AK 利用实践

AK 利用实践

使用工具:https://github.com/teamssix/cf

该工具是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。

优点是可以直接根据以下参数直接进行控制

  • AccessKeyId
  • AccessKeySecret
  • STSToken

简单使用效果如下:

配置好 AccessKeyId AccessKeySecret 后查看详细情况

不过这个工具也存在一个比较明显的缺点,目前只支持腾讯云和阿里云,其他云服务商不支持。

工具使用说到这里了,重点是如果寻找到暴露的AK信息

我目前使用到了两种思路。

  • 通过网络空间引擎来搜索
  • 通过github之类的代码托管平台进行检索

通过网络空间引擎来进行检索,以fofa为例子,总结出如下几个搜索语句

body=”oss.js” : 有些网站会在oss.js文件中泄露配置信息

body=”AccessKeySecret”

当然还有其他的一些搜索方法,不过现在的难点是很难实现自动化极大程度的需要人工去判断是否是真的存在AK。

另外一个就是在github上直接搜索,相对而言也是比较简单的,不过验证的工作量巨大

后续工作量可能会更大一些,需要去增加日常工作的持续性监测

2022/9/14 增加

发现 hunter发现的内容更多一些,使用web.body进行进行检索,发现还会检索到js文件中的内容,这点还是比fofa强的

另外就是发现了检索github敏感信息的平台https://pinatahub.incognita.tech/

展示效果如下,接下来要么用已有轮子实现,要么是自己实现

发表回复

您的电子邮箱地址不会被公开。