對象存儲

對象存儲（OSS）中可以有多個桶（Bucket），然后把對象（Object）放在桶里，對象又包含了三個部分：Key、Data 和 Metadata。

Bucket

存儲空間（Bucket）是用戶用于存儲對象（Object）的容器，所有的對象都必須隸屬于某個存儲空間。存儲空間具有各種配置屬性，包括地域、訪問權限、存儲類型等。用戶可以根據(jù)實際需求，創(chuàng)建不同類型的存儲空間來存儲不同的數(shù)據(jù)。

• 同一個存儲空間的內(nèi)部是扁平的，沒有文件系統(tǒng)的目錄等概念，所有的對象都直接隸屬于其對應的存儲空間。
• 每個用戶可以擁有多個存儲空間。
• 存儲空間的名稱在 OSS 范圍內(nèi)必須是全局唯一的，一旦創(chuàng)建之后無法修改名稱。
• 存儲空間內(nèi)部的對象數(shù)目沒有限制。

命名規(guī)則

同一阿里云賬號在同一地域內(nèi)創(chuàng)建的Bucket總數(shù)不能超過100個。Bucket創(chuàng)建后，其名稱無法修改。Bucket命名規(guī)則如下：

• Bucket名稱在OSS范圍內(nèi)必須全局唯一。
• 只能包括小寫字母、數(shù)字和短劃線（-）。
• 必須以小寫字母或者數(shù)字開頭和結尾。
• 長度為3~63個字符。

命名示例

Bucket名稱的正確示例如下：

• examplebucket1
• test-bucket-2021
• aliyun-oss-bucket

Object

對象（Object）是 OSS 存儲數(shù)據(jù)的基本單元，也被稱為 OSS 的文件。和傳統(tǒng)的文件系統(tǒng)不同，對象沒有文件目錄層級結構的關系。對象由元信息（Object Meta），用戶數(shù)據(jù)（Data）和文件名（Key）組成，并且由存儲空間內(nèi)部唯一的 Key 來標識。

例如：

https://hxsecurityteam.oss-cn-beijing.aliyuncs.com/AAccTest.png

Bucket：hxsecurityteam

地區(qū)：oss-cn-beijing

Key：AAccTest.png

對象元信息是一組鍵值對，表示了對象的一些屬性，比如最后修改時間、大小等信息，同時用戶也可以在元信息中存儲一些自定義的信息。可以簡單的理解成數(shù)據(jù)的標簽、描述之類的信息，這點不同于傳統(tǒng)的文件存儲，在傳統(tǒng)的文件存儲中這類信息是直接封裝在文件里的，有了元數(shù)據(jù)的存在，可以大大的加快對象的排序、分類和查找。Data 就是存儲的數(shù)據(jù)本體。

對象存儲利用方法

Bucket STS(SecurityToken)利用

STS服務給其他用戶頒發(fā)一個臨時訪問憑證。該用戶可使用臨時訪問憑證在規(guī)定時間內(nèi)訪問您的OSS資源。

臨時訪問憑證無需透露您的長期密鑰，使您的OSS資源訪問更加安全。

利用工具

alicloud-tools

GitHub地址：https://github.com/iiiusky/alicloud-tools

方法一

ak+sk+sts使用命令：

AliCloud-Tools.exe --sak --ssk --sts --token ecs --list --runner

方法二

OSS Browser

GitHub地址：https://github.com/aliyun/oss-browser

Bucket Object 遍歷

在創(chuàng)建 Bucket 時，可以選擇是否公開，默認是 private 的權限，如果在錯誤的配置下，給了??Listobject??權限，就會導致可遍歷存儲桶。

在此時如果選擇公有讀的話，會出現(xiàn)兩種情況

1. 在只配置讀寫權限設置為公有讀或公共讀寫的情況下，無法列出對象，但能夠直接讀取對應的文件（正常情況）
2. 如果想列出 Object 對象，需要在 Bucket 授權策略中設置 ListObject 即可

情況一

在只配置讀寫權限設置為公有讀或公共讀寫的情況下，無法列出對象

但是可以直接訪問對應的KEY路徑（正常情況）

情況二

如果想列出Object對象，只需要在Bucket授權策略中設置ListObject即可。

這樣再當我們訪問存儲桶域名的時候就會發(fā)現(xiàn)，已經(jīng)把我們存儲桶的東西列出來了

Bucket 桶爆破

當不知道 Bucket 名稱的時候，可以通過爆破獲得 Bucket 名稱，這有些類似于目錄爆破，只不過目錄爆破一般通過狀態(tài)碼判斷，而這個通過頁面的內(nèi)容判斷。

• AccessDenied：存在存儲桶，但無權限訪問

• InvalidBucketName：表示存儲桶的名稱不符合規(guī)范，屬于無效的存儲桶名稱

• NoSuchBucket：表示不存在這個存儲桶

Bucket 特定策略配置可寫

特定的策略配置的指的是，如果管理員設置了某些IP，UA才可以請求該存儲桶的話，此時如果錯誤的配置了??GetBucketPolicy??，可導致攻擊者獲取策略配置。

情況一

通過直接訪問：http(s)://url/?policy來確定是否對 Bucket 具有讀取權限

可以看到，管理員配置了對于任意認證主主體開放了所有 Action 的權限。

情況二

burpsuite攔截流量

可以看到我們此時是沒有權限訪問該存儲桶的，我們嘗試使用aliyun的cli獲取policy

我們可以看到，需要符合UserAgent為UzJu才可以訪問

Bucket 任意文件上傳與覆蓋

如果在配置存儲桶時，管理員錯誤的將存儲桶權限，配置為可寫，這將會導致攻擊者可上傳任意文件到存儲桶中，或覆蓋已經(jīng)存在的文件

如果目標的對象存儲支持 html 解析，那就可以利用任意文件上傳進行：

• XSS 釣魚
• 掛暗鏈
• 掛黑頁
• 供應鏈投毒等操作

情況一

情況二

當我們訪問存儲桶的時候，會提示我們已經(jīng)被policy攔截

如果此時配置了存儲桶的oss BucketPolicy，就可以更改Deny為Allow即可訪問

我們可以看到Effect中設置為Deny，我們只需要將它更改為Allow即可

隨后使用PUT方法上傳

隨后我們再使用GET獲取

此時我們可以正?？吹酱鎯ν爸械膶ο罅?/p>

Bucket 劫持接管

假設管理員通過域名解析并綁定了一個存儲桶，但是管理員將存儲桶刪除后，沒有將域名解析的 CNAME 刪除，這時會訪問域名就會出現(xiàn) NoSuchBucket。因此可以登錄自己的阿里云賬號，創(chuàng)建同樣的 Bucket 即可。

在阿里云下，當 Bucket 顯示 NoSuchBucket說明是可以接管的，如果顯示 AccessDenied則不行。

假設有以下一種情況，管理員通過域名解析并綁定了一個存儲桶，但是管理員將存儲桶刪除后，沒有將域名解析的CNAME刪除，這時會訪問域名就會出現(xiàn)上面的情況，NoSuchBucket。

現(xiàn)在我們將存儲桶刪除，就會出現(xiàn)如下情況

現(xiàn)在我們再訪問域名會出現(xiàn)如下情況

接管bucket

現(xiàn)在阿里云加了限制，必須在傳輸管理中配置綁定域名即可。以下情況即可接管該存儲桶

當我們訪問存儲桶的域名時，提示我們NoSuchBucket，這個時候可以登錄自己的阿里云賬號，創(chuàng)建同樣的名稱即可。

此時我們刷新，

已經(jīng)成功接管了該存儲桶，嘗試上傳文件后配置權限公開訪問。

Bucket 修改策略

當策略可寫的時候，除了上面的將可原本不可訪問的數(shù)據(jù)設置為可訪問從而獲得敏感數(shù)據(jù)外，如果目標網(wǎng)站引用了某個 s3 上的資源文件，而且我們可以對該策略進行讀寫的話，也可以將原本可訪問的資源權限設置為不可訪問，這樣就會導致網(wǎng)站癱瘓了。

方法一

可以通過直接 PUT 一個配置，達到攻擊的目的。

aliyun oss bucket-policy oss://securitytest-geekby --method put ./oss.json

方法二

訪問網(wǎng)站

此時我們?nèi)绻梢孕薷牟呗?，我們只需要將獲取該對象的權限修改為Deny，該網(wǎng)站既無法在獲取圖片，JS等信息了

參考鏈接：

對象存儲攻防案例

阿里云 OSS對象存儲攻防

阿里云AK+SK泄露之STS(SecurityToken)如何利用

存儲空間命名 - 對象存儲 OSS - 阿里云