AWS云安全实战教学：从S3存储桶到RDS快照的渗透测试技术<\/h1>

1. 识别公共S3存储桶的AWS账户ID<\/h2>

1.1 场景概述<\/h3>
目标是通过公开的S3存储桶识别关联的AWS账户ID，这是云安全评估的常见起点。<\/p>

1.2 技术要点<\/h3>

存储桶访问方式<\/strong>：<\/p>

现代格式：<桶名称>.s3.amazonaws.com<\/code>（虚拟托管式）<\/li>
旧格式：s3.amazonaws.com\/<桶名称>\/<\/code>（路径式）<\/li> <\/ul> <\/li>
匿名访问检查<\/strong>：<\/p> aws s3 ls s3:\/\/mega-big-tech --no-sign-request --recursive <\/span><\/span><\/code><\/pre><\/li> 账户ID枚举工具<\/strong>：<\/p> 使用s3-account-search<\/code>工具<\/li> 需要具有s3:GetObject<\/code>或s3:ListBucket<\/code>权限的角色ARN<\/li> 示例ARN：arn:aws:iam::427648302155:role\/LeakyBucket<\/code><\/li> <\/ul> <\/li> 自定义角色创建<\/strong>：<\/p> 创建IAM用户并附加策略<\/li> 策略需包含对目标存储桶的访问权限<\/li> 建立信任关系<\/li> <\/ul> <\/li> <\/ol> 1.3 实战步骤<\/h3> 识别存储桶名称（如mega-big-tech<\/code>）<\/li> 验证匿名访问权限<\/li> 使用工具或自定义角色枚举账户ID<\/li> 等待爆破完成获取目标AWS账户ID<\/li> <\/ol> 2. 利用公共EBS快照提升权限<\/h2> 2.1 场景概述<\/h3> 从基础凭证开始，通过分析公共EBS快照获取更高权限。<\/p> 2.2 技术要点<\/h3> 初始凭证验证<\/strong>：<\/p> aws sts get-caller-identity <\/span><\/span><\/code><\/pre><\/li> 策略分析<\/strong>：<\/p> aws iam list-attached-user-policies --user-name intern <\/span><\/span>aws iam get-policy --policy-arn arn:aws:iam::104506445608:policy\/PublicSnapper <\/span><\/span>aws iam get-policy-version --policy-arn arn:aws:iam::104506445608:policy\/PublicSnapper --version-id v9 <\/span><\/span><\/code><\/pre><\/li> 关键权限<\/strong>：<\/p> ec2:DescribeSnapshotAttribute<\/code><\/li> ec2:DescribeSnapshots<\/code><\/li> <\/ul> <\/li> EBS快照利用<\/strong>：<\/p> aws ec2 describe-snapshots --owner-ids self --region us-east-1 <\/span><\/span><\/code><\/pre> 检查createVolumePermission<\/code>属性<\/li> 公共快照可被任何AWS账户使用<\/li> <\/ul> <\/li> <\/ol> 2.3 实战步骤<\/h3> 列出账户快照<\/li> 检查快照权限设置<\/li> 从公共快照创建EBS卷<\/li> 创建EC2实例（确保与卷同可用区）<\/li> 挂载卷并搜索敏感数据 mount \/dev\/xvdb1 \/root\/pwnedlabs\/ <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 利用公共RDS快照进行渗透<\/h2> 3.1 场景概述<\/h3> 通过AWS账户ID查找并利用公共RDS数据库快照。<\/p> 3.2 技术要点<\/h3> AWS快照类型<\/strong>：<\/p> EBS快照：备份块存储卷<\/li> RDS快照：备份关系型数据库<\/li> Aurora快照：备份Aurora数据库集群<\/li> Redshift快照：备份数据仓库<\/li> FSx快照：备份文件系统<\/li> <\/ul> <\/li> RDS快照利用<\/strong>：<\/p> 还原公共快照为新数据库实例<\/li> 配置VPC和公开访问<\/li> 创建EC2实例进行连接<\/li> <\/ul> <\/li> 数据库访问<\/strong>：<\/p> psql -h <endpoint> -U postgres <\/span><\/span>\l<\/span> # 列出数据库<\/span> <\/span><\/span>\c<\/span> <数据库名> # 使用数据库<\/span> <\/span><\/span>\d<\/span>t # 列出数据表<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3.3 实战步骤<\/h3> 搜索目标账户的公共RDS快照<\/li> 还原快照为新数据库实例<\/li> 设置网络配置（VPC、公开访问）<\/li> 创建EC2实例并安装客户端工具<\/li> 连接数据库并提取敏感信息<\/li> <\/ol> 4. S3存储桶枚举基础<\/h2> 4.1 场景概述<\/h3> 通过分析网站加载的S3资源进行存储桶枚举和数据提取。<\/p> 4.2 技术要点<\/h3> 存储桶访问模式识别<\/strong>：<\/p> 区分虚拟托管式和路径式访问<\/li> <\/ul> <\/li> 目录遍历<\/strong>：<\/p> 匿名访问shared<\/code>和static<\/code>目录<\/li> 下载并分析zip文件中的脚本<\/li> <\/ul> <\/li> 权限提升<\/strong>：<\/p> 从脚本中发现AK\/SK<\/li> 使用新凭证访问受限目录（如admin<\/code>）<\/li> 通过export.xml<\/code>文件获取更高权限凭证<\/li> <\/ul> <\/li> <\/ol> 4.3 实战步骤<\/h3> 识别存储桶访问模式<\/li> 尝试匿名访问不同目录<\/li> 分析下载文件中的敏感信息<\/li> 使用发现的凭证提升权限<\/li> 访问受限文件获取flag<\/li> <\/ol> 5. SQS和Lambda的SQL注入<\/h2> 5.1 场景概述<\/h3> 通过硬编码凭证发现SQS和Lambda服务，利用二次注入漏洞。<\/p> 5.2 技术要点<\/h3> 服务枚举<\/strong>：<\/p> aws-enumerator enum -services all <\/span><\/span>aws-enumerator dump -services SQS,LAMBDA,STS <\/span><\/span><\/code><\/pre><\/li> Lambda函数分析<\/strong>：<\/p> aws lambda list-functions <\/span><\/span>aws lambda get-function --function-name huge-logistics-stock <\/span><\/span><\/code><\/pre><\/li> SQS消息处理<\/strong>：<\/p> aws sqs list-queues <\/span><\/span>aws sqs receive-message --queue-url <URL> --message-attribute-names All <\/span><\/span><\/code><\/pre><\/li> SQL注入利用<\/strong>：<\/p> 通过clientName<\/code>参数触发二次注入<\/li> 使用特殊字符（如"<\/code>）引发错误<\/li> 构造UNION查询获取数据<\/li> <\/ul> <\/li> <\/ol> 5.3 实战步骤<\/h3> 枚举可用服务和权限<\/li> 分析Lambda函数和SQS队列<\/li> 发送测试消息观察响应<\/li> 构造恶意消息触发SQL注入<\/li> 利用注入漏洞提取数据库信息<\/li> <\/ol> 6. AWS服务架构与安全要点<\/h2> 6.1 服务交互架构<\/h3> 典型流程<\/strong>：API网关 → SQS → Lambda → DB<\/li> 优势<\/strong>：可扩展性、容错性<\/li> 风险点<\/strong>：消息队列中的恶意输入可能导致二次注入<\/li> <\/ul> 6.2 安全最佳实践<\/h3> 存储桶安全<\/strong>：<\/p> 禁用匿名访问<\/li> 使用最小权限原则<\/li> 启用日志记录和监控<\/li> <\/ul> <\/li> 快照安全<\/strong>：<\/p> 避免设置公共快照<\/li> 使用加密快照<\/li> 定期审计快照权限<\/li> <\/ul> <\/li> Lambda安全<\/strong>：<\/p> 输入验证和参数化查询<\/li> 最小权限执行角色<\/li> 禁用未使用的函数<\/li> <\/ul> <\/li> 凭证安全<\/strong>：<\/p> 避免硬编码凭证<\/li> 使用临时凭证<\/li> 定期轮换密钥<\/li> <\/ul> <\/li> <\/ol> 7. 总结与进阶方向<\/h2> 7.1 渗透测试流程总结<\/h3> 信息收集（存储桶、账户ID）<\/li> 凭证分析与权限提升<\/li> 服务枚举与漏洞利用<\/li> 数据提取与横向移动<\/li> <\/ol> 7.2 进阶研究方向<\/h3> 跨账户攻击<\/strong>：利用组织内的信任关系<\/li> 角色假设<\/strong>：分析并利用过度宽松的角色信任策略<\/li> 云特定漏洞<\/strong>：如服务器端请求伪造(SSRF)获取元数据<\/li> 日志分析<\/strong>：通过CloudTrail日志发现异常活动<\/li> <\/ol> 通过本教学文档，您已掌握从基础S3存储桶枚举到复杂云环境渗透的关键技术。实际应用中，请确保获得合法授权并遵守道德准则。<\/p>

AWS云安全实战教学：从S3存储桶到RDS快照的渗透测试技术<\/h1>

1. 识别公共S3存储桶的AWS账户ID<\/h2>

1.1 场景概述<\/h3> 目标是通过公开的S3存储桶识别关联的AWS账户ID，这是云安全评估的常见起点。<\/p>

2. 利用公共EBS快照提升权限<\/h2>

2.1 场景概述<\/h3> 从基础凭证开始，通过分析公共EBS快照获取更高权限。<\/p>

3. 利用公共RDS快照进行渗透<\/h2>

3.1 场景概述<\/h3> 通过AWS账户ID查找并利用公共RDS数据库快照。<\/p>

4. S3存储桶枚举基础<\/h2>

4.1 场景概述<\/h3> 通过分析网站加载的S3资源进行存储桶枚举和数据提取。<\/p>

5. SQS和Lambda的SQL注入<\/h2>

5.1 场景概述<\/h3> 通过硬编码凭证发现SQS和Lambda服务，利用二次注入漏洞。<\/p>

6. AWS服务架构与安全要点<\/h2>

7. 总结与进阶方向<\/h2>

1.1 场景概述<\/h3>
目标是通过公开的S3存储桶识别关联的AWS账户ID，这是云安全评估的常见起点。<\/p>

2.1 场景概述<\/h3>
从基础凭证开始，通过分析公共EBS快照获取更高权限。<\/p>

3.1 场景概述<\/h3>
通过AWS账户ID查找并利用公共RDS数据库快照。<\/p>

4.1 场景概述<\/h3>
通过分析网站加载的S3资源进行存储桶枚举和数据提取。<\/p>

5.1 场景概述<\/h3>
通过硬编码凭证发现SQS和Lambda服务，利用二次注入漏洞。<\/p>