【云渗透】各大云 AccessKey 特征整理

免责声明：

文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

以下文章来源于骨哥说事 ，作者骨哥说事

前言

对于云场景的渗透，获得AK和SK泄露，也是渗透中重要的一环。

通常，我们会在一些敏感的配置文件或者通过未授权访问、任意文件读取漏洞等方式，来寻找AK和SK。

但HaE插件中一般通过正则匹配式来寻找AK和SK的，如下：

(?i)(((access)(|-|_)(key)(|-|_)(id|secret))|(LTAI[a-z0-9]{12,20}))

但不同云厂商的 Access Key 内容特征又各有不同，如果能够根据不同厂商 Key 的特征，识别出具体哪家厂商的 Access Key ，从而有针对性开展渗透测试势必事半功倍。

亚马逊

亚马逊云计算服务 (Amazon Web Services, AWS) 的 Access Key 开头标识一般是 "AKIA"。

^AKIA[A-Za-z0-9]{16}$

• Access Key ID: 20个随机的大写字母和数字组成的字符，例如 AKHDNAPO86BSHKDIRYTE
  

• Secret Access Key ID: 40个随机的大小写字母组成的字符，例如 S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU（无法找回丢失的 Secret Access Key ID）。
  

Google

Google Cloud Platform (GCP) 的 Access Key 开头标识一般是 "GOOG"。

^GOOG[\w\W]{10,30}$

• 服务账号的JSON文件中包含了Access Key和密钥的信息，其中Access Key为client_email，其长度不固定，由字母、数字和特殊字符组成。
  

• 密钥（Key）的长度为256个字符，由字母、数字和特殊字符组成。
  

微软 Azure

Microsoft Azure 的 Access Key 开头标识一般是 "AZ"。

^AZ[A-Za-z0-9]{34,40}$

• Azure AD Application的Client ID通常用作Access Key，长度为36个字符，由字母和数字组成。
  

• 对于Azure AD Application的密钥（Secret），长度为44个字符，由字母、数字和特殊字符组成。
  

IBM Cloud

IBM 云 (IBM Cloud) 的 Access Key 开头标识一般是 "IBM"。

^IBM[A-Za-z0-9]{10,40}$

或

[a-zA-Z0-9]{8}(-[a-zA-Z0-9]{4}){3}-[a-zA-Z0-9]{12}$

阿里云

阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 "LTAI"。

^LTAI[A-Za-z0-9]{12,20}$

• Access Key ID长度为16-24个字符，由大写字母和数字组成。
  

• Access Key Secret长度为30个字符，由大写字母、小写字母和数字组成。
  

腾讯云

腾讯云 (Tencent Cloud) 的 Access Key 开头标识一般是 "AKID"。

^AKID[A-Za-z0-9]{13,20}$

• SecretId长度为17个字符，由字母和数字组成。
  

• SecretKey长度为40个字符，由字母和数字组成。
  

华为云

华为云 (Huawei Cloud) 的 Access Key 是20个随机大写字母和数字组成，比较难用正则表达式匹配。

[A-Z0-9]{20}

百度云

百度云 (Baidu Cloud) 的 Access Key 开头标识一般是 "AK"。

^AK[A-Za-z0-9]{10,40}$

京东云

京东云 (JD Cloud) 的 Access Key 开头标识一般是 "JDC_"。

^JDC_[A-Z0-9]{28,32}

火山引擎

字节跳动火山引擎 (Volcengine) 的 Access Key 开头标识一般是 "AKLT"，长度小于256位。

^AKLT[a-zA-Z0-9-_]{0,252}

UCloud

UCloud (UCloud) 的 Access Key 开头标识一般是 "UC"

^UC[A-Za-z0-9]{10,40}$

青云

青云 (QingCloud) 的 Access Key 开头标识一般是 "QY"。

^QY[A-Za-z0-9]{10,40}$

金山云

金山云 (Kingsoft Cloud) 的 Access Key 开头标识一般是 "AKLT"。

^AKLT[a-zA-Z0-9-_]{16,28}

天翼云

天翼云的 Access Key 开头标识一般是 "CTC"。

^CTC[A-Za-z0-9]{10,60}$

联通云

联通云的 Access Key 开头标识一般是 "LTC"。

^LTC[A-Za-z0-9]{10,60}$

移动云

移动云 (China Mobile Cloud) 的 Access Key 开头标识一般是 "YD"。

^YD[A-Za-z0-9]{10,60}$

用友云

用友云 (Yonyou Cloud) 的 Access Key 开头标识一般是 "YY"。

^YY[A-Za-z0-9]{10,40}$

HaE插件地址：

https://github.com/gh0stkey/HaE