以接管!Bucket的名称也在页面中告诉你了,是xxxxxxx.s3.amazonaws.com。
直接在AWS控制台里创建一个名称为xxxxxxx.s3.amazonaws.com的Bucket就可以接管了!
创建完Bucket后,再次访问发现显示AccessDenied,说明该Bucket已经被你成功接管!
把该Bucket设置为公开,并上传个文件试试
可以看到,你已经成功接管了这个子域名的权限!
五、实战演练:OSS存储桶漏洞挖掘
我之前拿到一个站点目标,尝试访问
发现是个登录系统页面,尝试了弱口令和爆破都没用,前端和逻辑也都试了,但还是没有突破口。
这时,用Fofa检索这个域名,看看子域名有没有突破口
发现子域名存在OSS关键字,应该是存储桶,看看是否存在OSS存储桶漏洞
访问这个OSS子域名,发现存在OSS存储桶漏洞,可以遍历出不少文件
手动拼接URL查看文件太累?教你个神器!
这里给大家推荐一款Github上的OSS存储桶文件遍历工具——OSSFileBrowse
下载地址:https://github.com/jdr2021/OSSFileBrowse/releases/tag/v1.1
工具使用方法很简单,把存储桶的URL放进去,直接就可以遍历出所有文件了(左边是遍历出的文件内容)。
想要扩大漏洞危害?试试文件存储桶文件覆盖!
可以看到这里的1.html文件内容,下面我们会使用BP抓包,用PUT上传文件进行原文件覆盖操作。
利用PUT文件上传方式覆盖存储桶原始文件,只要名字对应就可以。
如果目标的对象存储支持HTML解析,就可以利用任意文件上传进行XSS钓鱼、挂暗链、挂黑页、供应链投毒等操作。这个站点支持HTML解析,也就是说可以打个钓鱼链接!
0x4 AccessKey泄露:一钥在手,天下我有!
一、浅谈AccessKey
下面结合曾哥的文章,加上我自己的理解,给大家分享AccessKey相关的知识点。现在云场景渗透越来越火,拿到AK和SK,是云安全渗透中重要的一环。
通常,我们会在一些敏感的配置文件或者通过未授权访问、任意文件读取漏洞等方式,来寻找AK和SK。
一般通过正则匹配来寻找AK和SK:
(?i)((access_key|access_token|admin_pass|admin_user|algolia_admin_key|algolia_api_key|alias_pass|alicloud_access_key|amazon_secret_access_key|amazonaws|ansible_vault_password|aos_key|api_key|api_key_secret|api_key_sid|api_secret|api.googlemaps AIza|apidocs|apikey|apiSecret|app_debug|app_id|app_key|app_log_level|app_secret|appkey|appkeysecret|application_key|appsecret|appspot|auth_token|authorizationToken|authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_app_key|bashrc password|bintray_apikey|bintray_gpg_password|bintray_key|bintraykey|bluemix_api_key|bluemix_pass|browserstack_access_key|bucket_password|bucketeer_aws_access_key_id|bucketeer_aws_secret_access_key|built_branch_deploy_key|bx_password|cache_driver|cache_s3_secret_key|cattle_access_key|cattle_secret_key|certificate_password|ci_deploy_password|client_secret|client_zpk_secret_key|clojars_password|cloud_api_key|cloud_watch_aws_access_key|cloudant_password|cloudflare_api_key|cloudflare_auth_key|cloudinary_api_secret|cloudinary_name|codecov_token|config|conn.login|connectionstring|consumer_key|consumer_secret|credentials|cypress_record_key|database_password|database_schema_test|datadog_api_key|datadog_app_key|db_password|db_server|db_username|dbpasswd|dbpassword|dbuser|deploy_password|digitalocean_ssh_key_body|digitalocean_ssh_key_ids|docker_hub_password|docker_key|docker_pass|docker_passwd|docker_password|dockerhub_password|dockerhubpassword|dot-files|dotfiles|droplet_travis_password|dynamoaccesskeyid|dynamosecretaccesskey|elastica_host|elastica_port|elasticsearch_password|encryption_key|encryption_password|env.heroku_api_key|env.sonatype_password|eureka.awssecretkey)[a-z0-9_ .-,]{0,25})(=|>|:=|||:|<=|=>|:).{0,5}['"]([0-9a-zA-Z-_=]{8,64})['"]
下面给大家介绍几个常见厂商的Access Key特征,根据不同厂商Key的不同特征,可以直接判断出这是哪家厂商的Access Key,从而针对性地进行渗透测试。云服务器常见的就是阿里云和腾讯云,我主要给大家介绍下面两种Access Key的特点。
二、阿里云
阿里云 (Alibaba Cloud) 的Access Key开头标识一般是"LTAI"。
^LTAI[A-Za-z0-9]{12,20}$
- Access Key ID长度为16-24个字符,由大写字母和数字组成。
- Access Key Secret长度为30个字符,由大写字母、小写字母和数字组成。
三、腾讯云
腾讯云 (Tencent Cloud) 的Access Key开头标识一般是"AKID"。
^AKID[A-Za-z0-9]{13,20}$
- SecretId长度为17个字符,由字母和数字组成。
- SecretKey长度为40个字符,由字母和数字组成。
四、AccessKey在手,云环境任我游
这里拿到一个网站,直接用插件findsomething看看有没有接口信息泄露,包括一些JS敏感信息。下面看到了OSSaccessKeyId,这是现在云安全有的一个关键字,相当于唯一的账号。
F12检索源代码,右击搜索OSSaccessKeyId关键字,因为OSSaccessKeyId相当于账号,也就是我们需要找到相关云安全的账号以及密码。
继续翻找,找到了下面的信息,也就是我们最关注的ossAccessid和ossAccesskey关键字。有了这两个关键字,我们后面就可以使用一些云接管的相关工具进行漏洞挖掘了。
五、接管云工具——行云管家
使用行云管家这个工具去接管云环境
https://yun.cloudbility.com/
第一步:登录行云管家之后选择云主机厂商并导入资源
第二步:导入key id跟key secret
第三步:AK/SK验证通过后选择绑定的云主机
第四步:完成导入操作
虽然里面没有找到什么云主机的信息,是因为开始绑定云主机的时候就没有扫描到,但是没关系,这里主要是给大家一个渗透测试的思路,在找到Access Key相关知识关键字的一个思路,碰到这样的情况该怎么去挖掘漏洞。
六、神器在手,天下我有:oss-browser
如果你没有找到访问的URL或者访问不了,可以尝试下面的这个工具oss-browser,专门用来连接OSS的。
https://github.com/aliyun/oss-browser
下面我们就使用这个工具进行连接,看看有没有什么敏感信息泄露。
直接输入泄露的access-key值,就可以直接连接成功了!
里面有很多该云主机泄露的信息,后面的内容就不给大家分析了,主要是分享接管云环境的思路。
0x5 云安全之OSS存储桶漏洞:挖洞姿势要帅,漏洞报告要亮!
一、EDUSRC微信小程序:小程序也能挖出大漏洞!
下面这个漏洞是我之前在挖掘EDUSRC时,挖某大学证书站的时候,从微信小程序里挖到的一个OSS存储桶漏洞,分享给大家学习学习。
起初是通过这个学校微信小程序的访客系统,这里的teacherName参数可控,把这个参数置空,可以打一个信息泄露,泄露该系统的访客用户信息,比如姓名、手机号、地址等。
这里重点是,通过访客预约进群这个系统,可以通过文件上传图片的功能点,用BP抓取数据包,发现这个小程序可能存在OSS存储桶漏洞,也就是我们今天要重点介绍的云安全漏洞之一。
访问这个URL,发现就是开始上传的图片。
接下来,我们需要拿到这个URL,挨个删除目录,看看页面回显信息。比如,如果出现的是AccessDenied关键字,说明打不出OSS存储桶漏洞,没有权限访问。
如果微信小程序把这个URL挨个目录删除后,回显NoSuchkey关键字,说明可能存在OSS存储桶漏洞。
如果挨个删除目录,出现下面的页面,那么恭喜你,成功挖到一枚云安全的存储桶漏洞了!
把对应的文件图片目录名称拼接到这个URL后面,就可以出一个云安全的文件泄露漏洞了。
二、攻防演练:云安全漏洞实战
比如常见的OSS存储桶漏洞,还有泄露ak/sk的相关敏感信息泄露的漏洞,可以看看是否是云安全OSS相关的敏感泄露,然后尝试下面的工具进行OSS劫持。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************