0x1 前言哈咯师傅们这篇文章主要是给大家介绍相关key泄露如何进行利用给师傅们介绍很多好用的工具进行更加高效地渗透测试漏洞挖掘操作0x2 云安全相关key泄露利用一、云业务 AccessKey 标识特征整理学习参考文章https://wiki.teamssix.com/cloudservice/more/img下面的论述也是看完曾哥的文章然后加上自己的理解下面给师傅们分享下AccessKey相关的知识点了。对于云场景的渗透现在已经层出不穷获得AK和SK也是云安全渗透中重要的一环。通常我们会在一些敏感的配置文件或者通过未授权访问、任意文件读取漏洞等方式来寻找AK和SK。一般常见的通过正则匹配式来寻找AK和SK(?i)((access_key|access_token|admin_pass|admin_user|algolia_admin_key|algolia_api_key|alias_pass|alicloud_access_key|amazon_secret_access_key|amazonaws|ansible_vault_password|aos_key|api_key|api_key_secret|api_key_sid|api_secret|api.googlemaps AIza|apidocs|apikey|apiSecret|app_debug|app_id|app_key|app_log_level|app_secret|appkey|appkeysecret|application_key|appsecret|appspot|auth_token|authorizationToken|authsecret|aws_access|aws_access_key_id|aws_bucket|aws_key|aws_secret|aws_secret_key|aws_token|AWSSecretKey|b2_app_key|bashrc password|bintray_apikey|bintray_gpg_password|bintray_key|bintraykey|bluemix_api_key|bluemix_pass|browserstack_access_key|bucket_password|bucketeer_aws_access_key_id|bucketeer_aws_secret_access_key|built_branch_deploy_key|bx_password|cache_driver|cache_s3_secret_key|cattle_access_key|cattle_secret_key|certificate_password|ci_deploy_password|client_secret|client_zpk_secret_key|clojars_password|cloud_api_key|cloud_watch_aws_access_key|cloudant_password|cloudflare_api_key|cloudflare_auth_key|cloudinary_api_secret|cloudinary_name|codecov_token|config|conn.login|connectionstring|consumer_key|consumer_secret|credentials|cypress_record_key|database_password|database_schema_test|datadog_api_key|datadog_app_key|db_password|db_server|db_username|dbpasswd|dbpassword|dbuser|deploy_password|digitalocean_ssh_key_body|digitalocean_ssh_key_ids|docker_hub_password|docker_key|docker_pass|docker_passwd|docker_password|dockerhub_password|dockerhubpassword|dot-files|dotfiles|droplet_travis_password|dynamoaccesskeyid|dynamosecretaccesskey|elastica_host|elastica_port|elasticsearch_password|encryption_key|encryption_password|env.heroku_api_key|env.sonatype_password|eureka.awssecretkey)[a-z0-9_ .\-,]{0,25})(||:|\|\|:|||:).{0,5}[\]([0-9a-zA-Z\-_]{8,64})[\]QQ_1779629499931下面我给师傅们介绍下常见的几个厂商的Access Key内容特征然后就能够根据不同厂商 Key 的不同特征直接能判断出这是哪家厂商的Access Key从而针对性进行渗透测试。其中我们云服务器常见的就是阿里云和腾讯云了我主要给师傅们介绍下面两种Access Key的特点。阿里云阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 LTAI。^LTAI[A-Za-z0-9]{12,20}$Access Key ID长度为16-24个字符由大写字母和数字组成。Access Key Secret长度为30个字符由大写字母、小写字母和数字组成。腾讯云腾讯云 (Tencent Cloud) 的 Access Key 开头标识一般是 AKID。^AKID[A-Za-z0-9]{13,20}$SecretId长度为17个字符由字母和数字组成。SecretKey长度为40个字符由字母和数字组成。二、云资产管理工具1、下载工具GitHub地址https://github.com/dark-kingA/cloudToolsimg但是目前官方已经下架了工具获取添加我微信routing_love获取即可img2、工具功能阿里云接管控制台、取消接管、Oss增删改查、远程命令执行回显、历史命令记录查看、子用户列表、云数据库管理、告警管理 腾讯云接管控制台、取消接管、Oss增删改查、远程命令执行回显、子用户列表 华为云接管控制台、取消接管、子用户列表 ucloud接管控制台、主机查询、子用户列表查看、主用户查看、订单查看 AWS: 接管控制台、创建后门、子用户列表、策略列表 后门信息云存储工具-资产列表img云存储工具-存储桶信息img云存储工具-其他服务云服务工具-资产列表云服务工具-华为云接管控制台云服务工具-ucloud相关其他工具钉钉key泄露利用0x3 API-T00L-互联网厂商API利用工具一、工具使用介绍期望是针对互联网各大API泄露的利用工具包含钉钉、企业微信、飞书等。目前只做出了钉钉和企业微信别问就是懒。特别鸣谢chatgpt代码好帮手。 目前界面长这样布局拉胯能用就行。GitHub项目地址https://github.com/pykiller/API-T00Limg包含钉钉、企业微信、飞书等。目前只做出了钉钉和企业微信img二、钉钉1、肯定你得有ak、as。填进去获取tokenimg2、建用户最简单的做法直接填入有效手机号加入组织中可以直接用手机号登录该企业。 userid不要重了写大点。 删除按钮是根据userid来删除的img3、发公告钓鱼获取管理员信息得到管理员userid。img查userid可以得到部门id dept_id这里只做了对部门发公告实际操作中针对个人发公告效果不如直接加用户钓鱼好使。img三、企业微信企业微信相对于钉钉限制较多22年后获取的应用Corpsecret需要设置白名单且无法绕过。并且对于通讯录的Corpsecret需要单独获取。1、用Corpid和Corpsecret获取token2、新建用户填入有效手机号加入组织中可以直接用手机号登录该企业。img3、还可以通过获取邀请二维码加入到企业。img四、飞书1、获取tenant_access_token2、新建用户填入有效手机号加入组织中可以直接用手机号登录该企业。需要注意open_department_id为查询到的部门id用户默认是放根部门比较明显。可以放小部门里。imgimg0x4 EasyTools工具箱1、工具介绍EasyTools - 一个简单方便使用的渗透测试工具箱,集成了工具仓库、网址导航、简练助手、CTF合集、代理池、cli脚本定时执行等诸多功能。工具下载地址https://github.com/doki-byte/EasyToolsimg二、使用功能界面支持各种key泄露里面都有对应的接口功能调用img各种地图api key泄露利用img注册虚假手机号、身份证信息随机注册imgGoogle语法相关功能imgOSS存储桶相关漏洞利用img0x5 API-Explorer工具0x1 工具介绍工具初衷是做一个小程序、公众号、企业微信、飞书、钉钉等泄露secert后利用工具后来发现几家接口有一定区别认证等参数分布在不同位置索性就做成一个比较通用的工具了。目前可以定义请求类型、url、header、body、正则提取认证token、接口参数说明。工具GitHub下载链接https://github.com/mrknow001/API-Explorerimg工具使用截屏img0x2 使用场景场景1-(公众号appidsecert泄露利用)1、获取accesstokenimg2、使用此token访问其他接口imgimg有些时候拿到的appid跟secert公众号用不了其实是它没有公众号只有小程序可以先用公众号接口获取token然后使用小程序接口获取其对应信息。img地图系列img场景2-(设备巡检)绿盟扫描器img绿盟UTS获取token注意这里密码加密后的为了通用工具不做任何加密所以加好密传入才行。获取加密办法f12后登录页面输入账号密码找到authen_user接口获取password内容即可。这个密码可复用只要不改密码就可以一直用。imgimg使用token获取设备信息img0x6 session_key三要素泄露GitHub下载地址https://github.com/mrknow001/wx_sessionkey_decrypt/releasesimg下面呢是我在挖那个市里面的人社局的微信小程序说到微信小程序呢师傅们应该是不陌生的特别是打微信小程序常见的几个泄露比如说这次要分享的session_key三要素泄露案例漏洞就是其中一个。session_key三要素泄露指的是SessionKey、iv以及加密字段全部泄露出来一般在微信小程序使用手机号一键登录的时候常见的泄露但是很多都是泄露iv以及加密字段但是session_key值泄露的少。可以看到这个数据包直接把SessionKey、iv以及加密字段三个部分全部泄露了img得到session_key三要素泄露之后呢就需要使用我们的一个Wx_SessionKey_crypt这个工具了需要的师傅们可以私信我或者加我微信获取img然后把泄露的三要素放到工具里面然后解密就可以看到我们的手机号了img其实利用这个漏洞的危害也很简单就是我们可以在这个微信小程序的站点找到里面管理员的手机号然后去替换手机号然后再反向加密然后再替换回开始登录的数据包中然后再一键放包就可以成功登录我们管理员的后台了img