0x01 前言

如今越来越多的中小型公司选择使用云平台，诸如:阿里云、腾讯云、Amazon、Azure。使用云平台大大降低了企业的资源成本，另一方面随着公用云的普及，也存在着一些风险，当然不是由于云平台本身的安全性欠缺，而是由于使用者在调用API时没有注意安全性而导致的。最常见的问题就是AccessKey泄漏、配置不当。

正文

AccessKey（即访问密钥）是云平台用户在通过API访问云资源时用来确认用户身份的凭证，以确保访问者具有相关权限。AccessKey由云平台提供商（如亚马逊AWS、阿里云、腾讯云、华为云、京东云、金山云等）颁发给云主机的所有者，一般由AccessKeyID（访问密钥ID）和Secret Access Key（私有访问密钥）构成。

主账户/根用户的AccessKey具有主账户的完全权限，因此云厂商不建议直接使用主账户/根用户的AccessKey进行API调用，阿里云会建议你使用RAM子账户进行API的调用，当然这个账户是有相应权限限制的，而腾讯云cos服务除了可以生成子账户外还采用了一个CAM模型，用于生成 COS 的临时密钥。临时密钥有生效时间，作用与阿里oss的RAM子账号类似。

通过临时密钥方式，则可以方便、有效地解决权限控制问题。因为固定密钥计算签名方式不能有效地控制权限，同时把永久密钥放到客户端代码中有极大的泄露风险。从腾讯云COS secretkey泄露问题便可看出，下面会讲到这个问题。

OSS AccessKey泄露

对象存储（Object Storage Service，简称OSS），是阿里云对外提供的海量、安全和高可靠的云存储服务。

通过上面描述我们知道AccessKey如果泄露就会导致用户账户被控制，常见的泄露方式有以下几种：

• APK反编译后的配置文件。
• 小程序反编译后的配置文件
• GITHUB关键字、JS文件、FOFA等。
• spring未授权
• 7080端口
• 低权限的WEBSHELL查看网站的配置文件

拿到AccessKey后的利用方式

• 第三方平台，如：行云管家
• OSS Browser 阿里云OSS
• COS Browser 腾讯云COS
• COSCMD
• COSCLI
• COS Migration
• COSFS
• COSDistCp
• API Explorer
• aksk_tool(https://github.com/wyzxxz/aksk_tool)
• CF(https://github.com/teamssix/cf)

OSS Browser、OSSUTIL是官方阿里云官方提供的工具只能对于OSS进行操作，API调试或者第三方平台(行云管家)可以直接操作ECS，甚至重置服务器。

这里演示一下OSS Browser对OSS的操作

阿里云 access key ID 和 access key secret 是访问阿里云API的唯一凭证。Access key ID 是类似身份的标识，而 access key secret 的作用是签名你的访问参数，以防被篡改。Access key secret 类似你的登录密码。

登陆后便可访问文件服务，并对文件进行操作

COS Browser、COSCLI是官方阿里云官方提供的工具只能对于OSS进行操作，API调试或者第三方平台(行云管家)可以直接操作ECS，甚至重置服务器。

这里演示一下COS Browser对OSS的操作

腾讯云 secretid 和 secretkey 是访问腾讯云API的唯一凭证。SECRETID 是类似身份的标识，而 SECRETKEY的作用是签名你的访问参数，以防被篡改。SECRETKEY 类似你的登录密码。

登陆后便可访问文件服务，并对文件进行操作

通过行云管家这样的第三方平台，我们可以进一步进行操作。同样的我们需要access key ID 和 access key secret 。

通过行云管家，不仅可以访问OSS服务，还可以直接重置服务器密码，接管服务器,建立RAM用户等等操作。

COS服务 临时密钥泄露

对象存储（Cloud Object Storage，COS）是腾讯云提供的一种存储海量文件的分布式存储服务，用户可通过网络随时存储和查看数据。跟阿里云一样腾讯云的主机也有主账户和子账户之分，子账号是由主账号创建的实体，有确定的身份 ID 和身份凭证，拥有登录腾讯云控制台的权限。子账号默认不拥有资源，必须由所属主账号进行授权。与阿里云不同的是，腾讯云引入了临时密钥。

腾讯云COS 密钥泄露的方式有以下几种:

• Github关键字(TMPsecretid,tmpsecretkey)
• js文件
• 网页泄露
• spring未授权
• debug泄露、
• thinkphp报错泄露

临时密钥（临时访问凭证） 是通过 CAM 云 API 提供的接口，获取到权限受限的密钥。主要是为了解决固定密钥计算签名方式不能有效地控制权限，同时把永久密钥放到客户端代码中有极大的泄露风险的问题。

腾讯云获取临时密钥的过程如下：

在这里，第四步下发临时密钥，返回的字段主要包含以下三个字段：

• TmpSecretId

• TmpSecretKey

• Token

然后利用这三个字段计算签名，获得签名后，客户端发送携带签名的请求给COS服务器，对Bucket 进行操作。

其中要是想对指定的Bucket 进行操作，我们还需要知道对应的Bucket 名称，以及所属地域Region

利用方法

1.Bucket 公开访问

腾讯云存储桶的访问权限默认为私有读写权限,且存储桶名称会带上一串时间戳：

账号中的访问策略包括用户组策略、用户策略、存储桶访问控制列表（ACL）和存储桶策略（Policy）等不同的策略类型。当腾讯云 COS 收到请求时，首先会确认请求者身份，并验证请求者是否拥有相关权限。验证的过程包括检查用户策略、存储桶访问策略和基于资源的访问控制列表，对请求进行鉴权。

上图我们仅配置了存储桶访问权限，于是因为设置了私有读写，无权访问该文件，Message显示为 "Access Denied."

2.Bucket Object 遍历

如果策略中允许了Object的List操作，则在目标资源范围下，会将所有的Bucket Object显示出来，这时，Key值可以理解为文件的目录，通过拼接可获取对应的文件：

3.Bucket 爆破
4.Bucket 接管 --- 而appid是在控制台用时间戳随机生成的，因此无法创建同名Bucket，故不存在Bucket 接管问题

我介绍一个工具aksk_tool(https://github.com/wyzxxz/aksk_tool),这个工具支持阿里云AK+SK,AK+SK+STS利用和腾讯云SECRETID+SECRETKEY,TmpSECRETID+TmpSECRETKEY+Tmptoken利用

以下是该工具支持的

阿里云
支持 AKSK认证，STS认证
支持 ECS, OSS, RDS, REDIS, RAM , DOAIM 的功能调用
1. ECS      ECS详情查询，命令执行，安全组添加/删除
2. OSS      OSS文件上传，下载，删除，查询
3. RDS      RDS详情查询，数据库账号添加/删除，IP白名单修改
4. REDIS    REDIS详情查询，密码修改
5. RAM      RAM账号添加/删除
6. DOMAIN   DOMAIN域名查询，子域名解析增删改查等


腾讯云
支持 AKSK认证，TOKEN认证
支持 CVM, DOAIM, COS 的功能调用
1. CVM      CVM详情查询，实例启动，关闭，密码重置，命令执行（需要安装Agent）
2. DOMAIN   DOMAIN域名查询
3. COS      COS文件存储，文件的增删改查和临时url生成

案例

识别出北京有20台机子和多个城市有COS Bucket桶

我们进去看看

其它

上面讨论的是国内的厂商，当然国外的云厂商，如Amazon的AWS，也存在很多安全问题，例如S3存储桶配置不当，泄露AccessKey后，可对S3存储桶进行增删操作，这里的S3类似于OSS、Elastic Beanstalk中利用SSRF访问元数据，获取AccessKey等一些敏感信息等等。

AWS AccessKey的获取手段：

• Github关键词查找，accessKeyId、secretAccessKey、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY。
• 通过网站目录或者泄漏出来的源代码或者DEBUG信息。
• SSRF读取元数据。
• 前端页源代码。

AWS常见的漏洞类型：

• AmazonS3 Bucket允许任意文件上传和读取
• AmazonS3 bucket允许匿名访问
• AmazonS3 bucket允许列出文件
• AmazonS3 bucket允许盲上传
• AmazonS3 bucket允许任意读取/写入对象
• AmazonS3 bucket显示ACP/ACL