type
status
date
slug
summary
tags
category
icon
password
Exploit Weak Bucket Policies for Privileged Access
利用存在风险的存储桶策略进行特权访问
听题目意思是存储桶ACL存在漏洞 可能是白名单伪装、信息收集等利用
题目给了
13.43.144.61这个ip直接nmap扫一下看开放了什么端口
3000端口是个web 查看源代码发现有aws-s3其在eu-west-2的region上
接下来我们aws config并查看这个s3的内容
aws-V2版本优化了回显 会告诉我们没有权限的细节(以前没有细节)
发送未签名(未认证)请求也不行(aws s3 ls hugelogistics-data --no-sign-request主要是在acl配置了匿名访问的时候才可以使用)
我们查看一下s3ACL
acl无法直接查看
但是我们可以直接看policy,通过这个我们可以查看用户角色和服务间的关系(策略(Policy)是一种用于定义权限的文档。策略可以应用于 AWS 资源(如 S3 存储桶、IAM 用户、角色等),以控制谁可以访问这些资源以及他们可以执行哪些操作。策略通常以 JSON 格式编写,包含一个或多个语句,每个语句定义了一个访问控制规则。)
但最好使其更具可读性。我们可以使用下面的命令来做到这一点。
aws s3api get-bucket-policy --bucket hugelogistics-data | jq -r '.Policy' | sed 's/\\//g' | jq
结果就是
全局任何经过身份验证的 AWS 用户都可以访问 ACL 和存储桶中两个指定文件 ( 和 ) 的内容。
即使我们无法列出存储桶的内容,我们仍然能够泄露内容并访问它们!让我们在本地传输 Excel 文件。
但是需要密码:
此脚本将 Office 文件作为输入,并创建一个哈希值,同时考虑 Office 文档的版本。
不同版本的 Microsoft Office 使用不同的加密方法,这意味着 hashcat 和其他工具每个版本都有特定的模式。Office 2007 采用基于 SHA-1 和 AES-128 的加密,而 Office 2010 则升级到带有 AES-128 或 AES-256 的 SHA-512。Office 2013 及更高版本通过默认使用带有 AES-256 的 SHA-512、在加密过程中添加随机盐以及增加 SHA-512 迭代次数来进一步增强安全性。这使得在较新版本的 Office 中破解加密密码的计算成本更高且速度更慢。
运行以下命令以生成文档的哈希值,我们可以对其进行离线暴力攻击。
哈希即为:
$office$*2013*100000*256*16*5e8372cf384ae36827c769ef177230fc*c7367d060cc4cab8d01d887a992fbe2b*a997b2bfbbf996e1b76b1d4f070dc9214db97c19411eb1fe0ef9f5ff49b01904有了哈希值 我们就需要hashcat去爆破它
hashcat -a 0 -m 9600 hash.txt rockyou.txt(rockyou是官方默认的)
这应该是网站的后台账户账号密码
这种crm站点的后台一般都是/crm或者/dashboard /login
实测不同的接口调用的数据库不一样 我们xlsx表格的crm用户以crm目录即可
导出的表格里面有flag
