云安全之OSS对象存储安全总结

2023-01-04
1095

对象存储

对象存储(OSS)中可以有多个桶(Bucket),然后把对象(Object)放在桶里,对象又包含了三个部分:Key、Data 和 Metadata。

1672300142_63ad466e8417a9f0f4a94.png!small?1672300143355

Bucket

存储空间(Bucket)是用户用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。

  • 同一个存储空间的内部是扁平的,没有文件系统的目录等概念,所有的对象都直接隶属于其对应的存储空间。
  • 每个用户可以拥有多个存储空间。
  • 存储空间的名称在 OSS 范围内必须是全局唯一的,一旦创建之后无法修改名称。
  • 存储空间内部的对象数目没有限制。

命名规则

同一阿里云账号在同一地域内创建的Bucket总数不能超过100个。Bucket创建后,其名称无法修改。Bucket命名规则如下:

  • Bucket名称在OSS范围内必须全局唯一。
  • 只能包括小写字母、数字和短划线(-)。
  • 必须以小写字母或者数字开头和结尾。
  • 长度为3~63个字符。

命名示例

Bucket名称的正确示例如下:

  • examplebucket1
  • test-bucket-2021
  • aliyun-oss-bucket

Object

对象(Object)是 OSS 存储数据的基本单元,也被称为 OSS 的文件。和传统的文件系统不同,对象没有文件目录层级结构的关系。对象由元信息(Object Meta),用户数据(Data)和文件名(Key)组成,并且由存储空间内部唯一的 Key 来标识

例如:

https://hxsecurityteam.oss-cn-beijing.aliyuncs.com/AAccTest.png

Bucket:hxsecurityteam

地区:oss-cn-beijing

Key:AAccTest.png

对象元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时用户也可以在元信息中存储一些自定义的信息。可以简单的理解成数据的标签、描述之类的信息,这点不同于传统的文件存储,在传统的文件存储中这类信息是直接封装在文件里的,有了元数据的存在,可以大大的加快对象的排序、分类和查找。Data 就是存储的数据本体。

对象存储利用方法

Bucket STS(SecurityToken)利用

STS服务给其他用户颁发一个临时访问凭证。该用户可使用临时访问凭证在规定时间内访问您的OSS资源。

临时访问凭证无需透露您的长期密钥,使您的OSS资源访问更加安全。

利用工具

alicloud-tools

GitHub地址:https://github.com/iiiusky/alicloud-tools

方法一

ak+sk+sts使用命令:

AliCloud-Tools.exe --sak --ssk --sts --token ecs --list --runner

1672300173_63ad468d11ea9eee13b94.png!small?16723001735901672300194_63ad46a2e661cb13f7f8d.png!small?1672300196233

方法二

OSS Browser

GitHub地址:https://github.com/aliyun/oss-browser

1672300224_63ad46c08b5973174502f.png!small?16723002249751672300241_63ad46d10fe46b5288706.png!small?1672300241485

 

1672300251_63ad46db6693a43cb67b2.png!small?1672300251762

Bucket Object 遍历

在创建 Bucket 时,可以选择是否公开,默认是 private 的权限,如果在错误的配置下,给了Listobject权限,就会导致可遍历存储桶。

1672300277_63ad46f56d0a70aab963f.png!small?1672300278941

在此时如果选择公有读的话,会出现两种情况

  1. 在只配置读写权限设置为公有读或公共读写的情况下,无法列出对象,但能够直接读取对应的文件(正常情况)
  2. 如果想列出 Object 对象,需要在 Bucket 授权策略中设置 ListObject 即可

情况一

在只配置读写权限设置为公有读或公共读写的情况下,无法列出对象

1672300294_63ad4706ab961e9a51b5e.png!small?1672300295218

但是可以直接访问对应的KEY路径(正常情况)

1672300309_63ad4715c16208217dea3.png!small?1672300310080

 

1672300320_63ad4720100d6d347a0d9.png!small?1672300320440

情况二

如果想列出Object对象,只需要在Bucket授权策略中设置ListObject即可

 

1672300335_63ad472ff20f2a7c22c73.png!small?1672300336424

1672300348_63ad473ccb591797bfabe.png!small?1672300349124

这样再当我们访问存储桶域名的时候就会发现,已经把我们存储桶的东西列出来了

 

1672300362_63ad474a128e03f37bf1f.png!small?1672300362880

Bucket 桶爆破

当不知道 Bucket 名称的时候,可以通过爆破获得 Bucket 名称,这有些类似于目录爆破,只不过目录爆破一般通过状态码判断,而这个通过页面的内容判断。

  • AccessDenied:存在存储桶,但无权限访问

1672300384_63ad47604bc26cefffe18.png!small?1672300385017

  • InvalidBucketName:表示存储桶的名称不符合规范,属于无效的存储桶名称

1672300399_63ad476f55af8cd7e707b.png!small?1672300400082

  • NoSuchBucket:表示不存在这个存储桶

1672300412_63ad477c284491ed1cd7e.png!small?1672300412647

Bucket 特定策略配置可写

特定的策略配置的指的是,如果管理员设置了某些IPUA才可以请求该存储桶的话,此时如果错误的配置了GetBucketPolicy,可导致攻击者获取策略配置。

情况一

通过直接访问:http(s)://url/?policy来确定是否对 Bucket 具有读取权限

1672300428_63ad478c8087b16d0bc1f.png!small?1672300429369

可以看到,管理员配置了对于任意认证主主体开放了所有 Action 的权限。

情况二

burpsuite拦截流量

1672300441_63ad47997ecd9ef7ca9ba.png!small?1672300441941

可以看到我们此时是没有权限访问该存储桶的,我们尝试使用aliyun的cli获取policy

1672300453_63ad47a5ba9252720a190.png!small?1672300454396

我们可以看到,需要符合UserAgentUzJu才可以访问

1672300466_63ad47b29769a5ce00579.png!small?1672300467041

Bucket 任意文件上传与覆盖

如果在配置存储桶时,管理员错误的将存储桶权限,配置为可写,这将会导致攻击者可上传任意文件到存储桶中,或覆盖已经存在的文件

如果目标的对象存储支持 html 解析,那就可以利用任意文件上传进行:

  • XSS 钓鱼
  • 挂暗链
  • 挂黑页
  • 供应链投毒等操作

情况一

1672300630_63ad485626b1609f93f3f.png!small?1672300630829

 

情况二

当我们访问存储桶的时候,会提示我们已经被policy拦截

1672300524_63ad47ecea38ec12c53e8.png!small

如果此时配置了存储桶的oss BucketPolicy,就可以更改Deny为Allow即可访问

1672300646_63ad48666648758e2d541.png!small?1672300647452

我们可以看到Effect中设置为Deny,我们只需要将它更改为Allow即可

1672300662_63ad48760e06a2b5921c1.png!small?1672300663237

随后使用PUT方法上传

1672300679_63ad48878410511f4ec63.png!small?1672300680043

随后我们再使用GET获取

1672300693_63ad48954cb5f0fceb067.png!small?1672300694112

此时我们可以正常看到存储桶中的对象了

1672300706_63ad48a2316611dd6e7cf.png!small?1672300707013

Bucket 劫持接管

假设管理员通过域名解析并绑定了一个存储桶,但是管理员将存储桶删除后,没有将域名解析的 CNAME 删除,这时会访问域名就会出现 NoSuchBucket。因此可以登录自己的阿里云账号,创建同样的 Bucket 即可。

在阿里云下,当 Bucket 显示 NoSuchBucket说明是可以接管的,如果显示 AccessDenied则不行。

1672300727_63ad48b7c96220ce851c8.png!small?1672300728362假设有以下一种情况,管理员通过域名解析并绑定了一个存储桶,但是管理员将存储桶删除后,没有将域名解析的CNAME删除,这时会访问域名就会出现上面的情况,NoSuchBucket

1672300738_63ad48c281fe4089ef2cc.png!small?1672300739403

 

1672300752_63ad48d028cf0b1ffb089.png!small?1672300752745

1672300764_63ad48dceb71ce916a279.png!small?1672300765452

现在我们将存储桶删除,就会出现如下情况

1672300778_63ad48ea663bef143777a.png!small?1672300779204

现在我们再访问域名会出现如下情况

1672300820_63ad491459d3ae842d74f.png!small?1672300820828

接管bucket

现在阿里云加了限制,必须在传输管理中配置绑定域名即可。以下情况即可接管该存储桶

1672300842_63ad492a7676d86f9c5b7.png!small?1672300843058

当我们访问存储桶的域名时,提示我们NoSuchBucket,这个时候可以登录自己的阿里云账号,创建同样的名称即可。

1672300857_63ad49399b04a43514a09.png!small?1672300858321

1672300869_63ad494596a0885d96376.png!small?1672300870601

 

此时我们刷新,

1672300880_63ad49507ffb482c816b8.png!small?1672300881098

已经成功接管了该存储桶,尝试上传文件后配置权限公开访问。

1672300892_63ad495c8488960288d2a.png!small?1672300893169

Bucket 修改策略

策略可写的时候,除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外,如果目标网站引用了某个 s3 上的资源文件,而且我们可以对该策略进行读写的话,也可以将原本可访问的资源权限设置为不可访问,这样就会导致网站瘫痪了。

方法一

可以通过直接 PUT 一个配置,达到攻击的目的。

aliyun oss bucket-policy oss://securitytest-geekby --method put ./oss.json

方法二

访问网站

1672300926_63ad497e2a4967759343d.png!small?1672300926865

此时我们如果可以修改策略,我们只需要将获取该对象的权限修改为Deny,该网站既无法在获取图片,JS等信息了

1672300939_63ad498b728ab2228cc69.png!small?1672300940663

 

参考链接:

对象存储攻防案例

阿里云 OSS对象存储攻防

阿里云AK+SK泄露之STS(SecurityToken)如何利用

存储空间命名 - 对象存储 OSS - 阿里云

转载时必须以链接形式注明原始出处及本声明

扫描关注公众号