云主机AK/SK泄露利用

基本介绍

云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略该操作并返回错误码

信息泄露

大部分云主机都支持AK/SK都认证方式,用于API调用等功能,由于开发的不规范以及一些其它漏洞可能会导致AK/SK泄露,在渗透中如果发现目标泄露了AK/SK,可以通过AK/SK直接攻击其对应的云服务器

利用工具

https://github.com/mrknow001/aliyun-accesskey-Tools/releases/tag/1.2

利用方式

官方网址:https://yun.cloudbility.com/

使用步骤:

Step 1:登录行云管家之后选择云主机厂商并导入资源

Step 2:填写API凭证

Step 3:AK/SK验证通过后选择绑定的云主机

Step 4:之后完成导入操作

Step 5:之后可以进行重置密码等操作

防御措施

云主机AK/SK信息泄露是一种非常严重的安全问题,可能导致云主机被非法访问和控制,引发各种安全问题。以下是一些防御云主机AK/SK信息泄露的措施:

  • 安全设置:配置云主机的安全选项,例如使用强密码、开启防火墙、限制远程访问等
  • 安全审计:定期进行安全审计,检查云主机的安全性,发现潜在的安全问题并及时修复
  • 定期更换:建议定期更换AK/SK信息,避免长期使用同一组AK/SK信息导致泄露风险增加
  • 日志监控:开启云主机的日志监控,包括登录日志、系统日志等,及时发现异常情况并采取相应措施
  • 访问限制:开启IP白名单,限制仅允许特定的IP地址进行远程访问,并且只开放必要端口,例如:HTTP/HTTPS
  • 安全存储:妥善保管AK/SK信息,避免泄露。AK/SK信息可以存储在安全的密钥管理系统中,例如:AWS KMS等
  • 安全培训:对云主机管理员和相关工作人员进行安全培训,提高他们的安全意识和技能,避免人为失误导致安全问题