云安全之OSS對象存儲安全總結
對象存儲
對象存儲(OSS)中可以有多個桶(Bucket),然后把對象(Object)放在桶里,對象又包含了三個部分:Key、Data 和 Metadata。
Bucket
存儲空間(Bucket)是用戶用于存儲對象(Object)的容器,所有的對象都必須隸屬于某個存儲空間。存儲空間具有各種配置屬性,包括地域、訪問權限、存儲類型等。用戶可以根據實際需求,創建不同類型的存儲空間來存儲不同的數據。
- 同一個存儲空間的內部是扁平的,沒有文件系統的目錄等概念,所有的對象都直接隸屬于其對應的存儲空間。
- 每個用戶可以擁有多個存儲空間。
- 存儲空間的名稱在 OSS 范圍內必須是全局唯一的,一旦創建之后無法修改名稱。
- 存儲空間內部的對象數目沒有限制。
命名規則
同一阿里云賬號在同一地域內創建的Bucket總數不能超過100個。Bucket創建后,其名稱無法修改。Bucket命名規則如下:
- Bucket名稱在OSS范圍內必須全局唯一。
- 只能包括小寫字母、數字和短劃線(-)。
- 必須以小寫字母或者數字開頭和結尾。
- 長度為3~63個字符。
命名示例
Bucket名稱的正確示例如下:
- examplebucket1
- test-bucket-2021
- aliyun-oss-bucket
Object
對象(Object)是 OSS 存儲數據的基本單元,也被稱為 OSS 的文件。和傳統的文件系統不同,對象沒有文件目錄層級結構的關系。對象由元信息(Object Meta),用戶數據(Data)和文件名(Key)組成,并且由存儲空間內部唯一的 Key 來標識。
例如:
https://hxsecurityteam.oss-cn-beijing.aliyuncs.com/AAccTest.png
Bucket:hxsecurityteam
地區:oss-cn-beijing
Key:AAccTest.png
對象元信息是一組鍵值對,表示了對象的一些屬性,比如最后修改時間、大小等信息,同時用戶也可以在元信息中存儲一些自定義的信息。可以簡單的理解成數據的標簽、描述之類的信息,這點不同于傳統的文件存儲,在傳統的文件存儲中這類信息是直接封裝在文件里的,有了元數據的存在,可以大大的加快對象的排序、分類和查找。Data 就是存儲的數據本體。
對象存儲利用方法
Bucket STS(SecurityToken)利用
STS服務給其他用戶頒發一個臨時訪問憑證。該用戶可使用臨時訪問憑證在規定時間內訪問您的OSS資源。
臨時訪問憑證無需透露您的長期密鑰,使您的OSS資源訪問更加安全。
利用工具
alicloud-tools
GitHub地址:https://github.com/iiiusky/alicloud-tools
方法一
ak+sk+sts使用命令:
方法二
OSS Browser
GitHub地址:https://github.com/aliyun/oss-browser
Bucket Object 遍歷
在創建 Bucket 時,可以選擇是否公開,默認是 private 的權限,如果在錯誤的配置下,給了??Listobject??權限,就會導致可遍歷存儲桶。
在此時如果選擇公有讀的話,會出現兩種情況
- 在只配置讀寫權限設置為公有讀或公共讀寫的情況下,無法列出對象,但能夠直接讀取對應的文件(正常情況)
- 如果想列出 Object 對象,需要在 Bucket 授權策略中設置 ListObject 即可
情況一
在只配置讀寫權限設置為公有讀或公共讀寫的情況下,無法列出對象
但是可以直接訪問對應的KEY路徑(正常情況)
情況二
如果想列出Object對象,只需要在Bucket授權策略中設置ListObject即可。
這樣再當我們訪問存儲桶域名的時候就會發現,已經把我們存儲桶的東西列出來了
Bucket 桶爆破
當不知道 Bucket 名稱的時候,可以通過爆破獲得 Bucket 名稱,這有些類似于目錄爆破,只不過目錄爆破一般通過狀態碼判斷,而這個通過頁面的內容判斷。
- AccessDenied:存在存儲桶,但無權限訪問
- InvalidBucketName:表示存儲桶的名稱不符合規范,屬于無效的存儲桶名稱
- NoSuchBucket:表示不存在這個存儲桶
Bucket 特定策略配置可寫
特定的策略配置的指的是,如果管理員設置了某些IP,UA才可以請求該存儲桶的話,此時如果錯誤的配置了??GetBucketPolicy??,可導致攻擊者獲取策略配置。
情況一
通過直接訪問:http(s)://url/?policy來確定是否對 Bucket 具有讀取權限
可以看到,管理員配置了對于任意認證主主體開放了所有 Action 的權限。
情況二
burpsuite攔截流量
可以看到我們此時是沒有權限訪問該存儲桶的,我們嘗試使用aliyun的cli獲取policy
我們可以看到,需要符合UserAgent為UzJu才可以訪問
Bucket 任意文件上傳與覆蓋
如果在配置存儲桶時,管理員錯誤的將存儲桶權限,配置為可寫,這將會導致攻擊者可上傳任意文件到存儲桶中,或覆蓋已經存在的文件
如果目標的對象存儲支持 html 解析,那就可以利用任意文件上傳進行:
- XSS 釣魚
- 掛暗鏈
- 掛黑頁
- 供應鏈投毒等操作
情況一
情況二
當我們訪問存儲桶的時候,會提示我們已經被policy攔截
如果此時配置了存儲桶的oss BucketPolicy,就可以更改Deny為Allow即可訪問
我們可以看到Effect中設置為Deny,我們只需要將它更改為Allow即可
隨后使用PUT方法上傳
隨后我們再使用GET獲取
此時我們可以正常看到存儲桶中的對象了
Bucket 劫持接管
假設管理員通過域名解析并綁定了一個存儲桶,但是管理員將存儲桶刪除后,沒有將域名解析的 CNAME 刪除,這時會訪問域名就會出現 NoSuchBucket。因此可以登錄自己的阿里云賬號,創建同樣的 Bucket 即可。
在阿里云下,當 Bucket 顯示 NoSuchBucket說明是可以接管的,如果顯示 AccessDenied則不行。
假設有以下一種情況,管理員通過域名解析并綁定了一個存儲桶,但是管理員將存儲桶刪除后,沒有將域名解析的CNAME刪除,這時會訪問域名就會出現上面的情況,NoSuchBucket。
現在我們將存儲桶刪除,就會出現如下情況
現在我們再訪問域名會出現如下情況
接管bucket
現在阿里云加了限制,必須在傳輸管理中配置綁定域名即可。以下情況即可接管該存儲桶
當我們訪問存儲桶的域名時,提示我們NoSuchBucket,這個時候可以登錄自己的阿里云賬號,創建同樣的名稱即可。
此時我們刷新,
已經成功接管了該存儲桶,嘗試上傳文件后配置權限公開訪問。
Bucket 修改策略
當策略可寫的時候,除了上面的將可原本不可訪問的數據設置為可訪問從而獲得敏感數據外,如果目標網站引用了某個 s3 上的資源文件,而且我們可以對該策略進行讀寫的話,也可以將原本可訪問的資源權限設置為不可訪問,這樣就會導致網站癱瘓了。
方法一
可以通過直接 PUT 一個配置,達到攻擊的目的。
方法二
訪問網站
此時我們如果可以修改策略,我們只需要將獲取該對象的權限修改為Deny,該網站既無法在獲取圖片,JS等信息了
參考鏈接:
對象存儲攻防案例
阿里云 OSS對象存儲攻防
阿里云AK+SK泄露之STS(SecurityToken)如何利用
存儲空間命名 - 對象存儲 OSS - 阿里云
