什么是metadata:
ECS实例元数据是指实例ID、VPC信息、网卡信息等实例属性信息,支持在ECS实例内部通过访问元数据服务(Metadata Service)获取。通过该获取方式,您无需登录控制台或调用API,在实例内部即可访问实例信息,可以更便捷、安全地配置或管理正在运行的实例或实例上的程序。例如,运行在ECS实例中的应用程序,可以通过访问实例元数据服务访问绑定到实例上的RAM角色身份凭证(STS),以在不硬编码凭证的情况下访问授权资源(如OSS、KMS、其他ECS等)。
通过元数据服务从ECS实例内部获取实例属性等信息_云服务器 ECS(ECS)-阿里云帮助中心
实例云数据项定义
各大厂商云数据地址:
各个云厂商都有自己的元数据metadata查看,下面的部分云厂商的元数据访问地址
阿里云元数据地址:http://100.100.100.200/
腾讯云元数据地址:http://metadata.tencentyun.com/
华为云元数据地址:http://169.254.169.254/
亚马云元数据地址:http://169.254.169.254/
微软云元数据地址:http://169.254.169.254/
谷歌云元数据地址:http://metadata.google.internal/
京东云元数据地址:http://169.254.169.254
火山引擎元数据地址:http://100.96.0.96
天翼云引擎元数据地址:http://169.254.169.254在通用的云主机服务中我们可以通过/latest/meta-data/进行实例等元数据获取,不同云服务商路径可能存在差异可在各大云服务商文档中查看
ssrf配合元数据:
首先我们需确认目标机器存在ssrf
反查下目标机器ip服务 确认是否为云服务器。这里确认目标地址使用的为腾讯云,因此在ssrf存在点使用腾讯云元数据地址
从响应信息中可以看到在上文中提到的实例ID、私有IP地址、公有IP地址等,获取的方法只需要拼接在元数据地址之后访问就可以。
在执行了instance-id,hostname,mac就拿到了对应的实例id,主机名以及mac地址
同样我们也可以访问user-data路径,用以获取用户自定义数据,这里以腾讯云为例:
阿里云ram数据利用:
根据存在ssrf的点拼接阿里云元数据地址
从响应信息中可以看到在上文中提到的实例ID、私有IP地址、公有IP地址等,获取的方法只需要拼接在元数据地址之后访问就可以。
ram作为主机开放的零时凭证如果存在的话可以拼接下列接口来获取角色名称,然后用获取的角色名称在/security-credentials后继续拼接访问便可得到AK/SK数据。(这里等下次遇到后实战补充)
http://100.100.100.200/latest/meta-data/ram/security-credentials