美文网首页
云安全——对象存储安全

云安全——对象存储安全

作者: book4yi | 来源:发表于2024-07-05 16:17 被阅读0次

    基本概念:


    不同的厂商对对象存储的叫法不同:

    云厂商 对象存储名
    阿里云 OSS
    腾讯云 COS
    华为云 OBS
    谷歌云 GCS
    微软云 Blob
    亚马逊云 S3
    ——Bucket:

    存储空间(Bucket)是用户用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。

    • 每个用户可以拥有多个存储空间。
    • 存储空间的名称在 OSS 范围内必须是全局唯一的,一旦创建之后无法修改名称。
    • 存储空间内部的对象数目没有限制。
    ——Object:

    对象(Object)是 OSS 存储数据的基本单元,也被称为 OSS 的文件。和传统的文件系统不同,对象没有文件目录层级结构的关系。对象由元信息(Object Meta)用户数据(Data)文件名(Key)组成,并且由存储空间内部唯一的 Key 来标识。

    元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时用户也可以在元信息中存储一些自定义的信息。Data就是存储的数据本体。Key是指存储桶中的唯一标识符。

    ——Region(地域):

    Region表示OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建Bucket。一般来说,距离用户更近的Region访问速度更快。Region是在创建Bucket的时候指定的,一旦指定之后就不允许更改。该Bucket下所有的Object都存储在对应的数据中心,目前不支持Object级别的Region设置。

    ——Endpoint(访问域名):

    Endpoint表示OSS对外服务的访问域名。当访问不同的Region的时候,需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。例如杭州Region的外网Endpoint:http://oss-cn-hangzhou.aliyuncs.com,而内网Endpoint:http://oss-cn-hangzhou-internal.aliyuncs.com

    访问权限设置不当:


    存储空间的访问权限(ACL)有以下三类:

    访问权限 描述
    私有 只有Bucket的拥有者可以对该Bucket内的文件进行读写操作,其他人无法访问该Bucket内的文件。
    公共读 存储空间的拥有者和授权用户有该存储空间内的文件的读写权限,其他用户只有该存储空间内的文件的读权限。
    公共读写 所有用户都有该存储空间内的文件的读写权限。
    0x01 任意文件上传:

    1、创建一个私有的Bucket:

    点击刚刚创建的Bucket,上传一个文件测试:

    2、上传成功后,可在文件列表中进行查看。点击详情即可查看文件访问链接地址:

    当我们访问文件地址的时候,此时就会出现拒绝访问:

    3、当我们将Bucket设置成公共读的时候,即浏览器就可以直接读取文件内容:

    4、当我们将Bucket设置成公共读写的时候,此时可通过PUT方法上传任意文件:

    0x02 文件遍历:

    OSS存储里面有种类似列目录的漏洞,会显示当前存储下所有的文件存储路径。在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了ListObject权限,就会导致可遍历存储桶。

    此时访问域名,就会发现所有文件列表:

    综上,权限配置错误一般有以下三种风险:

    • 公共读或公共读写:可完整访问但不显示完整结构
    • 权限Bucket授权策略:设置ListObject显示完整结构
    • 权限Bucket读写权限:公共读写直接PUT文件任意上传
    0x03 域名解析Bucket接管:

    正常情况下OSS存储是不解析存储的文件的,比如上传一个html文件,访问是直接下载,而非展示出html文件解析后的页面。当Bucket配置域名绑定后,直接访问域名,即可解析html文件。

    这样设置本身是没有漏洞的,但如果用户设置了域名绑定,但后来由于某种原因将OSS存储中的Bucket删除了,域名绑定没有删除,这时访问域名就会出现NoSuchBucket。因此可以登录自己的阿里云账号,创建同样的 Bucket 从而实现网站接管。

    0x04 AccessKey,SecretAccessKey泄漏:

    访问密钥AccessKey(简称AK)是阿里云提供给阿里云用户的永久访问密钥,用于通过开发工具(API、CLI、SDK、Cloud Shell、Terraform等)访问阿里云时的身份验证,不用于控制台登录。获取到这些信息后,是可以用官方工具或者网上别人开发的利用工具接管OSS存储的。

    厂商 Access Key Secret
    亚马逊云计算服务 (Amazon Web Services, AWS) ^AKIA[A-Za-z0-9]{16}$ 40个随机的大小写字母组成的字符
    Google Cloud Platform (GCP) ^GOOG[\w\W]{10,30}$
    Microsoft Azure ^AZ[A-Za-z0-9]{34,40}$(36个字符) 44个字符
    IBM Cloud ^IBM[A-Za-z0-9]{10,40}$
    Oracle Cloud ^OCID[A-Za-z0-9]{10,40}$
    阿里云 ^LTAI[A-Za-z0-9]{12,20}$(16-24个字符) 30个字符
    腾讯云 ^AKID[A-Za-z0-9]{13,20}$(17个字符) 40个字符
    华为云 ^AK[\w\W]{10,62}$(64个字符) 44个字符
    百度云 ^AK[A-Za-z0-9]{10,40}$
    京东云 ^AK[A-Za-z0-9]{10,40}$
    UCloud ^UC[A-Za-z0-9]{10,40}$
    青云 ^QY[A-Za-z0-9]{10,40}$
    金山云 ^KS3[A-Za-z0-9]{10,40}$
    联通云 ^LTC[A-Za-z0-9]{10,60}$
    移动云 ^YD[A-Za-z0-9]{10,60}$
    电信云 ^CTC[A-Za-z0-9]{10,60}$

    此时我们可以利用去官网上查找利用工具或者第三方开发的工具如oss-browser进行进一步利用。

    0x05 不安全的 Bucket 策略配置:

    如果管理员设置了某些 IP,UA 才可以请求该存储桶的话,此时如果错误的配置了 GetBucketPolicy,可导致攻击者获取策略配置

    通过直接访问:http(s)://url/?policy 来确定是否对 Bucket 具有读取权限

    另外如果我们拥有PutBucketPolicy权限,我们可以直接修改策略,比如原本Effect中设置为Deny,我们只需要将它更改为Allow即可。

    当设置Becket授权策略如下图所示,不具有ListObjects权限、但具有PutBucketPolicy权限

    此时访问结果如下:

    我们直接使用PUT方法上传修改BucketPolicy

    PUT /?policy HTTP/1.1
    Host: dapaozhang1.oss-cn-beijing.aliyuncs.com
    Pragma: no-cache
    Cache-Control: no-cache
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
    Accept-Encoding: gzip, deflate, br
    Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    Priority: u=0, i
    Connection: keep-alive
    Content-Length: 544
    
    {"Version":"1","Statement":[{"Effect":"Deny","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1/*"]},{"Effect":"Allow","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}},{"Effect":"Allow","Action":["oss:GetBucketPolicy","oss:PutBucketPolicy"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}}]}
    

    再次访问我们就可以正常看到存储桶中的对象了:

    除了将原本的Deny策略修改为Allow以外,我们也可以反过来,这样就会导致某些网站获取oss上的资源文件失效,从而影响网站的正常运行。

    参考如下:


    对象存储攻防案例 - Geekby's Blog
    【云安全攻防1】对象存储安全图文+实战案例详解
    【云安全】阿里云 OSS对象存储攻防

    相关文章

      网友评论

          本文标题:云安全——对象存储安全

          本文链接:https://www.haomeiwen.com/subject/rlopcjtx.html