记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程

本文讲述了AccessKey和SecretKey由于设计缺陷被下发到客户端导致的安全隐患,黑客可借此访问阿里云资源。作者强调了关闭高权限key并改进安全策略的重要性。

Accesskey和SecretKey的泄露的原因

说到这个最高权限的key的泄露,绝对是低级的设计导致的。为了减少服务端的压力,直接让app直连oss服务,而且把最高权限的Accesskey和secretKey 下发到客户端,那么结果就是只要安装了该app的人,人手一份。
接下来就是用工具破壳,反编译即可,
附上一个反编译工具:jadx (支持多平台)
下载地址:jadx下载地址点这里

通过ali api直接进行服务器列表获取

拿到了key和密钥能做什么呢,如果没有被人攻击,我是绝对想不到。
当我们进入到AccessKey的事件列表中,发现了这些操作
在这里插入图片描述
通过命令的名称就能看出,这些命令是到服务器上去做一些操作,尤其第一个RunCommand
在这里插入图片描述
可以看到里面有个ApiCall,而下面就是对应的阿里云的ECS服务器,也就是说,现在通过这个AccessKey可以访问某台ECS服务器,并且在上面执行命令,但它是如何执行命令的呢?
于是我通过度娘查找,发现了阿里云有这样的命令行:
在这里插入图片描述
吼吼,我的天呐!当详细看了这个CLI之后,拥有了AccessKey,你可以完全操作该账户下的所有资源,包括购买删除各种示例、启动关闭各种机器、删除创建各种数据库
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述这个网址就是OpenApi的文档操作入口(感兴趣的童鞋可以去学习):
https://next.api.aliyun.com/document/Rds/2014-08-15/overview

这个OpenApi门口中的所有内容,在你拥有了AccessKey之后,全部都能访问…
而这所有的一切,只需要一条命令安装AliCli:
在这里插入图片描述
而这个AccessKey的泄露直接导致在阿里云的所有产品全部暴露在外,黑客在我们的机器上安装了各种链接工具,并且开发了端口,用作反弹Shell进行连接

防御的办法,只能是关闭原有的AccessKey,并在下发给客户端的时候不再发放最高权限的key,这是一个惨痛的教训!

参考文献
[1]: https://help.aliyun.com/product/74373.html?spm=5176.26826819.J_2883378880.2.499e740ed2qQwl
[2]: https://next.api.aliyun.com/document/Rds/2014-08-15/overview
[3]: https://next.api.aliyun.com/document/Ecs/2014-05-26/overview
[4]: https://blog.csdn.net/weixin_42324463/article/details/130266469

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值