云安全-云服务器(RAM)后渗透

0x00 阿里云服务器-控制访问器RAM

阿里云官方：RAM 用户是 RAM 中的一种实体身份，代表需要访问阿里云的人员或应用程序。通过创建 RAM 用户并授权，RAM
用户就可以访问有权限的云资源。

当账户配备了ram账户，即给该账户赋予了对于云上服务器的一些管理权限，一是方便了用户管理，但另一方面当存在服务器失陷且存在RAM用户权限，可能对云上服务器资产造成很大的危害

0x01 元数据概念

元数据包含了弹性计算云服务器实例在阿里云系统中的信息，（基本信息：实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名，所有信息均实时生成，常用于快速辨别实例身份。）

各大云元数据地址：
阿里云元数据地址：http://100.100.100.200/
腾讯云元数据地址：http://metadata.tencentyun.com/
华为云元数据地址：http://169.254.169.254/
亚马云元数据地址：http://169.254.169.254/
微软云元数据地址：http://169.254.169.254/
谷歌云元数据地址：http://metadata.google.internal/
1
2
3
4
5
6
7

当获取了一台云服务器权限，首先定位其厂商，再通过元数据读取到一些相关信息，如果配备了RAM，即可尝试读取临时凭证，进行云上渗透

0x02 RAM的云渗透流程

1.给服务器配备ram用户
2.获取云服务器权限

获取临时凭证
-获取关键信息
curl http://100.100.100.200/latest/meta-data/
curl http://100.100.100.200/latest/meta-data/ram/security-credentials/
-获取临时凭证
http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs

利用CF开始云渗透
-利用AK横向移动
CF 云渗透框架项目：https://wiki.teamssix.com/CF/
这里是没有配置ram的服务器，通过获取元数据可以获得一些其他的信息

0x03 RAM的云渗透流程2

网页存在ssrf漏洞，通过获取凭证回显拿到ak，再通过CF进行云渗透，不回显采取dnslog等措施获得回显

0x04 云数据库

阿里云云数据库即RDS，对于云数据库的渗透方法，首先我们需要了解一下云数据库的配置问题：
在集群配置选项中，需要给数据库配置路由交换，专有虚拟网络

也就是说，数据库的登录需要在设置的云服务器且是配置的内网段环境中登录，在对互联网上的云资产来说，无疑是非常安全的，但可以配置公网访问添加白名单。

rds只允许主机的内网地址连接，需要配置外部连接，否则有账户密码也无法连接

获取云服务的配置信息的途径：
1.账户密码爆破（鸡肋）
2.源码泄露的账户密码，尝试外网连接，或者对方的云服务内网（网段）
再连接后的下一步利用
基本上比较鸡肋，