cloudSec 云安全-AK/SK泄露利用工具

cloudSec 云安全-AK/SK泄露利用工具

渗透测试, 黑客工具

云安全-AK/SK泄露利用工具

  • 注意:部分代码中由于时间关系未做权限控制,存在越权,建议本地搭建使用即可
  • 前端采用vue3,基于buildadmin模板,后端springboot,原接口调用厂商的SDK

关于使用(目前接入了腾讯云的所以下述功能接口,阿里云已更新加入,其余厂商需要慢慢补充)

关于后续添加的厂商

  • 亚马逊云
  • 七牛云(已接入)
  • 华为云(已更新存储桶)
  • 微软云
  • 谷歌
  • 因为缺少好多资源,某些功能不能直接测试,如果有相关资源可以提供的师傅可以发给我测试一下 以上是后续的更详细方向,有点多,可能一时半会更新不完
  • 如果有BUG请提交issue或者联系我
  • wechat:IHoshi

目前支持的厂商

  • 腾讯云
  • 阿里云
  • 七牛
  • 华为云(当前仅存储桶支持)
  • 注:如果页面白屏刷新浏览器即可,因为热更新的原因导致,后期会解决。(已解决)
  1. AK/SK管理
cloudSec 云安全-AK/SK泄露利用工具

右边图标对应–>重新检测资源及权限(也就是重新遍历资源信息)–>添加控制台用户(通过控制台登录)–>获取策略列表(需要当前账号绑定了策略)

cloudSec 云安全-AK/SK泄露利用工具
  1. 云服务器相关
  • 对应图标–>执行命令–>绑定密钥对(由于某些secret不支持运维助手或tat助手权限,但是拥有服务器完全的操作权限,因此可以通过绑定密钥的方式来获取目标主机权限,阿里云需要提供本地客户端的私钥,腾讯创建完毕将私钥导入本地即可)
cloudSec 云安全-AK/SK泄露利用工具
cloudSec 云安全-AK/SK泄露利用工具
cloudSec 云安全-AK/SK泄露利用工具
  1. 存储桶,文件操作,打包下载所有文件及单独文件url生成
  • 预览文件列表
cloudSec 云安全-AK/SK泄露利用工具

上传

cloudSec 云安全-AK/SK泄露利用工具

控制台用户,需要在ak/sk管理处添加控制台用户

cloudSec 云安全-AK/SK泄露利用工具
  1. 数据库
  • 主要是对数据库的操作,如开通外网访问,创建用户。
  • 右边按钮对应–>打开外网访问–>关闭外网访问–>创建数据库用户
cloudSec 云安全-AK/SK泄露利用工具
cloudSec 云安全-AK/SK泄露利用工具

docker-compose部署

  • 注意:如果出现 ERROR: The Compose file ‘./docker-compose.yaml’ is invalid because:Unsupported config option for services: ‘db’ 类似错误请升级docker-compose版本,我本地使用的是1.29+版本。
  • 升级
$ sudo curl -L "https://github.com/docker/compose/releases/download/{version}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

$ sudo chmod +x /usr/local/bin/docker-compose

更新yaml,建议把之前的持久化数据删了, /home/cloud/data,因为改数据库字段了,会报错。。。

services:
  java-app:
    container_name: java-app
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:java-app-1.2
    environment:
      DB_PASSWORD: 111111
    depends_on:
      - db
  vue-web:
    container_name: vue-web
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:vue-app-1.2
    ports:
      - "80:80"
    environment:
      - API_IP=192.168.61.131
    depends_on:
      - java-app
  db:
    container_name: db
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:mysql-1.2
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: 111111
    volumes:
      - /home/cloud/data:/var/lib/mysql

启动脚本

docker-compose up -d
#然后访问http://<IP>/admin/login
#默认账号密码admin/admin123

本地部署

  1. 编译后端项目(将application中的mysql改为本地mysql地址) mnv package
  2. 前端项目打包,打包前更改.env.production文件中的VITE_AXIOS_BASE_URL为本机IP,然后,npm install –> npm run build
  3. 将编译后的dist文件复制到nginx目录下
  4. 启动后端java -jar cloudSec.jar
  5. 访问nginx80端口登录,默认账号密码admin/admin123。

cloudSec下载地址:

cloudSec-0.0.1-SNAPSHOT.jar

项目地址:

GitHub:
https://github.com/libaibaia/cloudSec/tree/main

转载请注明出处及链接

Leave a Reply

您的邮箱地址不会被公开。 必填项已用 * 标注