狐狸工具箱4.0—AK SK后cf利用工具的具体使用方法

随笔2个月前发布 王彦
31 0 0

狐狸工具箱4.0—AK SK后cf利用工具的具体使用方法

什么是AK和SK,以及泄露之后的危害:

在调用阿里云API时您需要使用AccessKey完成身份验证。AccessKey包括AccessKey ID和AccessKey Secret,需要一起使用。

如果目标前端的JS代码中泄露了这两个东西的话,我们就可以拿着他的Access Key(AK) 和 Secret Key(SK)去访问和操作目标的云资源,导致数据泄露、资源滥用或其他安全风险。

官方解释:

AccessKey ID 和 AccessKey Secret 是您访问阿里云 API 的密钥,具有该账户完全的权限

为降低 AccessKey 泄露风险,自 2023 年 7 月 5 日 起,阿里云主账号 AccessKey 创建后,不能再次被查看 Secret 。自 2023 年 11 月 20 日起,对所有主账号关闭查询 Secret 的功能,请提前查询保存好主账号 AccessKey Secret。

AccessKey ID:用于标识用户。
AccessKey Secret:用于验证用户的密钥。AccessKey Secret必须保密。

工具箱的获取方式,在文章的最下方

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

语法:cf [command] cf空格跟上命令就是了

输入

cf config

这个命令做为开始,会先要求选择厂商;是什么厂商应该会在泄露AK和SK时附近的连接地址里一起泄露。后缀是aliyun.com之类的肯定就是阿里的了。不是的话也可以根据泄露的AK或SK的一些特征来推断是哪个厂商的。再不行都试试

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

具体使用情况:

cf config —进入配置选择厂商后的步骤:

输入访问密钥备注: 随便写一个就行

输入访问密钥ID(Accesskey): 输入目标泄露的Access Key ID

输入访问密钥密钥(Accesskey Secret):输入目标泄露的Accesskey

输入临时凭证Token: 可选的,不输入就直接回车就好

假设目标是阿里的,可以使用这个命令查看可用参数,如果是其它的厂商也类似

cf alibaba

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

那么命令可以是:

cf alibaba ls //(这条命令是说列出当前所有的对象存储资源(OSS)和云服务器(ECS)和云数据库(RDS)。)

我拿我自己的阿里云账号进行演示:(文章写完后,AK已销毁)

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

ls命令列出了,我这个账号仅有的一台服务器资源,包括公私网IP地址,操作系统类型等。

cf alibaba perm

查看当前连接所拥有的权限是什么

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

使用

cf alibaba console

这个命令接管账号;意思就是创建了一个子账号,这个子账号也有很高的权限。

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法执行成功后,会给你一个账号密码,和一个登录地址。访问之后一个登录框,自己输入这里提供的账号密码即可。如上图

访问登录之后的样子:

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

可以看到主账号所拥有的ECS和域名等资产,这个账号也是可以操作的

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

什么是RAM账号?:

云账户(主账号):
1)阿里云资源归属、资源使用计量计费的基本主体

RAM用户(子账号):
1)只能存在于某个云账户下的RAM实例中
2)不拥有资源,在被授权操作时所创建的资源归属于主账户
3)RAM用户不拥有账单,被授权操作时所发生的费用也计入主账户账单。

需要注意:当执行接管命令的时候也就是console的时候,阿里云盾会给主账号绑定的手机号发送危险警告。如下图:

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

(子账号,在写完文章后也已经销毁)

那么对服务器,对oss,对数据库的具体操作什么反弹shell啊,执行脚本啊等命令,我们可以这么做:

狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

具体的我就不一个一个演示了感兴趣的话,可以自己弄一个阿里云或者其它厂商的账号来实验一下,大概这个工具我了解的就是这么多。

感谢观看。

ONE-FOX集成工具箱_V4.0魔改骚粉版_by狐狸
百度网盘下载地址:https://pan.baidu.com/s/18ffwTaESerHbwuQt2c29Pw?pwd=ofox

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...