云上攻防-云服务&弹性计算服务器&云数据库&实例元数据&控制角色&AK控制台接管

知识点:
1、云服务-弹性计算服务器-元数据&SSRF&AK
2、云服务-云数据库-外部连接&权限提升
章节点：

云场景攻防：公有云，私有云，混合云，虚拟化集群，云桌面等
云厂商攻防：阿里云，腾讯云，华为云，亚马云，谷歌云，微软云等
云服务攻防：对象存储，云数据库，弹性计算服务器(云服务器)，VPC&RAM等
云原生攻防：Docker，Kubernetes(k8s)，容器逃逸，CI/CD等

一、演示案例-云服务-弹性计算服务器-元数据&SSRF&AK

元数据解释
实例元数据（metadata）包含了弹性计算云服务器实例在阿里云系统中的信息，您可以在运行中的实例内方便地查看实例元数据，并基于实例元数据配置或管理实例。（基本信息：实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名，所有信息均实时生成，常用于快速辨别实例身份。）

各大云元数据地址：

阿里云元数据地址：http://100.100.100.200/
腾讯云元数据地址：http://metadata.tencentyun.com/
华为云元数据地址：http://169.254.169.254/
亚马云元数据地址：http://169.254.169.254/
微软云元数据地址：http://169.254.169.254/
谷歌云元数据地址：http://metadata.google.internal/

细节方面可通过访问官网找元数据访问触发说明

阿里云例子：https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata

腾讯云例子：https://cloud.tencent.com/document/product/213/4934

---

1、前提条件：

弹性计算服务器配置访问控制角色









SSRF漏洞或已取得某云服务器权限（webshell或漏洞rce可以访问触发url）

2、利用环境1：获取某服务器权限后横向移动

获取关键角色信息

curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

获取ecs角色临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

利用AK横向移动

CF 云渗透框架项目：https://wiki.teamssix.com/CF/

1、先配置云服务商的访问密钥

cf config

2、获取控制台

3、获取所有的ecs服务器

4、执行命令(需要先获取ecs服务器)

5、获取所有oss存储桶

能看这么多东西是授权的权限高，如果权限低的话能看的东西就很少。

3、利用环境2：某服务器上Web资产存在SSRF漏洞

获取关键角色信息

curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

获取ecs临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

利用AK横向移动

CF 云渗透框架项目：https://wiki.teamssix.com/CF/

二、演示案例-云服务-云数据库-外部连接&权限提升

1、帐号密码
源码配置中找到（几率高）或爆破手段（几率低）
2、连接获取
白名单&外网 直接Navicat支持连接
内网需要其中内网某一个服务器做转发
3、AK利用（权限提升）
CF 云渗透框架项目：https://wiki.teamssix.com/CF/

三、演示案例-云上攻防-如何利用SSRF直接打穿云上内网

1. 利用SSRF发现打点阿里云

这里的 SSRF 漏洞触发点在 UEditor 编辑器的上传图片功能中，下面我们尝试让服务器从 https://baidu.com?.jpg 获取图片。

2. 直接利用SSRF漏洞获取目标阿里云的元数据地址

3.直接上CF利用框架项目，冲起来

4.存储桶下载后里面翻出另一个AK信息，发现这个 AK 还具有 ECS 的权限。

5.直接使用 CF拿下一键接管控制台