网易首页 > 网易号 > 正文 申请入驻

浅析云存储的攻击利用方式

0
分享至

文章首发于:火线Zone社区(https://zone.huoxian.cn/)

作者:高鹏

高鹏,火线云安全实验室成员,今天分享的主题是《浅析云存储的攻击利用方式》。

本次的议题,关于云存储的一个攻击利用方式,在SRC漏洞挖掘,或在火线安全平台的众测项目中,我们也会收到很多关于对象存储的一个劫持和权限配置的一些问题,对象存储在安全这一块也是一个不可忽略的方向。

我们总共把议题分为四个部分。

首先第一个部分是什么是对象存储,第二个部分对象存储利用方式,在这一环节中,我们举例了大概有十种利用对象存储利用方式,然后最后我们再对它进行一个总结,然后我们在第二第三部分,我们精心挑选了火线后台安全众测项目中真实的几个漏洞,并且奖金较高的,与对象存储有关的漏洞进行举例,最后就是我们的问答与讨论。

先看一下什么是对象存储。可能没有了解过的,对这个东西没有一个概念,就好像对象存储是把自己的对象存储在云上,把自己的女朋友存在云上?或者说跟开发一样,自己new一个对象,其实并不是。

我们在国内常见,比较大的对象存储提供商,还有包括国外的一些提供商,我们首先看一下,第一个就是腾讯云,然后第二个就是华为云,第三个就是阿里云,到国外的话,第一个肯定就是。亚马逊,然后就是微软的Azure,然后还有谷歌的Google cloud。

我们首先来看一下这六大云的一个对象存储的一个利用方式。

1、Bucket公开访问

首先第一个就是bucket的一个公开的一个访问,管理员在创建bucket的时候,默认的是priavte的一个权限,如果在错误的一个配置下,例如说给了一个ListObject的一个权限,会导致存储桶的遍历。

这是左边是aws的,然后右边是阿里云的。但是这里就存在两个问题1、如果首先第一个问题是,如果我们只配置公有读或者公有读写的情况下,其实我们是无法正常的列出他所下面的一些Key,造成遍历存储桶的情况,我们正常访问一个我们设置了公有读或公有读写的一个存储桶。但是这个存储桶我们访问的时候,他会告诉我们是Access Denied,但是我们可以通过访问它下面的一个key,或者对应就是我们通俗点来讲,就是访问它对应的一个文件,我们就能下载到这个文件。

如果想列出Object,那么就需要在Bucket的授权策略中,我们设置ListObject,我们在右边的图片就可以看到,它可以把这个所有的东西给列出来。

2、Bucket桶爆破

Bucket桶的爆破,我们在常规的渗透中,扫描目录,是通过返回的状态码来进行判断,而这里是通过页面返回不同的报错信息来进行判断,如下图

不过值得注意的是,在微软的Azure中,如果我们访问一个存在的存储账户下的一个容器,首先会提示我们,InvalidQueryParameterValue,但是如果不存在的话,会显示无法访问该网站。

也可以通过CNAME,DNS解析的方式去获取域名的CNAME。

3、特定的Bucket策略配置

我们访问一个bucket,如果存在某种限制,例如,UserAgent,IP等,管理员错误的配置了GetBucketPolicy的权限,我们可以通过获取Bucket的策略配置来获取存储桶中的内容。

4、Bucket Object遍历

Bucket的遍历也就是如果设置了ListObject权限,然后我们就可以看到它上面所存在的东西,其实是在SRC,或者说在众测项目中是非常多的,我们可以通过curl get的方式去下载张图片。

5、任意文件上传与覆盖

将任意文件上传至存储桶,或者说也可以覆盖存储桶上已经有的一个文件。这里主要关系到一个错误的配置策略,PutObject。

6、AccessKeyId,SecretAccessKey泄露

可以通过反编译APK,小程序,查看JS代码中来获取泄露的AK等,稍后在第三个环节,我们也会通过实战案例来看AK泄露的问题。

在JS代码中也可以找到泄露的Key

下图中提供了一款工具HaE

https://github.com/gh0stkey/HaE

这里我们推荐一款Burp的插件,HaE,能够有效的在测试中帮助测试人员快速的发现存在泄露的AK,身份证,电话号码,邮箱等。

7、Bucket劫持与子域接管

这是比较常见的,也是众测项目中比较多的,原理也很简单,bucket的名称只能有一个,如果管理员将Bucket设置了自定义域名,比如在域名中添加DNS解析,CNAME指向存储桶的域名,但是有一天管理员将存储桶删掉,但是并没有删掉在域名中的DNS解析,这种情况就会导致我们可以去注册同样的存储桶名称来劫持该域名,我们只需要上传任意的文件,就可以让这个域名或者存储桶显示我们想要的东西。

不过需要注意的是,在腾讯云的对象存储中,我们无法造成以上的操作,因为在腾讯云的对象存储域名中,有一个APPID,这个APPID来自我们的账户信息中。

随后我们再举例AWS下的存储桶劫持,原理同上。

然后aws下是有一个比较有意思的地方,就是我们来判断aws存储桶的域名地址的时候,其实我们是可以直接很直接的来判断出来的,就比如说它的域名是http://huoxian.cn,那么后面加上.s3.地区.http://amazon.com就可以了,原因是因为,在AWS下,配置存储桶的时候,想使用自定义的域名,存储桶的名称必须跟域名的名称一样。

我们再来看一下微软的Azure下的劫持,原理也同上。

8、存储桶的配置可写

存储桶的配置可写,我们访问一个存储桶时,如果提示我们Access Denied的话,如下图。

我们发现,该存储桶错误的配置了PutBucketPolicy和GetBucketPolicy,此时我们就可以获取存储桶的配置,然后再修改写入配置即可。

9、修改Bucket策略为Deny使业务瘫痪

当策略可写的时候,除了以上的一些操作,例如网站引入了某个S3上的资源,图片,JS等,我们可以通过修改Effect为Deny,导致网站无法获取这些资源随之瘫痪。

10、修改网站引用的S3资源进行钓鱼

这里比较好理解,我们既然拥有上传的权限了,我们可以通过修改里面的资源,进行一个钓鱼或污染。

11、六大公有云攻击方式统计表

我们总结了六大公有云的存储桶利用方式。

12、Lambda函数执行命令

首先我们先创建一个Lambda函数,然后在选择触发器的时候选择我们创建的存储桶,并且触发事件,我们选择所有事件都会触发。

我们使用Python编写函数,首先我们使用print将event中的信息输出到Cloud Watch我们需要注意Object中的Key,假设一种情况,这里的KEY来自存储桶的文件名,如果管理员在编写代码时将文件夹当成命令或其他的方式进行处理,能否造成命令执行。

很显然,是可以的,并且我们可以使用curl命令将信息外带出来。

在本环节中,我们挑选了,在火线安全众测项目中,漏洞奖金比较高的一些漏洞进行举例。

1、反编译小程序泄露AccessKey

该漏洞的奖金为6500,我们在图片中的IDEA中可以看到,这里通过ABD获取小程序的包反编译后在JS代码中找到的存储桶的KEY,随后连接上去,在存储桶中获取到了大量的敏感数据。

2、JS文件中存在的AccessKey泄露

该漏洞的奖金为7000,在上图中可以看到,在JS代码中,找到了泄露的KEY,随后使用OSS浏览器连接上去,发现了大量的用户身份证图片等。

3、阿里云存储桶劫持

该漏洞的奖金为2500,在第二张图我们可以看到,访问域名显示NoSuckBucket,在HostID中我们可以看到存储桶的域名,随后创建了一个跟这个名称一样的存储桶,并上传一个1.txt中包含test by huoxian,再次访问该域名可以发现成功劫持了该域名。

4、GitHubAccessKey泄露

在上图中我们可以看到,通过关键字的搜索,可以在github中发现上传的AK,导致泄露敏感信息。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
全球手机供应链大洗牌!中国从61%跌至25%排名第三,输给印度越南

全球手机供应链大洗牌!中国从61%跌至25%排名第三,输给印度越南

大卫聊科技
2025-07-30 14:10:18
清算!释永信被查不到4天,再迎5大噩耗,16万袈裟只是冰山一角

清算!释永信被查不到4天,再迎5大噩耗,16万袈裟只是冰山一角

二月侃事
2025-07-31 09:45:46
武大诬告女生最新后续:放言要送男生母亲进去,学校回应耐人寻味

武大诬告女生最新后续:放言要送男生母亲进去,学校回应耐人寻味

清游说娱
2025-07-30 13:41:17
李嘉诚长孙李长禧正面照曝光!浓眉大眼像爸爸,无接班压力很轻松

李嘉诚长孙李长禧正面照曝光!浓眉大眼像爸爸,无接班压力很轻松

寒士之言本尊
2025-07-30 15:11:37
我转业担任副县长后,发现初恋是县委书记,结果我被她排挤

我转业担任副县长后,发现初恋是县委书记,结果我被她排挤

乔生桂
2025-07-28 10:28:29
女子在日本旅游被歧视“中国人不要来日本”,女子回怼:我是你爸

女子在日本旅游被歧视“中国人不要来日本”,女子回怼:我是你爸

涵豆说娱
2025-07-30 10:57:46
中方还在等特朗普签字,美国找了个新借口,要对中国加征100%关税

中方还在等特朗普签字,美国找了个新借口,要对中国加征100%关税

呼呼历史论
2025-07-31 10:51:00
朱元璋回故乡,问老妪:你知道朕是谁吗?老妪一句话受赏黄金万两

朱元璋回故乡,问老妪:你知道朕是谁吗?老妪一句话受赏黄金万两

凯裕说故事
2025-07-25 15:28:39
“一妻多夫制”重现:兄弟间共用一个妻子,平日里怎么生活的?

“一妻多夫制”重现:兄弟间共用一个妻子,平日里怎么生活的?

阅微札记
2025-07-30 21:16:12
为什么女人出轨第一次发生关系非常难,后面就会越来越容易?

为什么女人出轨第一次发生关系非常难,后面就会越来越容易?

素然追光
2025-06-23 02:10:05
台湾护照有多牛?英国加拿大180天免签,日本90天免签,美国如何

台湾护照有多牛?英国加拿大180天免签,日本90天免签,美国如何

李昕言温度空间
2025-07-28 14:52:09
我国为何抛弃4万华人?央求哭诉也不接受,只因30年前太不是人!

我国为何抛弃4万华人?央求哭诉也不接受,只因30年前太不是人!

历史茶坊
2025-07-26 08:07:17
50%关税!特朗普签了!美联储,罕见一幕!美股尾盘突变!黄金跳水

50%关税!特朗普签了!美联储,罕见一幕!美股尾盘突变!黄金跳水

证券时报e公司
2025-07-31 06:47:36
欧盟议员集体退场,抗议俄三号人物在联合国为俄乌战争辩解的发言

欧盟议员集体退场,抗议俄三号人物在联合国为俄乌战争辩解的发言

桂系007
2025-07-31 00:21:51
川外大三女生杨雪去世,仅21岁,最后画面曝光:不肯放开妈妈的手

川外大三女生杨雪去世,仅21岁,最后画面曝光:不肯放开妈妈的手

童童聊娱乐啊
2025-07-31 10:16:12
彭老总落难后,他当众给了彭老总两耳光,此人后来怎么样了?

彭老总落难后,他当众给了彭老总两耳光,此人后来怎么样了?

红梦史说
2025-07-30 09:24:40
38岁梅西获评9.9分+获MVP:无私助攻双响炮,率队绝杀,太牛了

38岁梅西获评9.9分+获MVP:无私助攻双响炮,率队绝杀,太牛了

侧身凌空斩
2025-07-31 09:52:00
河南焦作:为了删帖,电话轰炸、律师函、水军齐上阵!

河南焦作:为了删帖,电话轰炸、律师函、水军齐上阵!

爆角追踪
2025-07-25 19:13:28
江苏四校大战,南审成“唯一小丑”,不敢想象新生有多“绝望”

江苏四校大战,南审成“唯一小丑”,不敢想象新生有多“绝望”

熙熙说教
2025-07-30 20:18:49
日本多地海啸预警,游轮上的中国游客:下船观光行程取消,横滨港附近海面平静

日本多地海啸预警,游轮上的中国游客:下船观光行程取消,横滨港附近海面平静

齐鲁壹点
2025-07-31 07:19:12
2025-07-31 13:12:49
火线安全
火线安全
国内知名实名制白帽子众测平台
27文章数 0关注度
往期回顾 全部

科技要闻

微软年赚1000亿美元,盘后市值冲破4万亿

头条要闻

牛弹琴:特朗普对印度"连捅三刀" 莫迪的日子很不好过

体育要闻

梅西:今天赢球很重要 德保罗为球队带来很多东西

娱乐要闻

具俊晔墓地陪伴大S,汪家自身难保?

财经要闻

吴晓求刘煜辉对谈:讲透A股未来趋势

汽车要闻

连续掉头/丝滑避让 向往S7辅助驾驶有点东西

态度原创

旅游
手机
亲子
健康
军事航空

旅游要闻

热闻|清明假期将至,热门目的地有哪些?

手机要闻

华为 nova Flip 开启鸿蒙 HarmonyOS 5.1 花粉 Beta 版尝鲜招募

亲子要闻

凤凰童书夏季榜发榜,亲子共读不可错过的12本好书!

呼吸科专家破解呼吸道九大谣言!

军事要闻

俄乌冲突再创“无人机空战”新模式