[Day 18] 天堂雲端 - S3 takeover POC

15th鐵人賽 s3 takeover

Sunny

2023-10-01 19:06:51

222 瀏覽

分享至

S3 takeover POC

第一步：確認target ip
第二步：掃描target ip 下符合條件的子域
第三步：確認這個S3 bucket web endpoint是不存在的
第四步：takeover it!

第一步

確認標的：example.com # 我沒有域名，很窮QQ

第二部

找出所有子域

1. 使用dig查詢DNS record

# 列出 authority section
> dig example.com

...
;; AUTHORITY SECTION:
example.com.		71232	IN	NS	a.iana-servers.net.
example.com.		71232	IN	NS	b.iana-servers.net.
...

# 找出所有subdomain
> dig @a.iana-servers.net example.com axfr

如果有找到subdomain會輸出類似以下數據

mail.example.com.	1800	IN	A	1.2.3.4
www.example.com.	1800	IN	A	5.6.7.8

查找CNAME指向子域名的s3 web endpoint

> dig sub.example.com

2. 使用Shodan或Fofa等搜尋banner

找出banner有以下關鍵字

<Code>NoSuchBucket</Code>

第三步：確認這個S3 bucket不存在

Response:

<Error>
<Code>NoSuchBucket</Code>
<Message>The specified bucket does not exist</Message>
<BucketName>...</BucketName>
</Error>

第四部：takeover！

創建一個名字一樣地域一樣的s3 bucket，再次訪問subdomain，如果成功印出上傳的網頁，算是接管成功！

[Day 17] 天堂雲端 - AWS S3 Misconfiguration&POC

[Day 19] 天堂雲端 - AWS Elastic Beanstalk

系列文

天堂雲端之從開始到接管共 30 篇

RSS系列文訂閱系列文

5 人訂閱

完整目錄

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

尚未有邦友留言

立即登入留言

天堂雲端之從開始到接管系列 第 18 篇