以下文章來(lái)源于凌晨安全 ，作者White_Give00001

前言

此次滲透為一次授權(quán)滲透測(cè)試，門(mén)戶網(wǎng)站找出了一堆不痛不癢的小漏洞，由于門(mén)戶網(wǎng)站敏感特征太多而且也沒(méi)什么特殊性就沒(méi)有截圖了，后臺(tái)則是根據(jù)經(jīng)驗(yàn)找出并非爆破目錄，涉及太多敏感信息也省略了，我們就從后臺(tái)開(kāi)始。

02

正文

拿到網(wǎng)站先信息收集了一波，使用的寶塔，沒(méi)有pma漏洞，其它方面也沒(méi)有什么漏洞，沒(méi)有捷徑走還是老老實(shí)實(shí)的滲透網(wǎng)站吧。

打開(kāi)網(wǎng)頁(yè)發(fā)現(xiàn)就是登錄，果斷爆破一波，掏出我陳年老字典都沒(méi)爆破出來(lái)，最終放棄了爆破。

圖片 圖片

跑目錄也沒(méi)跑出個(gè)什么東西，空空如也，卡在登錄這里找回密碼這些功能也都沒(méi)有，CMS指紋也沒(méi)查到，都快要放棄了，瞎輸了個(gè)login，報(bào)了個(gè)錯(cuò)(準(zhǔn)確說(shuō)是調(diào)試信息)，提起12分精神查看。

小結(jié)：滲透這東西還是要講究緣分的。

圖片

往下繼續(xù)看

圖片

Reids賬號(hào)密碼都有，上面還有個(gè)mysql賬號(hào)密碼，但是端口都未對(duì)外網(wǎng)開(kāi)放，只能放棄了

但下面ALIYUN_ACCESSKEYID跟ALIYUN_ACCESSKEYSECRET就很關(guān)鍵。

利用方式可以手動(dòng)一步一步來(lái)，但是已經(jīng)有大神寫(xiě)出了工具，不想看手工的直接滑到最后部分。

說(shuō)句廢話：手工有手工的樂(lè)趣，一步一步的操作會(huì)讓你做完后有種成就感，我個(gè)人覺(jué)得手工其實(shí)是種享受，工具呢只是為了方便，在紅藍(lán)對(duì)抗中爭(zhēng)分奪秒時(shí)使用。

手工篇

首先用行云管家導(dǎo)入云主機(jī)，網(wǎng)站地址：https://yun.cloudbility.com/

步驟：選擇阿里云主機(jī) -> 導(dǎo)入key id跟key secret -> 選擇主機(jī) -> 導(dǎo)入即可(名字隨便輸)

圖片 圖片 圖片

導(dǎo)入成功后在主機(jī)管理看得到

圖片

點(diǎn)進(jìn)來(lái)查看詳情，這里可以重置操作系統(tǒng)密碼，但作為滲透，千萬(wàn)千萬(wàn)千萬(wàn)不要點(diǎn)這個(gè)，不能做不可逆操作。我們用這個(gè)只是為了得到兩個(gè)數(shù)據(jù)，就是實(shí)例ID以及所屬網(wǎng)絡(luò)，拿到就可以走人了。往下看

圖片

這里我們打開(kāi)阿里API管理器，這個(gè)是阿里提供給運(yùn)維開(kāi)發(fā)人員使用的一個(gè)工具，

https://api.aliyun.com/#/?product=Ecs

點(diǎn)擊左邊的搜素框輸入command，我們會(huì)用到CreateCommand跟InvokeCommand，CreateCommand是創(chuàng)建命令，InvokeCommand是調(diào)用命令。繼續(xù)往下看

圖片

Name部分隨意

Type指的是執(zhí)行腳本類型

RunBatScript：創(chuàng)建一個(gè)在Windows實(shí)例中運(yùn)行的 Bat 腳本。RunPowerShellScript：創(chuàng)建一個(gè)在Windows實(shí)例中運(yùn)行的PowerShell腳本。RunShellScript：創(chuàng)建一個(gè)在Linux實(shí)例中運(yùn)行的Shell腳本。

CommandContent為執(zhí)行命令，需要注意的是這里是填寫(xiě)base64編碼。

填寫(xiě)完后選擇python

圖片

點(diǎn)擊調(diào)試SDK示例代碼，此時(shí)會(huì)彈出Cloud shell窗口，并創(chuàng)建一個(gè)CreateCommand.py文件，用vim編輯器打開(kāi)CreateCommand.py，修改accessKeyId與accessSecret。

圖片 圖片

執(zhí)行CreateCommand.py，會(huì)返回一個(gè)RequestId與CommandId，記錄CommandId，后面調(diào)用命令會(huì)用到。

圖片

打開(kāi)InvokeCommand

RegionId填寫(xiě)行云管家中的所屬網(wǎng)絡(luò)

CommandId填寫(xiě)剛剛執(zhí)行CreateCommand.py返回的CommandId

InstanceId填寫(xiě)示例ID，行云管家中獲取到的那個(gè)

繼續(xù)點(diǎn)擊調(diào)試SDK代碼，會(huì)生成一個(gè)InvokeCommand.py文件，同樣用vim編輯器把a(bǔ)ccessKeyId與accessSecret修改了。

圖片

修改完成后使用nc監(jiān)聽(tīng)端口，執(zhí)行InvokeCommand.py。

圖片

成功執(zhí)行命令反彈shell，收工。

工具篇

使用方法：

查看所有實(shí)例信息

AliCloud-Tools.exe -a <AccessKey> -s <SecretKey> ecs –list 圖片

當(dāng)拿到示例ID后就可以執(zhí)行命令了

執(zhí)行命令

AliCloud-Tools.exe -a <AccessKey> -s <SecretKey> ecs exec -I <實(shí)例ID> -c "執(zhí)行命令" 圖片

03

總結(jié)

Access Key一般會(huì)出現(xiàn)在報(bào)錯(cuò)信息、調(diào)試信息中，具體場(chǎng)景沒(méi)法說(shuō)什么情況。本次遇到也是意外收獲，因此我在網(wǎng)上也查閱了很多文章，并沒(méi)發(fā)現(xiàn)什么技巧。如果是APP在APK中存放Access Key Web頁(yè)面/JS文件等 Github查找目標(biāo)關(guān)鍵字發(fā)現(xiàn)Access Key與AccessKey Secret擁有WebShell低權(quán)限的情況下搜集阿里云Access Key利用。

免責(zé)申明：

本項(xiàng)目?jī)H進(jìn)行信息搜集，漏洞探測(cè)工作，無(wú)漏洞利用、攻擊性行為，發(fā)文初衷為僅為方便安全人員對(duì)授權(quán)項(xiàng)目完成測(cè)試工作和學(xué)習(xí)交流使用。 請(qǐng)使用者遵守當(dāng)?shù)叵嚓P(guān)法律，勿用于非授權(quán)測(cè)試，勿用于非授權(quán)測(cè)試，勿用于非授權(quán)測(cè)試~~(重要的事情說(shuō)三遍)~~，如作他用所承受的法律責(zé)任一概與**凌晨安全**無(wú)關(guān)！！！

原文地址：https://mp.weixin.qq.com/s/EJHWu1MXT6w_m91BrcSjhA

總結(jié)

以上是生活随笔為你收集整理的阿里云主机泄露Access Key到getshell的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。