阿里云 OSS对象存储攻防

文章首发于:火线Zone社区
作者:UzJu
本文分为两个部分
【阿里云 OSS对象存储攻防】第一部分介绍OSS对象存储攻防的方式
第二部分为真实漏洞案例
01 Bucket权限配置错误-公开访问
在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶。
阿里云 OSS对象存储攻防
文章图片

在此时如果选择公有读的话,会出现两种情况:
1、在只配置读写权限设置为公有读或公共读写的情况下,无法列出对象。
阿里云 OSS对象存储攻防
文章图片

但是可以直接访问对应的KEY路径:
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

2、如果想列出Object对象,只需要在Bucket授权策略中设置ListObject即可。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

这样再当我们访问存储桶域名的时候就会发现,已经把我们存储桶的东西列出来了。
阿里云 OSS对象存储攻防
文章图片

02 Bucket桶爆破
当不知道 Bucket 名称的时候,可以通过爆破获得 Bucket 名称,这有些类似于目录爆破,只不过目录爆破一般通过状态码判断,而这个通过页面的内容判断。
当对于阿里云OSS 不存在有两种返回情况,分别是 InvalidBucketName 和 NoSuchBucket。
阿里云 OSS对象存储攻防
文章图片

InvalidBucketName:表示存储桶的名称不符合规范,属于无效的存储桶名称。
阿里云 OSS对象存储攻防
文章图片

NoSuchBucket:表示没有这个存储桶。
当存储桶存在时,则会返回以下两种情况
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

这样通过返回内容的不同,就可以进行 Bucket 名称爆破了,知道 Bucket 名称后,Key 的爆破也就很容易了。
03 特定的Bucket策略配置
特定的策略配置的指的是,如果管理员设置了某些IP,UA才可以请求该存储桶的话,此时如果错误的配置了GetBucketPolicy,可导致攻击者获取策略配置。
阿里云 OSS对象存储攻防
文章图片

可以看到我们此时是没有权限访问该存储桶的,我们尝试使用aliyun的cli获取policy。
阿里云 OSS对象存储攻防
文章图片

我们可以看到,需要符合UserAgent为UzJu才可以访问。
阿里云 OSS对象存储攻防
文章图片

04 Bucket Object遍历
阿里云 OSS对象存储攻防
文章图片

如果设置了ListObject,这将会导致Bucket桶被遍历。
阿里云 OSS对象存储攻防
文章图片

可通过访问Key,来下载该文件。
阿里云 OSS对象存储攻防
文章图片

05 任意文件上传与覆盖
如果在配置存储桶时,管理员错误的将存储桶权限,配置为可写,这将会导致攻击者可上传任意文件到存储桶中,或覆盖已经存在的文件。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

如果目标的对象存储支持 html 解析,那就可以利用任意文件上传进行 XSS 钓鱼、挂暗链、挂黑页、供应链投毒等操作。
06AccessKeyId,SecretAccessKey泄露
如果目标的 AccessKeyId、SecretAccessKey 泄露,那么就能获取到目标对象存储的所有权限,一般可以通过以下几种方法进行收集:
1、通过GitHub等开源平台中的源代码可发现存在泄露的Key
阿里云 OSS对象存储攻防
文章图片

2、通过反编译APK,找到敏感信息
3、在目标网站源代码中找到(Js等)
阿里云 OSS对象存储攻防
文章图片

07 Bucket接管
在阿里云下,当 Bucket 显示 NoSuchBucket 说明是可以接管的,如果显示 AccessDenied 则不行。
阿里云 OSS对象存储攻防
文章图片

假设有以下一种情况,管理员通过域名解析并绑定了一个存储桶,但是管理员将存储桶删除后,没有将域名解析的CNAME删除,这时会访问域名就会出现上面的情况,NoSuchBucket。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

现在我们将存储桶删除,就会出现如下情况:
阿里云 OSS对象存储攻防
文章图片

现在我们再访问域名会出现如下情况
阿里云 OSS对象存储攻防
文章图片

现在阿里云加了限制,必须在传输管理中配置绑定域名即可。以下情况即可接管该存储桶。
阿里云 OSS对象存储攻防
文章图片

当我们访问存储桶的域名时,提示我们NoSuchBucket,这个时候可以登录自己的阿里云账号,创建同样的名称即可。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

此时我们刷新
阿里云 OSS对象存储攻防
文章图片

已经成功接管了该存储桶,尝试上传文件后配置权限公开访问。
阿里云 OSS对象存储攻防
文章图片

08 Bucket 策略配置可写
当我们访问存储桶的时候,会提示我们已经被policy拦截。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

我们可以看到Effect中设置为Deny,我们只需要将它更改为Allow即可。
阿里云 OSS对象存储攻防
文章图片

随后使用PUT方法上传
阿里云 OSS对象存储攻防
文章图片

随后我们再使用GET获取
阿里云 OSS对象存储攻防
文章图片

此时我们可以正常看到存储桶中的对象了。
阿里云 OSS对象存储攻防
文章图片

09 修改策略导致网站瘫痪
当策略可写的时候,除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外,如果目标网站引用了某个 s3 上的资源文件,而且我们可以对该策略进行读写的话,也可以将原本可访问的资源权限设置为不可访问,这样就会导致网站瘫痪了。
阿里云 OSS对象存储攻防
文章图片

此时我们如果可以修改策略,我们只需要将获取该对象的权限修改为Deny,该网站既无法在获取图片,JS等信息了。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

10 实战案例
我们精心挑选了来自火线安全众测项目中,漏洞奖金较高的漏洞进行举例!
1、阿里云存储桶劫持
阿里云 OSS对象存储攻防
文章图片

此时可以看到访问该域名显示NoSuchBucket,那么只需要去阿里云存储桶重新创建一个与HostID一样的存储桶名称即可。
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

随后只需要上传文件,就可以让该域名显示我们上传的任意文件。
阿里云 OSS对象存储攻防
文章图片

2、反编译小程序,APP找到泄露的Key
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

3、在JS文件中找到存在泄露的AccessKey
阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

阿里云 OSS对象存储攻防
文章图片

    推荐阅读