云安全——对象存储安全

基本概念:


不同的厂商对对象存储的叫法不同:

云厂商 对象存储名
阿里云 OSS
腾讯云 COS
华为云 OBS
谷歌云 GCS
微软云 Blob
亚马逊云 S3
——Bucket:

存储空间(Bucket)是用户用于存储对象(Object)的容器,所有的对象都必须隶属于某个存储空间。存储空间具有各种配置属性,包括地域、访问权限、存储类型等。用户可以根据实际需求,创建不同类型的存储空间来存储不同的数据。

  • 每个用户可以拥有多个存储空间。
  • 存储空间的名称在 OSS 范围内必须是全局唯一的,一旦创建之后无法修改名称。
  • 存储空间内部的对象数目没有限制。
——Object:

对象(Object)是 OSS 存储数据的基本单元,也被称为 OSS 的文件。和传统的文件系统不同,对象没有文件目录层级结构的关系。对象由元信息(Object Meta)用户数据(Data)文件名(Key)组成,并且由存储空间内部唯一的 Key 来标识。

元信息是一组键值对,表示了对象的一些属性,比如最后修改时间、大小等信息,同时用户也可以在元信息中存储一些自定义的信息。Data就是存储的数据本体。Key是指存储桶中的唯一标识符。

——Region(地域):

Region表示OSS的数据中心所在物理位置。用户可以根据费用、请求来源等选择合适的地域创建Bucket。一般来说,距离用户更近的Region访问速度更快。Region是在创建Bucket的时候指定的,一旦指定之后就不允许更改。该Bucket下所有的Object都存储在对应的数据中心,目前不支持Object级别的Region设置。

——Endpoint(访问域名):

Endpoint表示OSS对外服务的访问域名。当访问不同的Region的时候,需要不同的域名。通过内网和外网访问同一个Region所需要的Endpoint也是不同的。例如杭州Region的外网Endpoint:http://oss-cn-hangzhou.aliyuncs.com,而内网Endpoint:http://oss-cn-hangzhou-internal.aliyuncs.com

访问权限设置不当:


存储空间的访问权限(ACL)有以下三类:

访问权限 描述
私有 只有Bucket的拥有者可以对该Bucket内的文件进行读写操作,其他人无法访问该Bucket内的文件。
公共读 存储空间的拥有者和授权用户有该存储空间内的文件的读写权限,其他用户只有该存储空间内的文件的读权限。
公共读写 所有用户都有该存储空间内的文件的读写权限。
0x01 任意文件上传:

1、创建一个私有的Bucket:

点击刚刚创建的Bucket,上传一个文件测试:

2、上传成功后,可在文件列表中进行查看。点击详情即可查看文件访问链接地址:

当我们访问文件地址的时候,此时就会出现拒绝访问:

3、当我们将Bucket设置成公共读的时候,即浏览器就可以直接读取文件内容:

4、当我们将Bucket设置成公共读写的时候,此时可通过PUT方法上传任意文件:

0x02 文件遍历:

OSS存储里面有种类似列目录的漏洞,会显示当前存储下所有的文件存储路径。在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了ListObject权限,就会导致可遍历存储桶。

此时访问域名,就会发现所有文件列表:

综上,权限配置错误一般有以下三种风险:

  • 公共读或公共读写:可完整访问但不显示完整结构
  • 权限Bucket授权策略:设置ListObject显示完整结构
  • 权限Bucket读写权限:公共读写直接PUT文件任意上传
0x03 域名解析Bucket接管:

正常情况下OSS存储是不解析存储的文件的,比如上传一个html文件,访问是直接下载,而非展示出html文件解析后的页面。当Bucket配置域名绑定后,直接访问域名,即可解析html文件。

这样设置本身是没有漏洞的,但如果用户设置了域名绑定,但后来由于某种原因将OSS存储中的Bucket删除了,域名绑定没有删除,这时访问域名就会出现NoSuchBucket。因此可以登录自己的阿里云账号,创建同样的 Bucket 从而实现网站接管。

0x04 AccessKey,SecretAccessKey泄漏:

访问密钥AccessKey(简称AK)是阿里云提供给阿里云用户的永久访问密钥,用于通过开发工具(API、CLI、SDK、Cloud Shell、Terraform等)访问阿里云时的身份验证,不用于控制台登录。获取到这些信息后,是可以用官方工具或者网上别人开发的利用工具接管OSS存储的。

厂商 Access Key Secret
亚马逊云计算服务 (Amazon Web Services, AWS) ^AKIA[A-Za-z0-9]{16}$ 40个随机的大小写字母组成的字符
Google Cloud Platform (GCP) ^GOOG[\w\W]{10,30}$
Microsoft Azure ^AZ[A-Za-z0-9]{34,40}$(36个字符) 44个字符
IBM Cloud ^IBM[A-Za-z0-9]{10,40}$
Oracle Cloud ^OCID[A-Za-z0-9]{10,40}$
阿里云 ^LTAI[A-Za-z0-9]{12,20}$(16-24个字符) 30个字符
腾讯云 ^AKID[A-Za-z0-9]{13,20}$(17个字符) 40个字符
华为云 ^AK[\w\W]{10,62}$(64个字符) 44个字符
百度云 ^AK[A-Za-z0-9]{10,40}$
京东云 ^AK[A-Za-z0-9]{10,40}$
UCloud ^UC[A-Za-z0-9]{10,40}$
青云 ^QY[A-Za-z0-9]{10,40}$
金山云 ^KS3[A-Za-z0-9]{10,40}$
联通云 ^LTC[A-Za-z0-9]{10,60}$
移动云 ^YD[A-Za-z0-9]{10,60}$
电信云 ^CTC[A-Za-z0-9]{10,60}$

此时我们可以利用去官网上查找利用工具或者第三方开发的工具如oss-browser进行进一步利用。

0x05 不安全的 Bucket 策略配置:

如果管理员设置了某些 IP,UA 才可以请求该存储桶的话,此时如果错误的配置了 GetBucketPolicy,可导致攻击者获取策略配置

通过直接访问:http(s)://url/?policy 来确定是否对 Bucket 具有读取权限

另外如果我们拥有PutBucketPolicy权限,我们可以直接修改策略,比如原本Effect中设置为Deny,我们只需要将它更改为Allow即可。

当设置Becket授权策略如下图所示,不具有ListObjects权限、但具有PutBucketPolicy权限

此时访问结果如下:

我们直接使用PUT方法上传修改BucketPolicy

PUT /?policy HTTP/1.1
Host: dapaozhang1.oss-cn-beijing.aliyuncs.com
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Priority: u=0, i
Connection: keep-alive
Content-Length: 544

{"Version":"1","Statement":[{"Effect":"Deny","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1/*"]},{"Effect":"Allow","Action":["oss:ListObjects","oss:GetObject"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}},{"Effect":"Allow","Action":["oss:GetBucketPolicy","oss:PutBucketPolicy"],"Principal":["*"],"Resource":["acs:oss:*:1227685127112444:dapaozhang1"],"Condition":{"StringLike":{"oss:Prefix":["*"]}}}]}

再次访问我们就可以正常看到存储桶中的对象了:

除了将原本的Deny策略修改为Allow以外,我们也可以反过来,这样就会导致某些网站获取oss上的资源文件失效,从而影响网站的正常运行。

参考如下:


对象存储攻防案例 - Geekby's Blog
【云安全攻防1】对象存储安全图文+实战案例详解
【云安全】阿里云 OSS对象存储攻防

©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容