0x00 Introduction

云服务器的官方介绍：云服务器 ECS（Elastic Compute Service）是一种安全可靠、弹性可伸缩的云计算服务，助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。云服务器 ECS 免去采购 IT 硬件的前期准备，就像使用水、电、天然气等公共资源一样便捷、高效地使用服务器，实现计算资源的即开即用和弹性伸缩。简单理解就是远程的一台服务器，这台服务器省略了很多搭建前的工作（比如：硬件的组装、系统和软件的安装、配置和维护等），除此之外，还可以根据需要，随时变更服务器配置等。

1. OSS Browser

OSS Browser 是阿里云官方提供的一款图形化桌面应用程序，专门用于管理和操作阿里云对象存储服务（OSS）中的文件和数据。使用阿里云账号的 AK/SK 进行登录，即可开始管理 OSS 资源。下载地址：https://help.aliyun.com/zh/oss/developer-reference/ossbrowser-2-0-overview/

登录后，即可对存储桶进行操作。

2. 元数据

元数据（Metadata）是指描述和定义其他数据的数据，元数据通常包括资源的创建时间、配置详情、所有者信息、网络设置、存储位置以及安全策略等。简单来说，元数据就是关于云服务器实例的描述信息。

ECS 实例元数据是指实例 ID、VPC 信息、网卡信息等实例属性信息，支持在 ECS 实例内部通过访问元数据服务（Metadata Service）获取。详细内容可以查看官网的说明文档，文档地址：https://help.aliyun.com/zh/ecs/user-guide/view-instance-metadata

# 将链接中的 XXX 替换为下述内容curl http://100.100.100.200/latest/meta-data/XXX -w 'n'instance/instance-name    # 实例名称mac              # 实例 MAC 地址instance-id            # 实例 IDowner-account-id       # 实例拥有者的阿里云账号 IDprivate-ipv4         # 实例主网卡的私网 IPv4 地址public-ipv4          # 实例主网卡的公网 IPv4 地址public-keys/0/openssh-key   # 公有密钥ram/security-credentials/ecs # 获取凭证信息

0x01 Usage

创建完后，可在“实例”处查看。

在“更多操作”中“重置实例密码”，重置后即可进行 SSH 登录。

0x02 Vulnerability

1. SSRF+Meta Data

虽然云厂商元数据的链接是固定的，但获取元数据的链接只能在实例内部访问，外部无法直接访问元数据。而如果实例上存在 SSRF 漏洞，那么就可以利用该漏洞来获取实例的元数据。

如果安装时报错 Zone.NotOnSale，这表示指定的可用区在当前地域中没有可用的资源或服务。

将文件 main.tf 中的 cn-beijing-h 修改为 cn-beijing-g 即可。

结合 dnslog 平台可以知道，目标存在 SSRF 漏洞。

利用 SSRF 获取目标实例的元数据，拿到 AK/SK。

2. AK/SK 利用

2.1 泄漏

2.2 利用

在获取目标的 AK/SK 后，可以通过 CF 进行后渗透。输入命令 cf config 来配置 AK/SK 等信息。

配置完成后，可以通过 CF 来便捷的执行相关的操作。详细的使用说明可参考：https://wiki.teamssix.com/cf/

# 列出目标所有 ECScf.exe alibaba ecs ls

创建后门用户。命令：cf.exe alibaba console

目前阿里云已开启双因子验证，无法直接使用后门用户登录。后续如有好的利用手法，会在之后的文章中阐述，这里不做过多的说明。

删除后门用户。命令：cf.exe alibaba console cancel

0x03 Reference