如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

admin

139584
文章

114
评论

2024年12月22日18:44:51评论13 views字数 2101阅读7分0秒阅读模式

关于SkyScalpel

SkyScalpel是一款功能强大开源框架，用于在云环境中解析、混淆、反混淆和检测 JSON 策略。它提供了灵活且高度可配置的机制来处理 JSON 级混淆、IAM 策略转换以及在云安全环境中检测规避混淆技术。

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

SkyScalpel 建立在自定义 C# JSON 标记器和语法树解析器的基础上，提供了关于混淆的云策略（例如 IAM 策略）如何逃避检测的独特见解，并帮助防御者精准地检测和消除这些混淆技术。该框架还集成了 PowerShell 包装器，通过管道功能和命令链增强可用性。

工具要求

PowerShell 7.1

.NET 6.0 (LTS)

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Permiso-io-tools/SkyScalpel.git

然后切换到项目目录中，使用下列命令安装模块：

cd SkyScalpelImport-Module ./SkyScalpel.psd1

工具使用

交互模式是一个互动性强，由菜单驱动的操作方式，由Invoke-SkyScalpel函数提供功能，并具备颜色高亮显示等特性。它旨在促进对所有可用函数的探索，并使用彩色突出显示来放大每个函数返回的重要细节：

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

菜单探索支持完整的正则表达式和基本通配符，可以随时输入HELP或TUTORIAL获取更多指导。

任何时候都可以从交互式菜单中查看、复制或完全导出每一层混淆或反混淆的完整细节。SkyScalpel 还在同一菜单中显示完整的 CLI 支持，因此可以使用交互式模式“创建混淆配方”，然后轻松导出为简单的一行命令：

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

解析器使用

使用ConvertTo-JsonObject函数是访问./CSharp/JsonParser.cs中各种解析方法的最简单方式，目前提供了三种解析级别，可以通过-Target输入参数来进行定义：

'{"Version":"2012-10-17","Statement":[{"Effect":"u0041llow","Au0063tion":["iu0061m:P*ole","ec2:R??u0049nstances"],"Resource":"u002a"}]}' | ConvertTo-JsonObject -Target JsonToken | Select-Object Depth,Start,Length,Type,Content | Format-Table

也可以直接调用底层C#方法：

[SkyScalpel.JsonParser]::Tokenize('{"Version":"2012-10-17","Statement":[{"Effect":"u0041llow","Au0063tion":["iu0061m:P*ole","ec2:R??u0049nstances"],"Resource":"u002a"}]}') | Select-Object Depth,Start,Length,Type,Content | Format-Table

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

'{"Version":"2012-10-17","Statement":[{"Effect":"u0041llow","Au0063tion":["iu0061m:P*ole","ec2:R??u0049nstances"],"Resource":"u002a"}]}' | ConvertTo-JsonObject -Target JsonTokenEnriched | Select-Object Depth,Start,Length,Type,Content,ContentDecoded | Format-Table

也可以直接调用底层C#方法：

[SkyScalpel.JsonParser]::ToTokenEnriched('{"Version":"2012-10-17","Statement":[{"Effect":"u0041llow","Au0063tion":["iu0061m:P*ole","ec2:R??u0049nstances"],"Resource":"u002a"}]}') | Select-Object Depth,Start,Length,Type,Content,ContentDecoded | Format-Table

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

AWS Action扩展

为了在存在通配符时简化 AWS Action名称的扩展，Get-AwsAction函数会解析输入的 AWS Action名称以及所有匹配的Action名称：

Get-AwsAction -Name iam:P*ole

Get-AwsAction -Name iam:Crea??u002A

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

交互式混淆结果

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

SkyScalpel：

https://github.com/Permiso-io-tools/SkyScalpel

【

原文始发于微信公众号（FreeBuf）：如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

如何使用SkyScalpel在云环境中对JSON策略执行安全分析与处理

SkyScalpel是一款功能强大开源框架，用于在云环境中解析、混淆、反混淆和检测 JSON 策略。它提供了灵活且高度可配置的机制来处理 JSON 级混淆、IAM 策略转换以及在云安全环境中检测规避混淆技术。

解析器使用

AWS Action扩展

交互式混淆结果

备份工具 Kopia

TrafficEye 开源护网流量分析与威胁检测工具

httpgo:web指纹识别工具

【神器合集】漏洞挖掘效率翻倍！200+BurpSuite插件清单收录

当雷池waf遇上AI

提取网页敏感信息扩展插件

HIDS入侵检测系统-Elkeid与Wazuh

Finger24：毫秒级浏览器指纹识别插件

【红队】Milkyway:全方位扫描工具，具备高效的机器探活，端口探活，协议识别，指纹识别，漏洞扫描等功能

免杀：Win Defender特征定位辅助工具推荐

发表评论

在线咨询

微信