阿里云 OSS 对象存储攻防

文章首发于：火线 Zone-云安全社区​

作者：UzJu

本文分为两个部分

第一部分介绍 OSS 对象存储攻防的方式

第二部分为真实漏洞案例

01 Bucket 权限配置错误-公开访问

在创建 Bucket 桶时，默认是 private 的权限，如果在错误的配置下，给了 listobject 权限，就会导致可遍历存储桶。

在此时如果选择公有读的话，会出现两种情况：

1、在只配置读写权限设置为公有读或公共读写的情况下，无法列出对象。

但是可以直接访问对应的 KEY 路径：

2、如果想列出 Object 对象，只需要在 Bucket 授权策略中设置 ListObject 即可。

这样再当我们访问存储桶域名的时候就会发现，已经把我们存储桶的东西列出来了。

02 Bucket 桶爆破

当不知道 Bucket 名称的时候，可以通过爆破获得 Bucket 名称，这有些类似于目录爆破，只不过目录爆破一般通过状态码判断，而这个通过页面的内容判断。

当对于阿里云 OSS 不存在有两种返回情况，分别是 InvalidBucketName 和 NoSuchBucket。

InvalidBucketName：表示存储桶的名称不符合规范，属于无效的存储桶名称。

NoSuchBucket：表示没有这个存储桶。

当存储桶存在时，则会返回以下两种情况

这样通过返回内容的不同，就可以进行 Bucket 名称爆破了，知道 Bucket 名称后，Key 的爆破也就很容易了。

03 特定的 Bucket 策略配置

特定的策略配置的指的是，如果管理员设置了某些 IP，UA 才可以请求该存储桶的话，此时如果错误的配置了 GetBucketPolicy，可导致攻击者获取策略配置。

可以看到我们此时是没有权限访问该存储桶的，我们尝试使用 aliyun 的 cli 获取 policy。

我们可以看到，需要符合 UserAgent 为 UzJu 才可以访问。

04 Bucket Object 遍历

如果设置了 ListObject，这将会导致 Bucket 桶被遍历。

可通过访问 Key，来下载该文件。

05 任意文件上传与覆盖

如果在配置存储桶时，管理员错误的将存储桶权限，配置为可写，这将会导致攻击者可上传任意文件到存储桶中，或覆盖已经存在的文件。

如果目标的对象存储支持 html 解析，那就可以利用任意文件上传进行 XSS 钓鱼、挂暗链、挂黑页、供应链投毒等操作。

06AccessKeyId，SecretAccessKey 泄露

如果目标的 AccessKeyId、SecretAccessKey 泄露，那么就能获取到目标对象存储的所有权限，一般可以通过以下几种方法进行收集：

1、通过 GitHub 等开源平台中的源代码可发现存在泄露的 Key

2、通过反编译 APK，找到敏感信息

3、在目标网站源代码中找到（Js 等）

07 Bucket 接管

在阿里云下，当 Bucket 显示 NoSuchBucket 说明是可以接管的，如果显示 AccessDenied 则不行。

假设有以下一种情况，管理员通过域名解析并绑定了一个存储桶，但是管理员将存储桶删除后，没有将域名解析的 CNAME 删除，这时会访问域名就会出现上面的情况，NoSuchBucket。

现在我们将存储桶删除，就会出现如下情况：

现在我们再访问域名会出现如下情况

现在阿里云加了限制，必须在传输管理中配置绑定域名即可。以下情况即可接管该存储桶。

当我们访问存储桶的域名时，提示我们 NoSuchBucket，这个时候可以登录自己的阿里云账号，创建同样的名称即可。

此时我们刷新

已经成功接管了该存储桶，尝试上传文件后配置权限公开访问。

08 Bucket 策略配置可写

当我们访问存储桶的时候，会提示我们已经被 policy 拦截。

我们可以看到 Effect 中设置为 Deny，我们只需要将它更改为 Allow 即可。

随后使用 PUT 方法上传

随后我们再使用 GET 获取

此时我们可以正常看到存储桶中的对象了。

09 修改策略导致网站瘫痪

当策略可写的时候，除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外，如果目标网站引用了某个 s3 上的资源文件，而且我们可以对该策略进行读写的话，也可以将原本可访问的资源权限设置为不可访问，这样就会导致网站瘫痪了。

此时我们如果可以修改策略，我们只需要将获取该对象的权限修改为 Deny，该网站既无法在获取图片，JS 等信息了。

10 实战案例

我们精心挑选了来自火线安全众测项目中，漏洞奖金较高的漏洞进行举例！

1、阿里云存储桶劫持

此时可以看到访问该域名显示 NoSuchBucket，那么只需要去阿里云存储桶重新创建一个与 HostID 一样的存储桶名称即可。

随后只需要上传文件，就可以让该域名显示我们上传的任意文件。

2、反编译小程序，APP 找到泄露的 Key

3、在 JS 文件中找到存在泄露的 AccessKey