對象存儲
對象存儲(OSS)中可以有多個桶(Bucket)��,然后把對象(Object)放在桶里�����,對象又包含了三個部分:Key����、Data 和 Metadata。
站在用戶的角度思考問題�,與客戶深入溝通�����,找到運(yùn)城網(wǎng)站設(shè)計與運(yùn)城網(wǎng)站推廣的解決方案����,憑借多年的經(jīng)驗(yàn),讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合�����,創(chuàng)造個性化����、用戶體驗(yàn)好的作品,建站類型包括:網(wǎng)站設(shè)計�����、成都網(wǎng)站制作、企業(yè)官網(wǎng)���、英文網(wǎng)站����、手機(jī)端網(wǎng)站�、網(wǎng)站推廣、域名與空間�����、網(wǎng)絡(luò)空間�、企業(yè)郵箱。業(yè)務(wù)覆蓋運(yùn)城地區(qū)��。
Bucket
存儲空間(Bucket)是用戶用于存儲對象(Object)的容器��,所有的對象都必須隸屬于某個存儲空間���。存儲空間具有各種配置屬性����,包括地域����、訪問權(quán)限�、存儲類型等���。用戶可以根據(jù)實(shí)際需求��,創(chuàng)建不同類型的存儲空間來存儲不同的數(shù)據(jù)�����。
- 同一個存儲空間的內(nèi)部是扁平的,沒有文件系統(tǒng)的目錄等概念����,所有的對象都直接隸屬于其對應(yīng)的存儲空間。
- 每個用戶可以擁有多個存儲空間��。
- 存儲空間的名稱在 OSS 范圍內(nèi)必須是全局唯一的����,一旦創(chuàng)建之后無法修改名稱。
- 存儲空間內(nèi)部的對象數(shù)目沒有限制����。
命名規(guī)則
同一阿里云賬號在同一地域內(nèi)創(chuàng)建的Bucket總數(shù)不能超過100個���。Bucket創(chuàng)建后,其名稱無法修改��。Bucket命名規(guī)則如下:
- Bucket名稱在OSS范圍內(nèi)必須全局唯一��。
- 只能包括小寫字母���、數(shù)字和短劃線(-)���。
- 必須以小寫字母或者數(shù)字開頭和結(jié)尾。
- 長度為3~63個字符��。
命名示例
Bucket名稱的正確示例如下:
- examplebucket1
- test-bucket-2021
- aliyun-oss-bucket
Object
對象(Object)是 OSS 存儲數(shù)據(jù)的基本單元��,也被稱為 OSS 的文件�。和傳統(tǒng)的文件系統(tǒng)不同,對象沒有文件目錄層級結(jié)構(gòu)的關(guān)系��。對象由元信息(Object Meta)�����,用戶數(shù)據(jù)(Data)和文件名(Key)組成,并且由存儲空間內(nèi)部唯一的 Key 來標(biāo)識��。
例如:
https://hxsecurityteam.oss-cn-beijing.aliyuncs.com/AAccTest.png
Bucket:hxsecurityteam
地區(qū):oss-cn-beijing
Key:AAccTest.png
對象元信息是一組鍵值對���,表示了對象的一些屬性���,比如最后修改時間、大小等信息�����,同時用戶也可以在元信息中存儲一些自定義的信息�。可以簡單的理解成數(shù)據(jù)的標(biāo)簽�、描述之類的信息���,這點(diǎn)不同于傳統(tǒng)的文件存儲�,在傳統(tǒng)的文件存儲中這類信息是直接封裝在文件里的���,有了元數(shù)據(jù)的存在�,可以大大的加快對象的排序����、分類和查找�。Data 就是存儲的數(shù)據(jù)本體����。
對象存儲利用方法
Bucket STS(SecurityToken)利用
STS服務(wù)給其他用戶頒發(fā)一個臨時訪問憑證。該用戶可使用臨時訪問憑證在規(guī)定時間內(nèi)訪問您的OSS資源����。
臨時訪問憑證無需透露您的長期密鑰,使您的OSS資源訪問更加安全�。
利用工具
alicloud-tools
GitHub地址:https://github.com/iiiusky/alicloud-tools
方法一
ak+sk+sts使用命令:
AliCloud-Tools.exe --sak --ssk --sts --token ecs --list --runner
方法二
OSS Browser
GitHub地址:https://github.com/aliyun/oss-browser
Bucket Object 遍歷
在創(chuàng)建 Bucket 時,可以選擇是否公開���,默認(rèn)是 private 的權(quán)限���,如果在錯誤的配置下,給了??Listobject??權(quán)限���,就會導(dǎo)致可遍歷存儲桶���。
在此時如果選擇公有讀的話,會出現(xiàn)兩種情況
- 在只配置讀寫權(quán)限設(shè)置為公有讀或公共讀寫的情況下���,無法列出對象�,但能夠直接讀取對應(yīng)的文件(正常情況)
- 如果想列出 Object 對象,需要在 Bucket 授權(quán)策略中設(shè)置 ListObject 即可
情況一
在只配置讀寫權(quán)限設(shè)置為公有讀或公共讀寫的情況下�����,無法列出對象
但是可以直接訪問對應(yīng)的KEY路徑(正常情況)
情況二
如果想列出Object對象�����,只需要在Bucket授權(quán)策略中設(shè)置ListObject即可�����。
這樣再當(dāng)我們訪問存儲桶域名的時候就會發(fā)現(xiàn)���,已經(jīng)把我們存儲桶的東西列出來了
Bucket 桶爆破
當(dāng)不知道 Bucket 名稱的時候�,可以通過爆破獲得 Bucket 名稱��,這有些類似于目錄爆破����,只不過目錄爆破一般通過狀態(tài)碼判斷�,而這個通過頁面的內(nèi)容判斷。
- AccessDenied:存在存儲桶,但無權(quán)限訪問
- InvalidBucketName:表示存儲桶的名稱不符合規(guī)范�����,屬于無效的存儲桶名稱
Bucket 特定策略配置可寫
特定的策略配置的指的是��,如果管理員設(shè)置了某些IP�����,UA才可以請求該存儲桶的話�,此時如果錯誤的配置了??GetBucketPolicy??,可導(dǎo)致攻擊者獲取策略配置���。
情況一
通過直接訪問:http(s)://url/?policy來確定是否對 Bucket 具有讀取權(quán)限
可以看到�����,管理員配置了對于任意認(rèn)證主主體開放了所有 Action 的權(quán)限�。
情況二
burpsuite攔截流量
可以看到我們此時是沒有權(quán)限訪問該存儲桶的����,我們嘗試使用aliyun的cli獲取policy
我們可以看到,需要符合UserAgent為UzJu才可以訪問
Bucket 任意文件上傳與覆蓋
如果在配置存儲桶時��,管理員錯誤的將存儲桶權(quán)限,配置為可寫��,這將會導(dǎo)致攻擊者可上傳任意文件到存儲桶中�,或覆蓋已經(jīng)存在的文件
如果目標(biāo)的對象存儲支持 html 解析,那就可以利用任意文件上傳進(jìn)行:
- XSS 釣魚
- 掛暗鏈
- 掛黑頁
- 供應(yīng)鏈投毒等操作
情況一
情況二
當(dāng)我們訪問存儲桶的時候�,會提示我們已經(jīng)被policy攔截
如果此時配置了存儲桶的oss BucketPolicy,就可以更改Deny為Allow即可訪問
我們可以看到Effect中設(shè)置為Deny����,我們只需要將它更改為Allow即可
隨后使用PUT方法上傳
隨后我們再使用GET獲取
此時我們可以正常看到存儲桶中的對象了
Bucket 劫持接管
假設(shè)管理員通過域名解析并綁定了一個存儲桶�����,但是管理員將存儲桶刪除后����,沒有將域名解析的 CNAME 刪除,這時會訪問域名就會出現(xiàn) NoSuchBucket�。因此可以登錄自己的阿里云賬號,創(chuàng)建同樣的 Bucket 即可����。
在阿里云下�,當(dāng) Bucket 顯示 NoSuchBucket說明是可以接管的���,如果顯示 AccessDenied則不行。
假設(shè)有以下一種情況�����,管理員通過域名解析并綁定了一個存儲桶���,但是管理員將存儲桶刪除后����,沒有將域名解析的CNAME刪除����,這時會訪問域名就會出現(xiàn)上面的情況,NoSuchBucket��。
現(xiàn)在我們將存儲桶刪除����,就會出現(xiàn)如下情況
現(xiàn)在我們再訪問域名會出現(xiàn)如下情況
接管bucket
現(xiàn)在阿里云加了限制,必須在傳輸管理中配置綁定域名即可���。以下情況即可接管該存儲桶
當(dāng)我們訪問存儲桶的域名時����,提示我們NoSuchBucket,這個時候可以登錄自己的阿里云賬號�,創(chuàng)建同樣的名稱即可。
此時我們刷新�����,
已經(jīng)成功接管了該存儲桶���,嘗試上傳文件后配置權(quán)限公開訪問����。
Bucket 修改策略
當(dāng)策略可寫的時候�����,除了上面的將可原本不可訪問的數(shù)據(jù)設(shè)置為可訪問從而獲得敏感數(shù)據(jù)外���,如果目標(biāo)網(wǎng)站引用了某個 s3 上的資源文件����,而且我們可以對該策略進(jìn)行讀寫的話��,也可以將原本可訪問的資源權(quán)限設(shè)置為不可訪問,這樣就會導(dǎo)致網(wǎng)站癱瘓了���。
方法一
可以通過直接 PUT 一個配置,達(dá)到攻擊的目的���。
aliyun oss bucket-policy oss://securitytest-geekby --method put ./oss.json
方法二
訪問網(wǎng)站
此時我們?nèi)绻梢孕薷牟呗?,我們只需要將獲取該對象的權(quán)限修改為Deny��,該網(wǎng)站既無法在獲取圖片��,JS等信息了
參考鏈接:
對象存儲攻防案例
阿里云 OSS對象存儲攻防
阿里云AK+SK泄露之STS(SecurityToken)如何利用
存儲空間命名 - 對象存儲 OSS - 阿里云
分享題目:云安全之OSS對象存儲安全總結(jié)
標(biāo)題URL:
http://uogjgqi.cn/article/cdcdgee.html
