【云安全】腾讯云COS对象存储攻防

渗透技巧 3年前 (2022) admin
1,035 0 0


文章首发于:

火线Zone社区(https://zone.huoxian.cn/)


01 

Bucket 公开访问


腾讯云存储桶的访问权限默认为私有读写权限,且存储桶名称会带上一串时间戳:


【云安全】腾讯云COS对象存储攻防


账户中的访问策略包括用户组策略、用户策略、存储桶访问控制列表(ACL)和存储桶策略(Policy)等不同的策略类型。 


当腾讯云 COS 收到请求时,首先会确认请求者身份,并验证请求者是否拥有相关权限。验证的过程包括检查用户策略、存储桶访问策略和基于资源的访问控制列表,对请求进行鉴权。


【云安全】腾讯云COS对象存储攻防

–摘自腾讯云官方文档


上图我们仅配置了存储桶访问权限,于是因为设置了私有读写,无权访问该文件,Message 为 “Access Denied.”


【云安全】腾讯云COS对象存储攻防


02 

Bucket Object 遍历


如果策略中允许了Object的List操作,则在目标资源范围下,会将所有的Bucket Object显示出来,这时,Key值可以理解为文件的目录,通过拼接可获取对应的文件:


【云安全】腾讯云COS对象存储攻防


有趣的是,在腾讯云的访问策略体系中,如果存储桶访问权限为私有读写,且 Policy 权限为匿名访问,那么 Policy 权限的优先级高于存储桶访问权限。


如果控制台配置了Policy权限,默认是对所有用户生效,并且允许所有操作,这时即使存储桶访问权限配置为私有读写,匿名用户也可通过遍历Bucket Object,获取对应的文件。


【云安全】腾讯云COS对象存储攻防
【云安全】腾讯云COS对象存储攻防


03 

Bucket 爆破


当访问的存储桶不存在时,Message 为 “NoSuchBucket”,通过响应包返回内容的对比,可以筛选出已存在的存储桶域名。


【云安全】腾讯云COS对象存储攻防


04 

Bucket 接管


由于Bucket 接管是由于管理人员未删除指向该服务的DNS记录,攻击者创建同名Bucket进而让受害域名解析所造成的,关键在于攻击者是否可创建同名Bucket,腾讯云有特定的存储桶命名格式,即-+cos.ap-nanjing.myqcloud.com:


【云安全】腾讯云COS对象存储攻防


而appid是在控制台用时间戳随机生成的,因此无法创建同名Bucket,故不存在Bucket 接管问题:


【云安全】腾讯云COS对象存储攻防


05 

任意文件上传与覆盖


由于Bucket不支持重复命名,所以当匿名用户拥有写入权限时,可通过任意文件上传对原有文件进行覆盖,通过PUT请求可上传和覆盖任意文件。


【云安全】腾讯云COS对象存储攻防


06 

用户身份凭证(签名)泄露


通过 RESTful API 对对象存储(Cloud Object Storage,COS)可以发起 HTTP 匿名请求或 HTTP 签名请求。匿名请求一般用于需要公开访问的场景,例如托管静态网站;此外,绝大部分场景都需要通过签名请求完成。


签名请求相比匿名请求,多携带了一个签名值,签名是基于密钥(SecretId/SecretKey)和请求信息加密生成的字符串。SDK 会自动计算签名,您只需要在初始化用户信息时设置好密钥,无需关心签名的计算;对于通过 RESTful API 发起的请求,需要按照签名算法计算签名并添加到请求中。–摘自官方文档


代表腾讯云用户签名的参数为:SecretId/SecretKey,在开发过程中可能有如下几处操作失误会导致SecretId/SecretKey泄露,获取到SecretId/SecretKey相当于拥有了对应用户的权限,从而操控Bucket。


Github中配置文件中泄露凭证


【云安全】腾讯云COS对象存储攻防


小程序APP反编译源码中泄露凭证

错误使用SDK泄露凭证


常见场景:代码调试时不时从服务器端获取签名字符串,而是从客户端获取硬编码的签名字符串。


官方SDK使用文档

https://cloud.tencent.com/document/product/436/8095


【云安全】腾讯云COS对象存储攻防


第三方组件配置不当导致泄露凭证


常见场景:/actuator/heapdump堆转储文件泄露SecretId/SecretKey


07 

Bucket ACL 可读/写


列出Bucket Object提示无权访问:


【云安全】腾讯云COS对象存储攻防


查看Bucket的ACL配置,发现有http://cam.qcloud.com/groups/global/AllUsers下有FULL_CONTROL权限


GET /?acl HTTP/1.1Host: <BucketName-APPID>.cos.<Region>.myqcloud.comDate: GMT DateAuthorization: Auth String


【云安全】腾讯云COS对象存储攻防


官方文档中有对ACL权限配置参数的说明:https://cloud.tencent.com/document/product/436/30752#.E6.93.8D.E4.BD.9C-permission


【云安全】腾讯云COS对象存储攻防


FULL_CONTROL代表匿名用户有完全控制权限,于是在通过PUT ACL写入策略,将存储桶的访问权限配置为公有读写:


【云安全】腾讯云COS对象存储攻防


【火线Zone云安全社区群】

进群可以与技术大佬互相交流

进群有机会免费领取节假日礼品

进群可以免费观看技术分享直播

识别二维码回复【社区群】进群

【云安全】腾讯云COS对象存储攻防
【云安全】腾讯云COS对象存储攻防


【火线zone社区周激励】

2022.2.28 ~ 2022.3.6公告

【云安全】腾讯云COS对象存储攻防


【相关精选文章】

【云安全】腾讯云COS对象存储攻防
【云安全】腾讯云COS对象存储攻防
【云安全】腾讯云COS对象存储攻防
【云安全】腾讯云COS对象存储攻防


【云安全】腾讯云COS对象存储攻防


火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。欢迎具备分享和探索精神的云上用户加入火线Zone社区,共建一个云安全优质社区!


如需转载火线Zone公众号内的文章请联系火线小助手:hxanquan(微信)

【云安全】腾讯云COS对象存储攻防

 微信号 

huoxian_zone

【云安全】腾讯云COS对象存储攻防

点击阅读原文,加入社区,共建一个有技术氛围的优质社区!

原文始发于微信公众号(火线Zone):【云安全】腾讯云COS对象存储攻防

版权声明:admin 发表于 2022年3月7日 下午6:00。
转载请注明:【云安全】腾讯云COS对象存储攻防 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...