|
公众号无关。 |
简介
CF 是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。
CF 下载地址:github.com/teamssix/cf/releases
当前已支持的云:
-
阿里云
-
腾讯云
-
自主技术
-
华为云
详情
使用手册
使用手册请参见:wiki.teamssix.com/cf
安装
直接在 CF 下载地址:github.com/teamssix/cf/releases 中下载系统对应的压缩文件,解压后在命令行中运行即可。
使用案例
| 标题 | 所使用的 CF 版本 | 文章地址 | 作者 | 发布时间 |
|---|---|---|---|---|
| 《一次简单的"云"上野战记录》 | 0.4.2 版 | https://mp.weixin.qq.com/s/wi8C... | 提篮 | 2022.10.19 |
| 《记录一次平平无奇的云上攻防过程》 | 0.4.0 版 | https://zone.huoxian.cn/d/2557 | 团队六 | 2022.9.14 |
| 《我用 CF 打穿了他的云上内网》 | 0.2.4 版 | https://zone.huoxian.cn/d/1341-cf | 团队六 | 2022.7.13 |
简单上手
这里以阿里云为例,其他更多操作可以查看上面的使用手册。
配置访问配置
cf config
一键列出当前访问凭证的权限
cf alibaba perm
一键接管控制台
cf alibaba console
一键列出当前访问凭证的云服务资源
cf alibaba ls
查看 CF 为实例执行命令的操作的帮助信息
cf alibaba ecs exec -h
一键为所有实例执行三要素,方便 HVV
cf alibaba ecs exec -b
一键获取实例中的临时访问凭证数据
cf alibaba ecs exec -m
一键下载 OSS 对象存储数据
cf alibaba oss obj get
一键升级 CF 版本
cf upgrade
项目地址
https://github.com/Phuong39/cf
扫描二维码进内部交流群
# 往期推荐
一款基于go写的端口扫描工具,集masscan+nmap+wappalyzer+证书于一体
一款信息泄漏利用工具,适用于.git/.svn/.DS_Store泄漏和目录列出
(签名掠夺者):一款数字签名复制器,可将其他官方exe中数字签名复制到没有签名的exe中。
WebSocket 内存马/Webshell,一种新型内存马/WebShell技术
Chunsou(春蒐),Web指纹资产识别,风险收敛以及企业互联网资产风险摸查识别工具
生成各类免杀webshell适合市面上常见的几种webshell管理工具、冰蝎、蚁剑、哥斯拉
Spring漏洞综合利用工具——Spring_All_Reachable
MySql、Oracle、金仓、达梦、神通等数据库、Redis等管理工具
jmx未授权访问 弱口令批量检测 GUI工具 - jmxbfGUI
原文始发于微信公众号(x9sec):云环境利用框架(Cloud exploitation framework)主要用来方便红队人员在获得 AK 的后续工作。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论