對(duì)象存儲(chǔ)

對(duì)象存儲(chǔ)（OSS）中可以有多個(gè)桶（Bucket），然后把對(duì)象（Object）放在桶里，對(duì)象又包含了三個(gè)部分：Key、Data 和 Metadata。

Bucket

存儲(chǔ)空間（Bucket）是用戶用于存儲(chǔ)對(duì)象（Object）的容器，所有的對(duì)象都必須隸屬于某個(gè)存儲(chǔ)空間。存儲(chǔ)空間具有各種配置屬性，包括地域、訪問(wèn)權(quán)限、存儲(chǔ)類(lèi)型等。用戶可以根據(jù)實(shí)際需求，創(chuàng)建不同類(lèi)型的存儲(chǔ)空間來(lái)存儲(chǔ)不同的數(shù)據(jù)。

• 同一個(gè)存儲(chǔ)空間的內(nèi)部是扁平的，沒(méi)有文件系統(tǒng)的目錄等概念，所有的對(duì)象都直接隸屬于其對(duì)應(yīng)的存儲(chǔ)空間。
• 每個(gè)用戶可以擁有多個(gè)存儲(chǔ)空間。
• 存儲(chǔ)空間的名稱在 OSS 范圍內(nèi)必須是全局唯一的，一旦創(chuàng)建之后無(wú)法修改名稱。
• 存儲(chǔ)空間內(nèi)部的對(duì)象數(shù)目沒(méi)有限制。

命名規(guī)則

同一阿里云賬號(hào)在同一地域內(nèi)創(chuàng)建的Bucket總數(shù)不能超過(guò)100個(gè)。Bucket創(chuàng)建后，其名稱無(wú)法修改。Bucket命名規(guī)則如下：

• Bucket名稱在OSS范圍內(nèi)必須全局唯一。
• 只能包括小寫(xiě)字母、數(shù)字和短劃線（-）。
• 必須以小寫(xiě)字母或者數(shù)字開(kāi)頭和結(jié)尾。
• 長(zhǎng)度為3~63個(gè)字符。

命名示例

Bucket名稱的正確示例如下：

• examplebucket1
• test-bucket-2021
• aliyun-oss-bucket

Object

對(duì)象（Object）是 OSS 存儲(chǔ)數(shù)據(jù)的基本單元，也被稱為 OSS 的文件。和傳統(tǒng)的文件系統(tǒng)不同，對(duì)象沒(méi)有文件目錄層級(jí)結(jié)構(gòu)的關(guān)系。對(duì)象由元信息（Object Meta），用戶數(shù)據(jù)（Data）和文件名（Key）組成，并且由存儲(chǔ)空間內(nèi)部唯一的 Key 來(lái)標(biāo)識(shí)。

例如：

https://hxsecurityteam.oss-cn-beijing.aliyuncs.com/AAccTest.png

Bucket：hxsecurityteam

地區(qū)：oss-cn-beijing

Key：AAccTest.png

對(duì)象元信息是一組鍵值對(duì)，表示了對(duì)象的一些屬性，比如最后修改時(shí)間、大小等信息，同時(shí)用戶也可以在元信息中存儲(chǔ)一些自定義的信息。可以簡(jiǎn)單的理解成數(shù)據(jù)的標(biāo)簽、描述之類(lèi)的信息，這點(diǎn)不同于傳統(tǒng)的文件存儲(chǔ)，在傳統(tǒng)的文件存儲(chǔ)中這類(lèi)信息是直接封裝在文件里的，有了元數(shù)據(jù)的存在，可以大大的加快對(duì)象的排序、分類(lèi)和查找。Data 就是存儲(chǔ)的數(shù)據(jù)本體。

對(duì)象存儲(chǔ)利用方法

Bucket STS(SecurityToken)利用

STS服務(wù)給其他用戶頒發(fā)一個(gè)臨時(shí)訪問(wèn)憑證。該用戶可使用臨時(shí)訪問(wèn)憑證在規(guī)定時(shí)間內(nèi)訪問(wèn)您的OSS資源。

臨時(shí)訪問(wèn)憑證無(wú)需透露您的長(zhǎng)期密鑰，使您的OSS資源訪問(wèn)更加安全。

利用工具

alicloud-tools

GitHub地址：https://github.com/iiiusky/alicloud-tools

方法一

ak+sk+sts使用命令：

AliCloud-Tools.exe --sak --ssk --sts --token ecs --list --runner

方法二

OSS Browser

GitHub地址：https://github.com/aliyun/oss-browser

Bucket Object 遍歷

在創(chuàng)建 Bucket 時(shí)，可以選擇是否公開(kāi)，默認(rèn)是 private 的權(quán)限，如果在錯(cuò)誤的配置下，給了??Listobject??權(quán)限，就會(huì)導(dǎo)致可遍歷存儲(chǔ)桶。

在此時(shí)如果選擇公有讀的話，會(huì)出現(xiàn)兩種情況

1. 在只配置讀寫(xiě)權(quán)限設(shè)置為公有讀或公共讀寫(xiě)的情況下，無(wú)法列出對(duì)象，但能夠直接讀取對(duì)應(yīng)的文件（正常情況）
2. 如果想列出 Object 對(duì)象，需要在 Bucket 授權(quán)策略中設(shè)置 ListObject 即可

情況一

在只配置讀寫(xiě)權(quán)限設(shè)置為公有讀或公共讀寫(xiě)的情況下，無(wú)法列出對(duì)象

但是可以直接訪問(wèn)對(duì)應(yīng)的KEY路徑（正常情況）

情況二

如果想列出Object對(duì)象，只需要在Bucket授權(quán)策略中設(shè)置ListObject即可。

這樣再當(dāng)我們?cè)L問(wèn)存儲(chǔ)桶域名的時(shí)候就會(huì)發(fā)現(xiàn)，已經(jīng)把我們存儲(chǔ)桶的東西列出來(lái)了

Bucket 桶爆破

當(dāng)不知道 Bucket 名稱的時(shí)候，可以通過(guò)爆破獲得 Bucket 名稱，這有些類(lèi)似于目錄爆破，只不過(guò)目錄爆破一般通過(guò)狀態(tài)碼判斷，而這個(gè)通過(guò)頁(yè)面的內(nèi)容判斷。

• AccessDenied：存在存儲(chǔ)桶，但無(wú)權(quán)限訪問(wèn)

• InvalidBucketName：表示存儲(chǔ)桶的名稱不符合規(guī)范，屬于無(wú)效的存儲(chǔ)桶名稱

• NoSuchBucket：表示不存在這個(gè)存儲(chǔ)桶

Bucket 特定策略配置可寫(xiě)

特定的策略配置的指的是，如果管理員設(shè)置了某些IP，UA才可以請(qǐng)求該存儲(chǔ)桶的話，此時(shí)如果錯(cuò)誤的配置了??GetBucketPolicy??，可導(dǎo)致攻擊者獲取策略配置。

情況一

通過(guò)直接訪問(wèn)：http(s)://url/?policy來(lái)確定是否對(duì) Bucket 具有讀取權(quán)限

可以看到，管理員配置了對(duì)于任意認(rèn)證主主體開(kāi)放了所有 Action 的權(quán)限。

情況二

burpsuite攔截流量

可以看到我們此時(shí)是沒(méi)有權(quán)限訪問(wèn)該存儲(chǔ)桶的，我們嘗試使用aliyun的cli獲取policy

我們可以看到，需要符合UserAgent為UzJu才可以訪問(wèn)

Bucket 任意文件上傳與覆蓋

如果在配置存儲(chǔ)桶時(shí)，管理員錯(cuò)誤的將存儲(chǔ)桶權(quán)限，配置為可寫(xiě)，這將會(huì)導(dǎo)致攻擊者可上傳任意文件到存儲(chǔ)桶中，或覆蓋已經(jīng)存在的文件

如果目標(biāo)的對(duì)象存儲(chǔ)支持 html 解析，那就可以利用任意文件上傳進(jìn)行：

• XSS 釣魚(yú)
• 掛暗鏈
• 掛黑頁(yè)
• 供應(yīng)鏈投毒等操作

情況一

情況二

當(dāng)我們?cè)L問(wèn)存儲(chǔ)桶的時(shí)候，會(huì)提示我們已經(jīng)被policy攔截

如果此時(shí)配置了存儲(chǔ)桶的oss BucketPolicy，就可以更改Deny為Allow即可訪問(wèn)

我們可以看到Effect中設(shè)置為Deny，我們只需要將它更改為Allow即可

隨后使用PUT方法上傳

隨后我們?cè)偈褂肎ET獲取

此時(shí)我們可以正常看到存儲(chǔ)桶中的對(duì)象了

Bucket 劫持接管

假設(shè)管理員通過(guò)域名解析并綁定了一個(gè)存儲(chǔ)桶，但是管理員將存儲(chǔ)桶刪除后，沒(méi)有將域名解析的 CNAME 刪除，這時(shí)會(huì)訪問(wèn)域名就會(huì)出現(xiàn) NoSuchBucket。因此可以登錄自己的阿里云賬號(hào)，創(chuàng)建同樣的 Bucket 即可。

在阿里云下，當(dāng) Bucket 顯示 NoSuchBucket說(shuō)明是可以接管的，如果顯示 AccessDenied則不行。

假設(shè)有以下一種情況，管理員通過(guò)域名解析并綁定了一個(gè)存儲(chǔ)桶，但是管理員將存儲(chǔ)桶刪除后，沒(méi)有將域名解析的CNAME刪除，這時(shí)會(huì)訪問(wèn)域名就會(huì)出現(xiàn)上面的情況，NoSuchBucket。

現(xiàn)在我們將存儲(chǔ)桶刪除，就會(huì)出現(xiàn)如下情況

現(xiàn)在我們?cè)僭L問(wèn)域名會(huì)出現(xiàn)如下情況

接管bucket

現(xiàn)在阿里云加了限制，必須在傳輸管理中配置綁定域名即可。以下情況即可接管該存儲(chǔ)桶

當(dāng)我們?cè)L問(wèn)存儲(chǔ)桶的域名時(shí)，提示我們NoSuchBucket，這個(gè)時(shí)候可以登錄自己的阿里云賬號(hào)，創(chuàng)建同樣的名稱即可。

此時(shí)我們刷新，

已經(jīng)成功接管了該存儲(chǔ)桶，嘗試上傳文件后配置權(quán)限公開(kāi)訪問(wèn)。

Bucket 修改策略

當(dāng)策略可寫(xiě)的時(shí)候，除了上面的將可原本不可訪問(wèn)的數(shù)據(jù)設(shè)置為可訪問(wèn)從而獲得敏感數(shù)據(jù)外，如果目標(biāo)網(wǎng)站引用了某個(gè) s3 上的資源文件，而且我們可以對(duì)該策略進(jìn)行讀寫(xiě)的話，也可以將原本可訪問(wèn)的資源權(quán)限設(shè)置為不可訪問(wèn)，這樣就會(huì)導(dǎo)致網(wǎng)站癱瘓了。

方法一

可以通過(guò)直接 PUT 一個(gè)配置，達(dá)到攻擊的目的。

aliyun oss bucket-policy oss://securitytest-geekby --method put ./oss.json

方法二

訪問(wèn)網(wǎng)站

此時(shí)我們?nèi)绻梢孕薷牟呗裕覀冎恍枰獙@取該對(duì)象的權(quán)限修改為Deny，該網(wǎng)站既無(wú)法在獲取圖片，JS等信息了

參考鏈接：

對(duì)象存儲(chǔ)攻防案例

阿里云 OSS對(duì)象存儲(chǔ)攻防

阿里云AK+SK泄露之STS(SecurityToken)如何利用

存儲(chǔ)空間命名 - 對(duì)象存儲(chǔ) OSS - 阿里云