记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程

Accesskey和SecretKey的泄露的原因

说到这个最高权限的key的泄露,绝对是低级的设计导致的。为了减少服务端的压力,直接让app直连oss服务,而且把最高权限的Accesskey和secretKey 下发到客户端,那么结果就是只要安装了该app的人,人手一份。
接下来就是用工具破壳,反编译即可,
附上一个反编译工具:jadx (支持多平台)
下载地址:jadx下载地址点这里

通过ali api直接进行服务器列表获取

拿到了key和密钥能做什么呢,如果没有被人攻击,我是绝对想不到。
当我们进入到AccessKey的事件列表中,发现了这些操作
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第1张图片
通过命令的名称就能看出,这些命令是到服务器上去做一些操作,尤其第一个RunCommand
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第2张图片
可以看到里面有个ApiCall,而下面就是对应的阿里云的ECS服务器,也就是说,现在通过这个AccessKey可以访问某台ECS服务器,并且在上面执行命令,但它是如何执行命令的呢?
于是我通过度娘查找,发现了阿里云有这样的命令行:
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第3张图片
吼吼,我的天呐!当详细看了这个CLI之后,拥有了AccessKey,你可以完全操作该账户下的所有资源,包括购买删除各种示例、启动关闭各种机器、删除创建各种数据库
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第4张图片
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第5张图片
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第6张图片这个网址就是OpenApi的文档操作入口(感兴趣的童鞋可以去学习):
https://next.api.aliyun.com/document/Rds/2014-08-15/overview

这个OpenApi门口中的所有内容,在你拥有了AccessKey之后,全部都能访问…
而这所有的一切,只需要一条命令安装AliCli:
记录因暴露阿里最高权限的Accesskey和secretKey导致的反弹shell攻击过程_第7张图片
而这个AccessKey的泄露直接导致在阿里云的所有产品全部暴露在外,黑客在我们的机器上安装了各种链接工具,并且开发了端口,用作反弹Shell进行连接

防御的办法,只能是关闭原有的AccessKey,并在下发给客户端的时候不再发放最高权限的key,这是一个惨痛的教训!

参考文献
[1]: https://help.aliyun.com/product/74373.html?spm=5176.26826819.J_2883378880.2.499e740ed2qQwl
[2]: https://next.api.aliyun.com/document/Rds/2014-08-15/overview
[3]: https://next.api.aliyun.com/document/Ecs/2014-05-26/overview
[4]: https://blog.csdn.net/weixin_42324463/article/details/130266469

你可能感兴趣的:(服务器安全问题,阿里云,安全威胁分析)