cloud-aksk-exploit
$
npx mdskill add wgpsec/AboutSecurity/cloud-aksk-exploitExploit leaked cloud credentials to seize control and persist backdoors.
- Automates full attack chains from credential theft to resource takeover.
- Integrates with AWS, Tencent, and Alibaba Cloud APIs for exploitation.
- Selects specific exploit commands based on detected credential format.
- Executes enumeration, privilege escalation, and persistence actions.
SKILL.md
.github/skills/cloud-aksk-exploitView on GitHub ↗
--- name: cloud-aksk-exploit description: "云凭据(AK/SK)泄露后的完整利用链。当通过信息泄露/.env文件/git泄露/SSRF元数据获取到云平台 Access Key 和 Secret Key 后使用。当获取到 AWS AKIA*/ASIA*、腾讯云 AKIDz*、阿里云 LTAI* 等凭据格式时使用。覆盖凭据配置→权限枚举→资源接管→后门持久化的完整攻击链。与 cloud-iam-audit(侧重策略分析)互补——本 skill 侧重拿到凭据后的实战利用动作。腾讯云比赛场景的 CAM/COS/CVM/SCF 利用是重点。发现任何云 API 密钥、临时凭据、或 STS Token 时都应使用此 skill" metadata: tags: "cloud,aksk,access key,secret key,aws,tencent,aliyun,凭据利用,CAM,COS,CVM,SCF,S3,EC2,Lambda,IAM,提权,后门" category: "cloud" --- # 云凭据 AK/SK 泄露利用方法论 拿到云凭据后的黄金时间窗口通常很短(尤其临时凭据),需要快速高效地完成"枚举→利用→持久化"链条。 ## 按云平台查阅详细命令 识别云平台后,加载对应 reference 获取完整命令: - AWS(AKIA*/ASIA*)→ [references/aws-exploit.md](references/aws-exploit.md) - 腾讯云(AKIDz*)→ [references/tencent-exploit.md](references/tencent-exploit.md) ## Phase 0: 凭据识别与配置 ### 0.1 凭据格式识别 | 云平台 | 格式特征 | 示例前缀 | |--------|----------|----------| | AWS 长期 | 20字符 AccessKeyId | `AKIA...` | | AWS 临时 | 20字符 + SessionToken | `ASIA...` | | 腾讯云 | 36字符 SecretId | `AKIDz...` | | 阿里云 | ~24字符 AccessKeyId | `LTAI...` | | 华为云 | ~20字符 AK | `AK...` / `SK...` | | GCP | Service Account JSON | `"type": "service_account"` | | Azure | ClientId + ClientSecret + TenantId | GUID 格式 | ### 0.2 快速配置 **AWS:** ```bash export AWS_ACCESS_KEY_ID="AKIA..." export AWS_SECRET_ACCESS_KEY="..." export AWS_SESSION_TOKEN="..." # 临时凭据需要 export AWS_DEFAULT_REGION="us-east-1" aws sts get-caller-identity ``` **腾讯云:** ```bash export TENCENTCLOUD_SECRET_ID="AKIDz..." export TENCENTCLOUD_SECRET_KEY="..." export TENCENTCLOUD_SESSION_TOKEN="..." # 临时凭据 export TENCENTCLOUD_REGION="ap-guangzhou" tccli sts GetCallerIdentity ``` **阿里云:** ```bash export ALIBABA_CLOUD_ACCESS_KEY_ID="LTAI..." export ALIBABA_CLOUD_ACCESS_KEY_SECRET="..." aliyun sts GetCallerIdentity ``` ## Phase 1: 通用攻击流程 配置凭据后,按以下顺序操作(具体命令参见对应云平台 reference): 1. **权限枚举**(前 2 分钟内完成) - 确认身份(GetCallerIdentity) - 枚举当前用户/角色附加的策略 - 逐服务快速探测(存储/计算/函数/密钥) 2. **资源接管**(按价值排序) - 存储桶(S3/COS/OSS)→ 列桶、下载敏感文件 - 计算实例(EC2/CVM)→ SSM/重置密码获取 shell - 云函数(Lambda/SCF)→ 下载代码、读环境变量 - 密钥服务(Secrets Manager/KMS/SSM Parameter Store) 3. **提权** - 创建高权限策略并附加到当前用户 - PassRole + Lambda/SCF 提权 - AssumeRole 跨角色切换 - → 更多提权路径详见 cloud-iam-audit skill 4. **持久化后门** - 创建后门用户 + AK/SK - 附加管理员策略 ## 临时凭据注意事项 - **有效期**: 通常 15 分钟 ~ 12 小时 - **SessionToken**: 每次 API 调用都必须携带 - **优先操作**: 先创建长期凭据(新 AK/SK 或用户),再慢慢枚举 - **刷新**: 如果来自元数据服务,可能可以重复获取新凭据 ## 决策树 ``` 获取到 AK/SK ├── 识别云平台(AKIA=AWS, AKIDz=腾讯, LTAI=阿里) │ └── 加载对应 reference(aws-exploit.md / tencent-exploit.md) ├── 配置环境变量 + 验证身份 ├── 快速权限枚举(2 分钟内) │ ├── 有 S3/COS 权限 → 列桶 → 下载敏感文件 → 找 flag │ ├── 有 Lambda/SCF 权限 → 读代码 → 读环境变量 │ ├── 有 EC2/CVM 权限 → 获取 shell │ ├── 有 IAM/CAM 权限 → 提权 → 管理员 │ └── 有 Secrets 权限 → 读密钥 ├── 如果是临时凭据 → 先创建持久化后门 └── 深度利用 → cloud-iam-audit skill ```