红队视角下的公有云基础组件安全(二)

红队视角下的公有云基础组件安全(二)前言
我们已经发过一篇红队视角下的公有云基础组件安全的文章,这篇是对上一篇内容的补充,主要为国外公有云如AWS、Google Cloud、Azure。
本文主要从红队视角讲

前言

我们之前已经发表过一篇文章,从红队的角度讲解了公有云基础组件的安全性,但这篇文章是对上一篇文章的补充,主要关注AWS、Google Cloud、Azure等海外公有云。

本文主要从红队角度讨论基础公有云服务配置问题带来的一些安全风险。

目录

云存储

云计算

云网络

其他

云储存

Azure存储

Azure存储是微软云提供的文件存储功能,有一个重要的概念:存储帐户。

首先,我们需要澄清有关Azure 存储的重要概念。

Azure 存储帐户:Azure 存储帐户包含所有Azure 存储数据对象,包括:

BLOB、文件共享、队列、表、磁盘。存储帐户为Azure 存储数据提供唯一的命名空间,并且可以从世界任何地方通过HTTP 或HTTPS 进行访问。

这样您就知道所有存储服务都位于一个存储帐户下。

根据存储帐户结构,分为容器、文件共享、队列、表和VM部分。

磁盘帐户和存储帐户提供三种身份验证方法:

1.访问密钥(AK)

2. Azure 活动目录(AAD)

3. 共享访问签名(SAS)

当帐户选中“允许存储帐户密钥访问”时,存储帐户将开放给外部访问。

查看身份验证部分,我们看到容器、队列和表使用AAD 和SAS 进行身份验证,文件共享使用AK 和AAD 进行身份验证,AK 对完全继承自存储帐户。

![照片](https://img-

blog.csdnimg.cn/img_convert/96faf570e2e522330fc222cf6d3a2b74.png)

![照片](https://img-

blog.csdnimg.cn/img_convert/06a6e2988c6d55296abca18c2e6ec993.png)

当您使用AK 登录Azure 专用文件浏览器时,您可以检索整个存储帐户,而不仅仅是单个共享文件夹。

![照片](https://img-

blog.csdnimg.cn/img_convert/96290561eb8de91f732f8e570ed913a7.png)

![照片](https://img-

blog.csdnimg.cn/img_convert/806042754a0bf3ef2879d52dd4648231.png)

使用Azure 时

如果您使用mimikatz捕获具有AK脚本挂载的文件共享帐户的Windows机器的内存密码,您将看到该帐户的明文AK存储在内存中。这也会导致机器出现这个问题。使用AK 挂载文件共享会使您的整个存储帐户面临风险。

![照片](https://img-

blog.csdnimg.cn/img_convert/5149c398942c960c239c01b13aa9d09f.png)

由于Azure对文件共享没有细粒度的权限,经过测试发现,如果使用AAD进行身份验证,在使用文件共享时要更加小心,整个过程不需要输入明文密码。如果您的计算机崩溃,您的存储帐户将受到尽可能的保护。

蔚蓝

存储AK 有有效期。不要将其设置为永不过期。请注意您的开发安全,并避免将包含文件共享AK 的代码上传到互联网。另外,请注意项目的公共权限。本地机器不能参与AAD,云上的机器可以。我们建议您不要在本地计算机上使用文件共享功能。

亚马逊S3

静态网站导致子域名被接管

AWS S3官方提供了托管静态网站的功能,但也可以使用国内云厂商的存储来托管静态网站,但AWS与AWS不同的是,存在继承名称的可能性。

![照片](https://img-

blog.csdnimg.cn/img_convert/201b8af090678dcbf5abd6786666290d.png)

可以在存储桶的界面属性中启用相应的静态网站功能。

![照片](https://img-

blog.csdnimg.cn/img_convert/9d26595463f0d3dc386f6f4f9f3cb2e0.png)

成功打开后,AWS 会为您的存储桶分配一个网站终端节点。

![照片](https://img-

blog.csdnimg.cn/img_convert/7a6431f47fa9541ca50f28c844754a91.png)

如果之前托管的静态网站Bucket被删除,但自定义域名解析没有及时处理,则访问目标子域名时会提示该Bucket不存在。注册该唯一的存储桶名称。 使用您要接管的子域名的名称注册一个存储桶。

![照片](https://img-

blog.csdnimg.cn/img_convert/eec1119bdfc2ecec640addb2a4a6adf8.png)

某些政策的泄露

对于一些特殊的访问需求,S3允许您配置桶策略,通过特定的请求头实现定向访问。

![照片](https://img-

blog.csdnimg.cn/img_convert/e2c49f8f9d546b4d0c5aa7b86e3f4bf1.png)

以下官网显示该请求带有x-amz-full-control header,授予Bucket拥有者完全控制权限。

![照片](https://img-

blog.csdnimg.cn/img_convert/2493ab0e9326b14c907889e615531875.png)

还有一些条件键范围来达到访问控制的效果,下图中的IP在范围内,只要IP不是188就可以通过验证访问。

{

\’版本\’: \’2012-10-17\’,

\’Id\’: \’S3PolicyId1\’,

\’声明\’: [

{

\’Sid\’: \’声明1\’,

\’效果\’: \’允许\’,

\’校长\’: \’*\’,

\’操作\’:\’3:GetObject\’,

\’资源\’: \’arn:aws:s3:awsexamplebucket1/*\’,

“状态”:{

\’IP地址\’: {

\’aws:SourceIp\’: \’192.0.2.0/24\’

},

\’NotIp地址\’: {

\’aws:SourceIp\’: \’192.0.2.188/32\’

}

}

}

]

}

通过测试这些可能的策略,您可以通过测试绕过目标的策略限制,前提是目标相对简单。

云计算

云容器

现在一些厂商提供基于云的云实例,例如云容器实例CCI。

云容器使用状况

您可以使用此功能来构建您想要的功能图像。这是一个结合负载均衡和云供应商提供的其他功能构建awvs Web 扫描以满足容器性能要求的示例。

![照片](https://img-

blog.csdnimg.cn/img_convert/9cd33dafa20a30b84ef50f9fc750f50f.png)

云容器指令泄露

云容器制造商通常会提供一些公共镜像,但如果您自己构建镜像,则需要上传完成的镜像,并且制造商会提供临时和永久的说明。

![照片](https://img-

blog.csdnimg.cn/img_convert/bc1372eba00329e5c5a828cbeaa6fca0.png)

永久命令登录使用ak作为用户名,密钥是ak和sk的加密密钥,因此必须注意防止该加密密钥泄露。

![照片](https://img-

blog.csdnimg.cn/img_convert/ccc6da183725e178235b50c4a9a23049.png)

ECR 公共访问

Amazon Elastic Container Registry (Amazon ECR) 是一个AWS

安全、可扩展且可靠的托管容器映像注册表服务。 Amazon ECR 使用AWS IAM 支持具有基于资源的权限的私有存储库。这样您可以指定用户或

Amazon EC2 实例可以访问容器存储库和映像。使用您最喜欢的CLI 推送、拉取、管理Docker 映像以及打开容器

Itistry (OCI) 图像和符合OCI 的工件。

而且由于官网明确说明ECR支持作为公共容器镜像存储库,因此注册时会出现公共选项,一旦打开就无法关闭,并且不能在任何AWS账户中使用,可以在容器内自由推拉。存储库。

![照片](https://img-

blog.csdnimg.cn/img_convert/379e870c2bf8e250314b87d750864613.png)

云网络

DNS区域

相比国内厂商,国外厂商在DNS控制方面的自由度要大得多,国内厂商如果不能保证根域名解析到对应的平台就不会解析域名。虽然国家网络安全保护得很好,但国外云厂商并没有指定域名。

服务器验证。您可以在Azure、Google、AWS等海外平台解析不属于您的域名。

以Azure为例,您可以通过以下方式解析他人的域名:

创建DNS 区域。

![照片](https://img-

blog.csdnimg.cn/img_convert/bf353dce884073ed82aab742f6c735bc.png)

选择您想要的域名。

![照片](https://img-

blog.csdnimg.cn/img_convert/c9e3ca72581f375b6646a965d6f1d4d3.png)

添加记录与使用国内DNS相同。

![照片](https://img-

blog.csdnimg.cn/img_convert/5d9e9eace94f37f52d85caed93233535.png)

最终效果:

![照片](https://img-

blog.csdnimg.cn/img_convert/295047ea87045c4ff1907b11318bf0ad.png)

解析平台指定的4个NS节点,ns1-38是force记录,ns1-205是实际的microsoft.cn记录,如图所示。您可以使用此方法。以防恶意在程序内指定一个DNS服务器,并通过指定的服务器查询所需的地址。这有两个特点:

域名被高度欺骗您可以想象态势感知和交通设备会在漆黑多风的夜晚向您发出警报,而警报的目标是[www.microsoft.cn]。

或者,当您开始连接到驻军的主域名时,您的大脑一片空白。

解析的DNS服务器是比较权威的服务器,不是个人的Pheasant服务器。例如,实际的DNS 解析记录位于ns1-205,而我注册的DNS 解析记录位于ns1-38。将权威服务器添加到白名单中并将Microsoft 云IP 或CDN 添加到域名记录中可能会让防御者误判连接并认为它们是由Microsoft 服务发起的。

对于这种类型的攻击方法,如果防御者知道这种类型的连接并且愿意从沙箱中运行它,请务必在虚拟机中运行它以捕获数据包并确定发送DNS 服务器使用哪个DNS 服务器。请检查它是否指向。根域名中的NS 并不指向假DNS 服务器,因此名称比较不会在Internet 上传播解析记录。

服务器检查样本有什么问题。

AWS DNS 区域

![照片](https://img-

blog.csdnimg.cn/img_convert/1b1e5109c8c38e148086c68788e38efc.png)

谷歌云DNS 区域

![照片](https://img-

blog.csdnimg.cn/img_convert/51b5cf89e0baf480ab10f157475bed96.png)

Google的DNS服务器在中国无法访问,因此位于中国的服务器不必考虑这种安全风险。

NAT网关

NAT 网关(NAT

Gateway)提供公网NAT网关和私网NAT网关。公网NAT网关为VPC中的云主机提供SNAT和DNAT功能,方便您为VPC创建公网入口和出口。私网NAT网关为VPC内的云主机提供网络地址转换服务,允许多个云主机共享一个私网IP来访问您的本地数据中心或其他VPC,并让云主机能够为您的私网提供服务。

SNAT

某厂商的初衷是利用NAT网关提供网络地址转换服务,通过NAT网关为VPC内的云主机和远程私有网络(如外部数据中心)节省EIP资源。 VPC)也可以互相访问。

从红队的角度来看,可以使用具有弹性公网IP和SNAT策略的云主机,避免将IP直接暴露到公网,而通过公网NAT网关暴露弹性公网IP,从而实现无弹性。在VPC内,拥有公网IP的云主机可以访问公网。

首先,根据您的需求购买网关。

![照片](https://img-

blog.csdnimg.cn/img_convert/15ce5d6c4d24f0eba550cc109bc3ae78.png)

购买完成后,输入您的网关规则设置以配置您的SNAT 规则。

![照片](https://img-

blog.csdnimg.cn/img_convert/a9a68ff3718f7ebd9d141cb614bfc50b.png)

根据需要购买EIP,下方会显示已购买的IP。弹性云服务器同时配置了弹性公网IP服务和NAT网关服务,因此数据通过弹性公网IP进行传输。之前购买的服务器IP没有绑定,所以解绑后发送的IP也可以被网关使用。

![照片](https://img-

blog.csdnimg.cn/img_convert/ed929fd39239db7de755b16cfc6d342a.png)

完成上述配置后,您的服务器将能够在离开您的网络时自动切换IP 地址。

![照片](https://img-

blog.csdnimg.cn/img_convert/856358031236280e855236e70762e9d4.png)

你会发现,使用这种方法你可以隐藏和切换你的真实IP,同时获得高质量的国内代理。

DNAT

DNAT 能够通过IP 映射或端口映射从外部网络访问VPC 中的机器,以前只能通过解绑并使用机器自己的IP 来实现。在网页上使用远程VNC,登录系统非常不方便。首先用这个方法映射22个端口,方便机器操作。

![照片](https://img-

blog.csdnimg.cn/img_convert/6a19423faf9ca6763fc95202dcd2ccd6.png)

由于之前已经购买了相关资源,因此您可以直接配置DNAT规则。

![照片](https://img-

blog.csdnimg.cn/img_convert/181ca13acd12d984286d77e8d258ec3b.png)

根据需要设置规则。此处仅输入22。

![照片](https://img-

blog.csdnimg.cn/img_convert/d97c7e1c4f3671e92b5166dc28a73280.png)

成功使用ssh后,您可以将其用于其他目的,例如隐藏CS、配置监听器等。

其他

Azure Active Directory 带来的密码爆破风险

当Microsoft365、Azure 和其他Microsoft 服务的登录凭据在暴力破解过程中相互识别时,Microsoft 的系统会遇到问题。确保您的帐户在公共互联网上的安全。目前已知的非核心密码验证接口包括:

Microsoft 365 门户网站

微软图表

Azure 服务管理

Microsoft 365 移动版

这些现有的接口会带来问题。这意味着攻击者可以暴力破解域外或公共网络上的域用户。安全设备不能,因为实际流量不会发送到云内网或主机。警告你。为了避免这种情况,可以使用以下方法:

为所有用户启用多重MFA 身份验证

使用“读取目录数据”或“读取用户配置文件”权限监视和阻止可疑应用程序。

通过白名单控制登录IP地址

云贝壳

AWS CloudShell 是一个基于浏览器的预身份验证shell,您可以直接从AWS 管理控制台启动。

用于针对AWS 服务运行AWS CLI 命令的shell(Bash、PowerShell 或Z shell)。无需下载或安装任何命令行工具即可完成此操作。

您可以在控件左上角输入CloudShell,点击进入,您的IP将根据地区随机分配。

![照片](https://img-

blog.csdnimg.cn/img_convert/09fb262df88a1d32f8f4ffc2a57120a4.png)

该shell默认提供bash、powershell、zsh以及AWS相关的cli,开发环境提供node.js和python。

![照片](https://img-

blog.csdnimg.cn/img_convert/9606002fb992566d56e4bc133fc74134.png)

默认用户权限较低,但官方给予当前用户sudo安装软件的权限。

![照片](https://img-

blog.csdnimg.cn/img_convert/68181080cbbfe7228be8c4d9e7fcaac7.png)

![照片](https://img-

blog.csdnimg.cn/img_convert/b5c2d1e4923f4bf56d590e9c5aa1bb65.png)

您将看到您的用户位于sudo 组中,并且您将能够执行各种操作。

![照片](https://img-

blog.csdnimg.cn/img_convert/5ebd711a028376de45296034e253dae4.png)

以下是可用于执行多项操作的shell 配置资源:

![照片](https://img-

blog.csdnimg.cn/img_convert/6334a0a02359795556b023d0dd61012c.png)

在云原生时代,基础设施通常是通过模板生成的。错误的IaC(基础设施即代码)模板可能会生成数百个有风险的资源,并最终转化为数千个操作警报。墨安科技的DevSecOPS模块的IaC安全扫描功能可以在代码构建阶段自动识别IaC代码,识别并修复错误代码,并在与基础设施漏洞相关的风险问题发生之前识别并解决。基础设施安全左移显着减少了安全人员的工作量,节省了运营和维护成本。

尚服CNPP的IaC安全扫描功能支持Kubernetes清单文件、Rancher和Docker

文件、Terraform 和其他格式的安全检查。

此外,近期发布的3.0版本正式推出摩安科技巡检智能资产风险监控系统,并引入云安全态势管理(CSPM)。

管理功能帮助用户集中管理多云资源,实现云资产可视化,及时发现云资源配置风险。通过云合规基线检查,用户可以轻松解决云合规问题,同时也支持私有化。 SaaS 交付。

学习计划安排

我总共分为六个阶段,但这并不意味着你不学会所有阶段就找不到工作。对于入门级职位,学习第3 阶段和第4 阶段就足够了。

这里我们集成了从基础入门到高级的【282G】网络安全资料包。如果您需要,请扫描下方CSDN官方合作二维码免费获取。

如果您有兴趣开始网络安全,您可以:

点击这里【网络安全大福利:免费提供入门级和进阶级完整282G学习资源包】(https://mp.weixin.qq.com/s/BWb9OzaB-

gVGVpkm161PMw)

网络安全学习路线

数百本渗透测试电子书

安全攻防注释第357页

保安面试指南50本

安全红队入侵工具包

硬件网络防护运营经验总结

100个漏洞实例

各大安防厂商内部视频资源

CTF夺旗赛往期题解析

![](https://img-

blog.csdnimg.cn/img_convert/6c9538e5870c3de3c48a3d93254bfe3e.jpeg)

接下来我们将为每个同学划分学习计划!

学习计划

那么,作为初学者,问题又出现了:我应该先学什么,接下来又应该学什么?

既然你诚实地问了,我就告诉你你需要从头开始学习什么。

阶段一:初级网络安全工程师

接下来,安排一个月的基本网络安全计划。完成课程后,基本上可以找到渗透测试、Web渗透、安全服务、安全分析等与网络安全相关的工作。其中,如果学好级保证模块,就可以从事级保证工程师的工作。

总体薪资范围6,000-15,000

1.网络安全理论知识(2天)

了解行业背景和前景,决定发展方向。

学习有关网络安全的法律法规。

网络安全运营理念。

等保制度介绍、等保法规、流程、规范。 (很重要)

2.渗透测试基础知识(1周)

渗透测试流程、分类及标准

信息收集技术:主动/被动信息收集、Nmap工具、Google Hacking

漏洞扫描、漏洞利用、原理、使用、工具(MSF)、IDS绕过、防病毒侦察

主机攻防训练:MS17-010、MS08-067、MS10-046、MS12-20等。

3.操作系统基础知识(1周)

Windows系统常用功能及命令

Kali Linux系统常用功能及命令

操作系统安全(系统入侵调查/系统加固基础设施)

4.计算机网络基础(1周)

计算机网络基础、协议、体系结构

网络通信原理、OSI模型、数据传输流程

常用协议分析(HTTP、TCP/IP、ARP等)

网络攻击技术和网络安全防御技术

Web漏洞原理及防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5.数据库基础操作(2天)

数据库基础

SQL语言基础

加强数据库安全

6. 网络渗透(1周)

HTML、CSS 和JavaScript 简介

OWASP前10名

Web漏洞扫描工具

网络入侵工具:Nmap、Bur

pSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

#以上关于红队视角下的公有云基础组件安全(二)的相关内容来源网络仅供参考,相关信息请以官方公告为准!

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91430.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月22日 上午9:24
下一篇 2024年6月22日 上午9:24

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注