目录
云服务-弹性计算服务器-元数据&SSRF&AK
前提条件
利用环境1:获取某服务器权限后横向移动
利用环境2:某服务器上Web资产存在SSRF漏洞
云服务-云数据库-外部连接&权限提升
云上攻防-如何利用SSRF直接打穿云上内网
知识点:1、云服务-弹性计算-元数据&SSRF&AK
2、云服务-云数据库-外部连接&权限提升
云服务-弹性计算服务器-元数据&SSRF&AK
元数据解释:实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)
各大云元数据地址:
- 阿里云元数据地址:http://100.100.100.200/
- 腾讯云元数据地址:http://metadata.tencentyun.com/
- 华为云元数据地址:http://169.254.169.254/
- 亚马云元数据地址:http://169.254.169.254/
- 微软云元数据地址:http://169.254.169.254/
- 谷歌云元数据地址:http://metadata.google.internal/
细节方面可通过访问官网找元数据访问触发说明
阿里云例子:https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata
腾讯云例子:https://cloud.tencent.com/document/product/213/4934
前提条件
弹性计算服务器配置访问控制角色
SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)
利用环境1:获取某服务器权限后横向移动
获取关键角色信息
curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
获取ecs角色临时凭证
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs
利用AK横向移动
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
1、先配置云服务商的访问密钥
cf config
2、获取控制台
3、获取所有的ecs服务器
4、执行命令(需要先获取ecs服务器)
5、获取所有oss存储桶
能看这么多东西是授权的权限高,如果权限低的话能看的东西就很少。
利用环境2:某服务器上Web资产存在SSRF漏洞
获取关键角色信息
curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
获取ecs临时凭证
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs
利用AK横向移动
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
云服务-云数据库-外部连接&权限提升
1、帐号密码
源码配置中找到(几率高)或爆破手段(几率低)
2、连接获取
白名单&外网 直接Navicat支持连接
内网需要其中内网某一个服务器做转发
3、AK利用(权限提升)
CF 云渗透框架项目:https://wiki.teamssix.com/CF/
云上攻防-如何利用SSRF直接打穿云上内网
1. 利用SSRF发现打点阿里云
这里的 SSRF 漏洞触发点在 UEditor 编辑器的上传图片功能中,下面我们尝试让服务器从 https://baidu.com?.jpg 获取图片。
2. 直接利用SSRF漏洞获取目标阿里云的元数据地址
3.直接上CF利用框架项目,冲起来
4.存储桶下载后里面翻出另一个AK信息,发现这个 AK 还具有 ECS 的权限。
5.直接使用 CF拿下一键接管控制台
