Здравствуйте, дорогие друзья.
Введение
10 лет назад облачные сервисы, такие как AWS, gcloud и azure, не были чем-то особенным. Компании покупали физические серверы и размещали их у себя. Сегодня компании переносят свою инфраструктуру в облако, так как это удобнее. Однако, облачные сервисы могут быть сложны в настройке, и если Вы не знаете, что делаете, то можете все испортить и внедрить уязвимости в свою среду. Одна из самых популярных уязвимостей заключается в обнаружении открытой корзины облачного хранилища. Эти корзины используются для хранения файлов, поэтому в зависимости от того, что находится в корзине, у Вас может быть доступ к конфиденциальной информации.
Сегмент AWS S3
Введение
Amazon Web Services (AWS) на сегодняшний день является самым популярным поставщиком облачных услуг. Подавляющее большинство облачных экземпляров, с которыми Вы столкнетесь, будут размещены на этом провайдере.
S3 Bucket Dorks
Вы, наверное, слышали о корзинах S3, так как люди взламывали их уже некоторое время. Есть несколько методов, используемых для поиска этих корзин. Вы можете использовать google dorks или попробовать перебрать имя корзины. Я использую оба этих метода, поскольку они часто дают очень разные результаты. Следующий google dork можно использовать для поиска сегментов, принадлежащих компании:
site:.s3.amazonaws.com «Starbucks»
Единственным недостатком этого метода является то, что Вы потратите много времени на переключение через полученные результаты. Тем не менее, Вы можете обнаружить некоторые очень интересные конечные точки, что в противном случае можно было бы пропустить.
S3 Bucket Brute force
Существует слишком много инструментов для перебора корзины S3, и, кажется, они появляются каждый день. Я обычно использую этот, но все они делают одно и то же по итогу:
● https://github.com/ghostlulzhacks/s3brute
python amazon-s3-enum.py -w BucketNames.txt -d <Domain Here>
Если Вы перейдете к уязвимой конечной точке, Вы сможете перечислить все файлы в корзине. Вы должны искать конфиденциальные файлы, такие как файлы резервных копий, zip-файлы, пользовательские данные и любую другую информацию PII. В приведенном ниже примере есть только один файл «index.html».
Если Вы обнаружите уязвимую конечную точку, убедитесь, что она принадлежит компании, поскольку я часто нахожу ложные срабатывания.
Вывод
Вы столкнетесь с AWS чаще, чем со всеми другими облачными провайдерами вместе взятыми. Корзины S3 существуют уже некоторое время, и хакеры взламывают их ровно столько же. Компании постоянно раскрывают конфиденциальную информацию в своих корзинах S3, так что определенно стоит проверить эту неправильную конфигурацию.
На этом все. Всем хорошего дня!
#багбаунти #багхантинг #багхантер