【漏洞挖掘】——64、云主机AK/SK泄露利用

已于 2024-09-12 11:36:57 修改
阅读量1.1k 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: AKSK 云安全 云主机安全 渗透测试 信息安全 网络安全
于 2024-06-11 15:34:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139600661
本文介绍了云主机AK/SK泄露的严重性,如何通过已泄露的AK/SK进行攻击,利用工具如aliyun-accesskey-Tools进行操作,以及防御措施,包括安全设置、定期更换AK/SK、日志监控、访问限制和安全存储等。
基本介绍

云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略该操作并返回错误码

信息泄露

大部分云主机都支持AK/SK都认证方式,用于API调用等功能,由于开发的不规范以及一些其它漏洞可能会导致AK/SK泄露,在渗透中如果发现目标泄露了AK/SK,可以通过AK/SK直接攻击其对应的云服务器

利用工具

https://github.com/mrknow001/aliyun-accesskey-Tools/releases/tag/1.2

了解本专栏 订阅专栏 解锁全文
阿里云ak/sk漏洞利用工具
06-27
方便可执行系统命令
百度OCR文字识别案例_android防止ak&sk;泄漏版本
01-14
百度OCR文字识别,支持手机拍照识别,相册选择识别。网络图片识别等功能。该demo的配文博客为https://blog.youkuaiyun.com/pyfysf/article/details/86438769
渗透测试实战—云渗透(AK/SK泄露
网安日记本的博客
08-02 3738
渗透测试实战思路分享:getshell方法及横向移动方法,云安全AK/SK泄露
云主机AK/SK泄露利用
Fly_鹏程万里
10-20 1915
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
云主机秘钥(ak/sk)泄露利用案例
渗透测试研究中心
12-14 5473
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。aksk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
云主机AK/SK泄露挖掘
weixin_44217321的博客
01-22 1672
AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。
漏洞挖掘 | springboot未授权泄露AK/SK
2301_80127209的博客
02-23 1134
利用JDumpSpider-1.1-SNAPSHOT-full.jar工具对heapdump文件进行分析,发现其中泄露AK/SK信息。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。上工具扫描,看看有没有springboot信息泄露。emmmm,没多大权限,提交漏洞完工~免费领取安全学习资料包!帮助你在面试中脱颖而出。
漏洞挖掘】——170、AK/SK数据信息泄露
Fly_鹏程万里
10-16 781
部分应用系统提供了身份证图片上传和头像上传的功能,同时将这些文件上传至OSS中,当我们在进行文件上传或者查看用户个人信息时有时候会从回显数据包中返回对应的AK/SK数据信息,导致攻击者可以通过AK/SK接管存储桶,从而造成大量的数据信息泄露
AK/SK 与 API Key 鉴权方式对比分析
最新发布
技术引领业务创新
06-20 991
本文对比分析了AK/SK和API Key两种鉴权方式的差异。AK/SK采用双密钥对和数字签名,安全性更高但实现复杂,适用于云服务、金融等敏感场景;API Key使用单一密钥,简单易用但风险较大,适合开发者平台和内部服务。从安全性看,AK/SK可防篡改和重放攻击,API Key则易泄露;从性能看,API Key计算和网络开销更低。文章建议根据场景选择:高敏感用AK/SK,低风险用API Key,并给出了混合架构方案和安全升级路径,如外部API用AK/SK+HTTPS,内部服务用API Key+IP白名单。
云上攻防:任意上传、域名接管与AK/SK泄漏
明弟有理想的博客
09-12 2521
随着企业上云逐渐形成了趋势和规模,云安全也成为了新的焦点和风口,云上安全越来越重要;在近几年的攻防中AKSK、小程序、云上供应链都已经成为了兵家必争之地和重要突破口云服务不仅提供了高效的数据存储和计算能力,还支持了业务的快速扩展和灵活部署。然而,云计算的广泛应用也带来了新的安全挑战,特别是在数据保护和访问控制方面。网络攻击者正不断寻找并利用云服务中的漏洞,威胁企业的敏感数据和业务连续性。在这种背景下,云上攻防成为了信息安全领域的重要课题。
某小学AKSK泄露导致横向到云主机控制台
记录开发和安全学习过程中的点点滴滴
04-16 1179
某小学AKSK泄露导致横向到云主机控制台分享免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。分享声明此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享。
记一次实战中的aliyun aksk泄露到接管服务器
dreamer292的博客
08-26 2337
不同厂商的key有不同的特征可以去网上搜一下我记得有文章介绍了如何通过key来区分厂商。另外除了apiFinder还有HAE这类的插件也可以在数据包中检测敏感的信息,平时测一会就回头看一眼数据包的信息,很可能js文件中就隐藏着这些信息,耐心,细心,当然还得要些运气😎
AKSK泄漏排查】
weixin_46356409的博客
01-10 1358
可能的泄漏途径包括:误上传到代码仓库、泄露在日志文件中、通过电子邮件或即时消息传输、在公开的配置文件中等。你需要检查所有可能的泄漏点,找出泄漏的具体原因。:登陆到腾讯云控制台,进入"访问管理" -> “API密钥管理”,找到泄露AK,并立即禁用或删除。:登录到腾讯云控制台,进入"云审计"服务,查看与泄露AKSK关联的操作日志。例如,限制AKSK的权限范围,禁止在源代码或配置文件中硬编码AKSK,定期旋转AKSK等。:在确认所有资源和配置都正常后,为需要使用AKSK的应用或服务生成新的AKSK
云主机秘钥泄露利用
weixin_45802999的博客
12-17 1860
云主机通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key Id(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密。AK/SK原理使用对称加解密。云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作。
一个AK/SK泄露检测的实现思路
04-21 2313
01、简介在企业上云的过程中,AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下,公有云和私有云都存在大量的AccessKey,如何有效地检测可能的AK/SK泄露事件,一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路,完成AK/SK泄露检测能力的构建,实现类似于阿里云云安全中心AK泄露检测的功能,检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...
渗透测试中发现ak/sk泄露时的验证工具
ericalezl的博客
03-28 244
访问:http://localhost:8000/#/admin/login。注:8000 端口运行,如占用先关闭其他进程。
AK/SK泄露的潜在风险:阿里云公共DNS解析服务的SRC挖掘分析
qq_56171392的博客
12-17 685
在云计算时代,API密钥(AccessKey ID和AccessKey Secret)是访问云服务的重要凭证。然而,若这些密钥被泄露,将可能导致严重的安全隐患。本文将分析某APP反编译源码中泄露的阿里云公共DNS解析服务AccessKey,并探讨其潜在的危害及防范措施。对比格式,发现一致,由此确定该AccessKey没有被加密,可以通过检索开发文档编写脚本进行调用。发现实现API调用还缺少一个key(签名)和ts(当前时间戳),注:由于返回数据涉及敏感信息,未放置调用成功图片,请自行复现!
云主机秘钥泄露利用
技术超强的网络安全平台
08-02 2830
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key。
狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法
XXokok的博客
10-25 4385
狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法
如何利用泄漏的阿里云ak/sk和token信息
06-13
如果阿里云的AK/SK和Token泄漏,攻击者可以利用这些信息进行以下攻击: 1. 访问阿里云资源:攻击者可以使用泄露AK/SK或Token访问您的阿里云资源,包括云服务器、对象存储、数据库等,甚至可以进行恶意操作,比如...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值