前言
对于云场景的渗透,获得AK和SK泄露,也是渗透中重要的一环。
通常,我们会在一些敏感的配置文件或者通过未授权访问、任意文件读取漏洞等方式,来寻找AK和SK。
但HaE插件中一般通过正则匹配式来寻找AK和SK的,如下:
(?i)(((access)(|-|_)(key)(|-|_)(id|secret))|(LTAI[a-z0-9]{12,20}))
但不同云厂商的 Access Key 内容特征又各有不同,如果能够根据不同厂商 Key 的特征,识别出具体哪家厂商的 Access Key ,从而有针对性开展渗透测试势必事半功倍。
亚马逊
亚马逊云计算服务 (Amazon Web Services, AWS) 的 Access Key 开头标识一般是 "AKIA"。
^AKIA[A-Za-z0-9]{16}$
- Access Key ID: 20个随机的大写字母和数字组成的字符,例如 AKHDNAPO86BSHKDIRYTE
- Secret Access Key ID: 40个随机的大小写字母组成的字符,例如 S836fh/J73yHSb64Ag3Rkdi/jaD6sPl6/antFtU(无法找回丢失的 Secret Access Key ID)。
Google Cloud Platform (GCP) 的 Access Key 开头标识一般是 "GOOG"。
^GOOG[\w\W]{10,30}$
- 服务账号的JSON文件中包含了Access Key和密钥的信息,其中Access Key为client_email,其长度不固定,由字母、数字和特殊字符组成。
- 密钥(Key)的长度为256个字符,由字母、数字和特殊字符组成。
微软 Azure
Microsoft Azure 的 Access Key 开头标识一般是 "AZ"。
^AZ[A-Za-z0-9]{34,40}$
- Azure AD Application的Client ID通常用作Access Key,长度为36个字符,由字母和数字组成。
- 对于Azure AD Application的密钥(Secret),长度为44个字符,由字母、数字和特殊字符组成。
IBM Cloud
IBM 云 (IBM Cloud) 的 Access Key 开头标识一般是 "IBM"。
^IBM[A-Za-z0-9]{10,40}$
或
[a-zA-Z0-9]{8}(-[a-zA-Z0-9]{4}){3}-[a-zA-Z0-9]{12}$
阿里云
阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 "LTAI"。
^LTAI[A-Za-z0-9]{12,20}$
- Access Key ID长度为16-24个字符,由大写字母和数字组成。
- Access Key Secret长度为30个字符,由大写字母、小写字母和数字组成。
腾讯云
腾讯云 (Tencent Cloud) 的 Access Key 开头标识一般是 "AKID"。
^AKID[A-Za-z0-9]{13,20}$
- SecretId长度为17个字符,由字母和数字组成。
- SecretKey长度为40个字符,由字母和数字组成。
华为云
华为云 (Huawei Cloud) 的 Access Key 是20个随机大写字母和数字组成,比较难用正则表达式匹配。
[A-Z0-9]{20}
百度云
百度云 (Baidu Cloud) 的 Access Key 开头标识一般是 "AK"。
^AK[A-Za-z0-9]{10,40}$
京东云
京东云 (JD Cloud) 的 Access Key 开头标识一般是 "JDC_"。
^JDC_[A-Z0-9]{28,32}
火山引擎
字节跳动火山引擎 (Volcengine) 的 Access Key 开头标识一般是 "AKLT",长度小于256位。
^AKLT[a-zA-Z0-9-_]{0,252}
UCloud
UCloud (UCloud) 的 Access Key 开头标识一般是 "UC"
^UC[A-Za-z0-9]{10,40}$
青云
青云 (QingCloud) 的 Access Key 开头标识一般是 "QY"。
^QY[A-Za-z0-9]{10,40}$
金山云
金山云 (Kingsoft Cloud) 的 Access Key 开头标识一般是 "AKLT"。
^AKLT[a-zA-Z0-9-_]{16,28}
天翼云
天翼云的 Access Key 开头标识一般是 "CTC"。
^CTC[A-Za-z0-9]{10,60}$
联通云
联通云的 Access Key 开头标识一般是 "LTC"。
^LTC[A-Za-z0-9]{10,60}$
移动云
移动云 (China Mobile Cloud) 的 Access Key 开头标识一般是 "YD"。
^YD[A-Za-z0-9]{10,60}$
用友云
用友云 (Yonyou Cloud) 的 Access Key 开头标识一般是 "YY"。
^YY[A-Za-z0-9]{10,40}$
HaE插件地址:https://github.com/gh0stkey/HaE