浅谈云上渗透测试方法.pdf

浅谈云上渗透测试方法 Mickey 云上常见的风险 • 凭据泄漏 • S3权限配置不当 • 安全组配置不当 • IAM权限配置不当 预备知识： • 责任共担模式 • IAM/EC2/S3/cloudtrails/ECS/elasticbeanstalk • 服务对应的IP范围 (/general/latest/gr/aws-ip-ranges.html) • Security group • Region • SDK (boto3) • Metadata (54/) 凭据泄漏的常见方式 • 除了GITHUB,常规扫描网站也能发现 • 例如：http://x.x.x.x/config.json Http://x.x.x.x/js/config.js 凭据泄漏的常见方式 • 通过WEB应用程序的debug/ 出错页面 凭据泄漏的常见方式 • 通过metdata泄漏,需要配合其他的漏洞,例如SSRF 54/latest/meta-data/iam/security-credentials/ 凭据泄漏的常见方式 • 通过cognito配置不当泄漏 S3 存储桶权限配置过松 S3桶的URL访问方式： s3. 区域./存储桶名或存储桶名.s3.区域. 存储桶命名规则： • 存储桶名称的长度介于3 和63 个字符之间，并且只能包含小写字母、数字、句点和短划线。 • 存储桶名称中的每个标签必须以小写字母或数字开头。 • 存储桶名称不能包含下划线、以短划线结束、包含连续句点或在句点旁边使用短划线。 • 存储桶名称不能采用IP 地址格式(4)。 例子： / /pentest.lab / / S3 存储桶权限配置过松 手工测试: 使用别人定期爬好的 不想重复造轮子,可以用这些工具: AWSBucketDump, S3Scanner,s3-inspector, Bucket Finder, Slurp, sandcastle.. Case 0: 建立隔离的VPC 时EnableDnsSupport 配置不当 安全组的Outbound的规则从默认的 到如下配置:  即使这样配置, 默认还 是可以通过 53来和外网 进行DNS通信 Case 0: 建立隔离的VPC 时EnableDnsSupport 配置不当 • 根据/zh_cn/vpc/latest/userguide/vpc- dns.html可以得知 “EnableDnsSupport: 如果此属性为true ，则通过 53 IP 地址或是在VPC IPv4 网络范围基础上“+2” 的预 留IP 地址来查询Amazon 提供的DNS 服务器将会成功。默认情况 下，在默认VPC 或VPC 向导创建的VPC 中，该属性设置为true。 在以任何其他方式创建的VPC 中，该属性设置也为true” 修改后 Case 1:通过读取userdata到访问源码 curl ‘http://x.x.x.x/?page=54/latest/meta- data/iam/’ Case 1: 通过读取userdata到访问源码 curl "http://x.x.x.x/?page=54/latest/meta-data/public-hostname" && printf "\n" curl 'http://x.x.x.x/?page=54/latest/user-data/' && printf "\n" echo -e "XXXXXXDogY29kZWNvbXXXXXXXXXXXXXXXXXXXX==" |base64 -D && printf "\n" 通过metadata