【云安全】华为云 OBS 对象存储攻防

渗透技巧 2年前 (2022) admin
703 0 0


文章首发于:

火线Zone社区(https://zone.huoxian.cn/)


前言:


其实华为云和其他云的攻防利用方式大同小异,师傅们可以对照着前几篇云安全对象存储攻防文章享用。



下面就简单列举下华为云对象存储下的攻防手段。


01 

Bucket劫持


华为云bucket劫持和阿里云的差不多,注意的是华为云在删除掉自己的bucket后30分钟后才可重新注册相同名称的bucket。


https://console.huaweicloud.com/console/?region=af-south-1#/obs/manager/buckets


进入华为云的对象存储服务、桶列表、创建桶。


【云安全】华为云 OBS 对象存储攻防


当bucket名称存在时会报错


请求的桶名已经存在,或被其他用户占用,请重新输入。


【云安全】华为云 OBS 对象存储攻防


02 

Bucket爆破


【云安全】华为云 OBS 对象存储攻防

不存在,返回NoSuchBucket


【云安全】华为云 OBS 对象存储攻防

存在,返回AccessDenied


03 

Access Key Id、Secret Access Key泄漏


Github 敏感信息泄露
【云安全】华为云 OBS 对象存储攻防


反编译目标 APK
目标网站源代码泄露
返回包、JS文件泄漏


04 

特定的bucket策略配置


CORS,限制指定的Referer头,自定义设置Referer头。


无指定Referer

【云安全】华为云 OBS 对象存储攻防


指定Referer

【云安全】华为云 OBS 对象存储攻防


curl命令验证

【云安全】华为云 OBS 对象存储攻防


05 

任意文件上传(无法解析)


上传html等后缀的文件无法解析,直接下载。


【云安全】华为云 OBS 对象存储攻防


但是其存在分享功能,分享出来的文件是可以解析的。


【云安全】华为云 OBS 对象存储攻防


但是分享有时间限制。


【云安全】华为云 OBS 对象存储攻防


从上图中可以看到,分享的链接只保持1分钟到18小时。


06 

文件覆盖


下面是华为云官方文档介绍,是可以覆盖掉对象。


【云安全】华为云 OBS 对象存储攻防


这里没实际搭建环境,使用官方工具做个演示,可以看到bucket中文件名为ddddd.jpg,我们上传一个同文件名的文件。


【云安全】华为云 OBS 对象存储攻防


可以看到文件名一样就会覆盖前面的对象。


【云安全】华为云 OBS 对象存储攻防


07 

Bucket Object 遍历


【云安全】华为云 OBS 对象存储攻防


如上图,如果设置为公共读或者公共读写就会导致object遍历(设置公共的时候会有提示,问题有可能会出现在复制桶策略上)。


【云安全】华为云 OBS 对象存储攻防


可拼接key来下载文件。


【云安全】华为云 OBS 对象存储攻防


08 

Bucket ACL配置错误


如果错误配置了对匿名用户的ACL访问权限,就会造成匿名用户修改Bucket ACL策略,遍历存储桶。


实际上只需要给匿名用户配置ACL写入权限即可,但是在请求时需要用户的ID,暂时知道读取权限可以获取用户ID,其他地方应该也可以获取到用户ID;这里为了方便也给予了读取权限。


【云安全】华为云 OBS 对象存储攻防

首先我们正常访问一下

【云安全】华为云 OBS 对象存储攻防


Access Denied,没有权限,我们看一下ACL策略。

https://hxsecurity.obs.cn-north-4.myhuaweicloud.com/?acl
【云安全】华为云 OBS 对象存储攻防


可以看到用户ID和权限配置,利用手段就是PUT请求,修改ACL策略。


PUT /?acl HTTP/1.1Host: demosecurity.obs.cn-north-4.myhuaweicloud.comSec-Ch-Ua: "Chromium";v="95", ";Not A Brand";v="99"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "macOS"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length: 575
<AccessControlPolicy xmlns="http://obs.cn-north-4.myhuaweicloud.com/doc/2015-06-30/">    <Owner>    <ID>0a84535a6780f2340fd8c121220e3d660</ID>  </Owner>    <AccessControlList>      <Grant>      <Grantee>        <ID>0a84535a6780f2311212190e3d660</ID>      </Grantee>      #拥有者的权限      <Permission>FULL_CONTROL</Permission>      <Delivered>false</Delivered>    </Grant>    <Grant>      <Grantee>        <Canned>Everyone</Canned>      </Grantee>      #匿名用户的权限      <Permission>FULL_CONTROL</Permission>    </Grant>  </AccessControlList></AccessControlPolicy>


修改此处的Permission为FULL_CONTROL。

【云安全】华为云 OBS 对象存储攻防


放行返回控制台看一下

【云安全】华为云 OBS 对象存储攻防


拥有了桶访问权限的读取和写入权限,验证下,重新访问。


【云安全】华为云 OBS 对象存储攻防


同样的道理,如果我们修改用户只有write权限,没有读取权限,就会导致网站瘫痪。


漏洞利用方式可能有错,利用手段也不止于此,希望各位师傅轻喷,也希望师傅们在火线zone多分享分享。



【火线Zone云安全社区群】

进群可以与技术大佬互相交流

进群有机会免费领取节假日礼品

进群可以免费观看技术分享直播

识别二维码回复【社区群】进群

【云安全】华为云 OBS 对象存储攻防
【云安全】华为云 OBS 对象存储攻防


【火线zone社区周激励】

2022.2.28 ~ 2022.3.6公告

【云安全】华为云 OBS 对象存储攻防


【云安全】华为云 OBS 对象存储攻防


火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。欢迎具备分享和探索精神的云上用户加入火线Zone社区,共建一个云安全优质社区!


如需转载火线Zone公众号内的文章请联系火线小助手:hxanquan(微信)


【云安全】华为云 OBS 对象存储攻防

 微信号 

huoxian_zone


【云安全】华为云 OBS 对象存储攻防

点击阅读原文,加入社区,共建一个有技术氛围的优质社区!

原文始发于微信公众号(火线Zone):【云安全】华为云 OBS 对象存储攻防

版权声明:admin 发表于 2022年3月10日 下午6:00。
转载请注明:【云安全】华为云 OBS 对象存储攻防 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...