針對亞馬遜雲存儲器S3 BUCKET的滲透測試

本文中，我將通過一個AWS的實例讓大家看到即使沒有獲取相關憑據，我們依然可以利用其潛在的安全漏洞，來成功實施我們的滲透測試。與此同時，我們還將該方法應用於了Alexa前10,000個站點，而對於那些確認開放了S3許可權的站點，我們已經向其發出了修復建議。

什麼是AMAZON S3?

亞馬遜簡單存儲服務(S3)是一種AWS服務，主要用以向用戶提供一種安全的數據存儲方式。默認方式下，創建於亞馬遜簡單存儲服務(S3)的對象只能夠為創建它們的人訪問。所有者可以授權其他人以粗粒度和細粒度的方式訪問。比如一位所有者可以讓數據集公開使用，每一個人都可以用這個對象的URL來訪問。或者所有者可以使用S3策略和身份及訪問管理用戶和群組，允許有限的用戶集訪問。S3策略也可以基於網路連接屬性限制運行。如果你只希望企業網路的用戶訪問S3中的對象，指定所有的連接都從一個可信任的IP地址範圍發出。其他地址嘗試訪問則會被拒絕。

然而，這對於那些經驗不足的公司而言，創建新用戶並進行相應的安全策略配置，就會顯得複雜和耗時。甚至導致一些原本不該開放的許可權被無意中打開，從而帶來一系列的安全問題。相對於windows的策略錯誤，S3存儲區上的寬鬆身份管理可能會有所不同，輕則只是部分信息的泄露，重則將導致所有的數據被竊取。例如，一些網站使用S3作為服務資源(如圖像和Javascript)的平台。更有甚者，將完整的伺服器備份也推送到雲端。

因此，作為一名滲透測試人員，按時的檢查S3 Bucket的安全配置等問題，是非常必要的!

被動偵察：區域確定

許多AWS應用程序都不會被部署在WAF後面。因此，我們只需通過簡單的nslookup，就能快速識別目標伺服器的區域。但是如果伺服器位於WAF後面，則可能需要其他方法來確定目標的IP地址。

通過簡單的nslookup查詢，我們得知flaws.cloud的IP地址顯示位於us-west-2。

主動偵察：針對BUCKET的探針

區域確定後，下面我們就可以進行一般查詢和Bucket名稱枚舉了。事實上即便我們不事先確定區域，也能進行查詢和枚舉。但為了在後續查詢AWS節省時間，因此我們提前做了區域確定。我們建議你使用子域，域和頂級域的組合來確定目標S3上是否有bucket。例如，如果我們要搜索屬於 www.rhinosecuritylabs.com 的S3 bucket，我們可以嘗試使用bucket名rhinosecuritylabs.com和 www.rhinosecuritylabs.com 。

為了確定bucket名稱的有效性，我們可以使用瀏覽器打開Amazon提供的自動分配的S3 URL，格式為 http://bucketname.s3.amazonaws.com 或使用以下命令：

sudo aws s3 ls s3://$bucketname/ --region $region

如果命令返回了一個目錄列表，則表明你已成功地找到了一個不受訪問許可權限制的bucket 。

從上圖我們可以看到，每個S3 bucket都有一個Amazon的URL，格式為bucketname.s3.amazonaws.com

S3的許可權利用

我們知道在實際生產中，一些S3 bucket常被用於存放一些靜態資產，如圖像和Javascript庫。雖然，這些資產相對於一些重要數據並不敏感。但其開放式的上傳策略，也將導致惡意攻擊者有機會上傳某些自定義的Javascript庫，從而向所有用戶間接的提供惡意的Javascript(例如 BeEF Hook )。

此外，通過我們的研究發現，S3還可被利用來做許多其他的敏感操作，例如下載系統備份，源代碼等。甚至可以下載到日誌文件，其中還包含了用戶名，密碼，資料庫查詢等信息。

排在Alexa前10,000的某個站點，竟將壓縮的日誌文件存放在S3伺服器上。

可以看到，有許多站點存在相同的問題。這表明，生產API日誌存儲並沒有進行相關的驗證。

Alexa前10,000的某個站點將.git子目錄存儲在Amazon S3上。這意味著，我們有機會直接獲取到其

源碼。

Alexa前10,000的某個站點將整個伺服器的備份存儲在S3上。

Alexa前10,000的站點

確定Alexa前10,000個網站中，有哪些站點具有目錄列表，下載和上傳的S3 bucket。我們可以通過以下AWS CLI命令，來幫助我們查找：

aws s3 ls s3://$bucketname/ --region $region

$bucketname是目標域名，以及我們以前發現的任何子域(foo.com， www.foo.com ，bar.foo.com等)。如果bucket存在，並且沒有引發許可權錯誤，則表示打開列表許可權。

下載命令是否成功執行，取決於是否已經獲取到非零大小的文件，並將其複製到了本地磁碟。如果文件成功傳輸，則表示打開下載許可權。

上傳許可權

我們在多個被測試的S3 bucket中，發現了名為testupload.txt的文件。這表明在2016年11月之前，已經有人對這些S3進行了上傳許可權枚舉測試。

結果

在這10,000個站點當中，我們發現有107個bucket(佔比1.07%)。其中fips-gov-us-west-1(佔36%)和us-east-1(佔37%)是最受歡迎的。

這些bucket幾乎包含了我之前所提到的所有問題，從整個git存儲庫，再到企業Redis伺服器的備份文件。在這107個bucket中，其中有61個(佔57%)已經向所有查看過的人員開放了下載許可權。有13個(佔12%)，開放了上傳許可權。而還有8%，則全部中招。

總結

通過本文可以看到，儘管AWS向客戶提供了強大的安全控制保障。但是，許多公司仍然鬆動其S3設置，允許未經授權的訪問他們的數據。這勢必會給企業帶來巨大的安全隱患!因此，作為企業應當及時的掌握一些使用的技術知識，並定期的對伺服器進行安全測試。只有這樣，才能將損失降到最低!

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！