针对云环境的渗透
1.云术语概述
1.1.RDS
关系数据库服务(Relational Database Service,RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务
RDS 采用即开即用的方式,兼容 MySQL、SQL Server 两种关系数据库,并提供数据库在线扩容、备份回滚、性能检测及分析等功能
RDS 与云服务器搭配使用,可使 I/O 性能倍增,内网互通,避免网络瓶颈
1.2.OSS
对象存储服务(Object Storage Service,OSS)是阿里云对外提供的海量、安全和高可靠的云存储服务
1.3.ECS
云服务器(Elastic Compute Service,ECS)与传统数据中心机房的服务器相似,云服务器部署在云端,由云服务商直接提供底层硬件环境
1.4.安全组
一种虚拟防火墙,具备状态检测和数据包过滤功能,用于在云端划分安全域
同一安全组内的 ECS 实例之间默认内网互通
2.云渗透思路
云渗透,即 SaaS 或 PaaS 渗透
由于服务器上云或其部分功能模块被部署在云上,站点也可能对比云服务器进行请求,所以除了常规的 Web 漏洞,新技术也会带来新的风险(如 Access Key 泄露利用、配置不当利用等问题)
2.1.Access Key
Access Key 由云服务商颁发给云服务器的所有者,Access Key 即所有者身份的证明
Access Key 通常分为 Access Key ID 和 Access Key Secret 两个部分
当调用云服务器的某些 API 接口、某些服务或某些功能点时,可能需要使用 Access Key 对身份进行认证。所以,如果能获取对应云服务器的 Access Key,就可以通过对应的 Access Key 完成身份认证
每个云服务商为 Access Key 分配的权限不同,Access Key 泄露可能造成的危害也不同。例如:阿里云为云服务器提供的 Access Key 是 root 用户;AWS 为云服务器提供的 Access Key 有限制,有些则是 S3 或 EC2,但并不一定都拥有上传或修改的权限
对于常规渗透泄露出来的 Access Key,可以通过特殊手段利用其获取目标镜像,还原 VMware 虚拟机或通过 DiskGinus 查看文件
在进行云环境渗透时,攻击者将更关注是否存在敏感信息、Access Key 泄露的情况
- 进行资产信息收集(包括子域名查找、端口扫描、目录扫描、指纹识别等)
- 在查找过程中留意 Access Key 等密钥,可能会在 APK 文件、GitHub 仓库、Web 页面、API 接口、JavaScript 文件、常规配置文件中出现
- 也可使用 FOFA、ZoomEye、Hunter 等网络空间搜索引擎对 Access Key 等关键词进行查找
- AWS 的云产品可通过 DNS 缓存、buckets.grayhatwarfare 查找
当测试者发现 Access Key 后,通过行云管家、OSS Browser、API Explorer、AWS CLI 等云服务器管理工具进行连接
2.2.云渗透实际运用
2.2.1.用户 Access Key 泄露的利用
通常,在以下几种情况下,可能存在 Access Key 泄露:
- 在 APK 文件中存放 Access Key;
- 前端代码泄露,例如在 JavaScript 中硬编码 Key 导致的泄露;
- GitHub 查找目标关键字发现 Access Key 与 Access Key Secret;
- 在拥有 Webshell 低权限的情况下,搜集阿里云 Access Key 并利用;
- 通过 Web 注入的方式获取 Access Key。
2.2.2.Spring 敏感信息泄露(例)
收集信息时,发现目标对应的三级子域名存在 spring 的接口未授权访问,在 /actuator/env 下发现多个密码,且其中存在 Access Key ,尝试调用 heapdump 接口,下载内存,提取密文
下载成功后,使用 MemoryAnalyzer 搜索转存下来的内存文件,获取阿里云的 Access Key 密文
在 dump 的内存文件中还获取了一些内网的 Redis 和 MySQL 明文密码
标签:Access,RDS,渗透,实用,Key,第六章,服务器,泄露 From: https://www.cnblogs.com/luoluostudy/p/18117396