狐狸工具箱4.0---AK SK后cf利用工具的具体使用方法

狐狸工具箱4.0—AK SK后cf利用工具

什么是AK和SK，以及泄露之后的危害：

在调用阿里云API时您需要使用AccessKey完成身份验证。AccessKey包括AccessKey ID和AccessKey Secret，需要一起使用。

如果目标前端的JS代码中泄露了这两个东西的话，我们就可以拿着他的Access Key（AK） 和 Secret Key（SK）去访问和操作目标的云资源，导致数据泄露、资源滥用或其他安全风险。

‍

官方解释：

AccessKey ID 和 AccessKey Secret 是您访问阿里云 API 的密钥，具有该账户完全的权限

为降低 AccessKey 泄露风险，自 2023 年 7 月 5 日 起，阿里云主账号 AccessKey 创建后，不能再次被查看 Secret 。自 2023 年 11 月 20 日起，对所有主账号关闭查询 Secret 的功能，请提前查询保存好主账号 AccessKey Secret。

AccessKey ID：用于标识用户。
AccessKey Secret：用于验证用户的密钥。AccessKey Secret必须保密。

工具箱的获取方式，在文章的最下方

​​

​

语法：cf [command] cf空格跟上命令就是了

输入

cf config

这个命令做为开始，会先要求选择厂商；是什么厂商应该会在泄露AK和SK时附近的连接地址里一起泄露。后缀是aliyun.com之类的肯定就是阿里的了。不是的话也可以根据泄露的AK或SK的一些特征来推断是哪个厂商的。再不行都试试

​​

具体使用情况：

cf config —进入配置选择厂商后的步骤：

1. 输入访问密钥备注： 随便写一个就行

2. 输入访问密钥ID（Accesskey）： 输入目标泄露的Access Key ID

3. 输入访问密钥密钥(Accesskey Secret)：输入目标泄露的Accesskey

4. 输入临时凭证Token： 可选的，不输入就直接回车就好

假设目标是阿里的，可以使用这个命令查看可用参数，如果是其它的厂商也类似

cf alibaba

​​

那么命令可以是：

cf alibaba ls //(这条命令是说列出当前所有的对象存储资源(OSS)和云服务器(ECS)和云数据库(RDS)。)

我拿我自己的阿里云账号进行演示：（文章写完后，AK已销毁）

​

ls命令列出了，我这个账号仅有的一台服务器资源，包括公私网IP地址，操作系统类型等。

cf alibaba perm

查看当前连接所拥有的权限是什么

​​

使用

cf alibaba console

这个命令接管账号；意思就是创建了一个子账号，这个子账号也有很高的权限。

​执行成功后，会给你一个账号密码，和一个登录地址。访问之后一个登录框，自己输入这里提供的账号密码即可。如上图

访问登录之后的样子：

​

‍

可以看到主账号所拥有的ECS和域名等资产，这个账号也是可以操作的

​

‍

什么是RAM账号？：

云账户(主账号)：
1）阿里云资源归属、资源使用计量计费的基本主体

RAM用户(子账号)：
1）只能存在于某个云账户下的RAM实例中
2）不拥有资源，在被授权操作时所创建的资源归属于主账户
3）RAM用户不拥有账单，被授权操作时所发生的费用也计入主账户账单。

需要注意：当执行接管命令的时候也就是console的时候，阿里云盾会给主账号绑定的手机号发送危险警告。如下图：

​

（子账号，在写完文章后也已经销毁）

那么对服务器，对oss，对数据库的具体操作什么反弹shell啊，执行脚本啊等命令，我们可以这么做：

​

具体的我就不一个一个演示了感兴趣的话，可以自己弄一个阿里云或者其它厂商的账号来实验一下，大概这个工具我了解的就是这么多。

感谢观看。

ONE-FOX集成工具箱_V4.0魔改骚粉版_by狐狸
百度网盘下载地址：https://pan.baidu.com/s/18ffwTaESerHbwuQt2c29Pw?pwd=ofox

‍