阿里云攻防避免检测的艺术-先知社区

阿里云攻防避免检测的艺术

前言

云渗透的手法其实讲真的不多，最最最常见的还是 key 和 id 泄露了，如果我们好不容易获取的 key 和 id 最后被警告了，那不是白搭了吗，如何避免被警告呢？

近期就遇到了这个问题，最后也是学到了，开源工具果然还是得自己改改

场景复现

大概就是获取了我们的 key 和 id 后，一般我的思路就是直接 cf 工具开始一把梭哈了

当然这里自己复现就在自己环境上了

图片加载失败

然后自己创建一个，当然我这里直接是拿最高权限的 key 和 id 演示了

CF 云渗透工具

https://wiki.teamssix.com/CF/

这个工具是云经常使用的一把梭哈工具了

CF 是一个云环境利用框架，适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。

图片加载失败

首先就是配置

图片加载失败

配置成功后我们就可以为所欲为了

首先一般我们就是先查看权限，再思考如何利用

可以看到最高权限，那么我们就可以创建后门用户了

然后我们尝试登录

输入账户密码后就可以成功登录了

图片加载失败

这里手机号验证就 ok

图片加载失败

可以看到成功接管了

但是可惜的是管理员会收到安全警告的

图片加载失败

这样的话一清除，相当于我们白利用了

图片加载失败

这种紧急的警告一般都会被处理

然后利用这个工具最弊端的就是

图片加载失败

回归原始-避免警告

我们如何才能避免警告呢？

当然就是不要使用这个工具了，当然如果有修改工具能力的话另当别论，我们可以手工操作

首先就是基础的配置

然后一样执行命令

首先我们创建一个用户

然后给它登录的权限

验证

图片加载失败

上面的就是我们刚刚创建的，下面那个就是工具创建的

然后我们列出权限，给出我们需要的权限，这里主要是为了获取权限名称

图片加载失败

这里直接管理员权限

然后我们尝试登录

图片加载失败

然后我们再次刷新

图片加载失败

可以看到任然没有警告我们，成功避免了被警告，当然陌离 sg009 师傅还提出了可以直接把监控关闭，然后杀掉阿里云的云盾进程,但是生产环境还是算了，自己环境可以尝试

参考

https://wiki.teamssix.com/CF/

https://forum.butian.net/share/2545