cloud-aksk-exploit

$npx mdskill add wgpsec/AboutSecurity/cloud-aksk-exploit

Exploit leaked cloud credentials to seize control and persist backdoors.

  • Automates full attack chains from credential theft to resource takeover.
  • Integrates with AWS, Tencent, and Alibaba Cloud APIs for exploitation.
  • Selects specific exploit commands based on detected credential format.
  • Executes enumeration, privilege escalation, and persistence actions.
SKILL.md
.github/skills/cloud-aksk-exploitView on GitHub ↗
---
name: cloud-aksk-exploit
description: "云凭据(AK/SK)泄露后的完整利用链。当通过信息泄露/.env文件/git泄露/SSRF元数据获取到云平台 Access Key 和 Secret Key 后使用。当获取到 AWS AKIA*/ASIA*、腾讯云 AKIDz*、阿里云 LTAI* 等凭据格式时使用。覆盖凭据配置→权限枚举→资源接管→后门持久化的完整攻击链。与 cloud-iam-audit(侧重策略分析)互补——本 skill 侧重拿到凭据后的实战利用动作。腾讯云比赛场景的 CAM/COS/CVM/SCF 利用是重点。发现任何云 API 密钥、临时凭据、或 STS Token 时都应使用此 skill"
metadata:
  tags: "cloud,aksk,access key,secret key,aws,tencent,aliyun,凭据利用,CAM,COS,CVM,SCF,S3,EC2,Lambda,IAM,提权,后门"
  category: "cloud"
---

# 云凭据 AK/SK 泄露利用方法论

拿到云凭据后的黄金时间窗口通常很短(尤其临时凭据),需要快速高效地完成"枚举→利用→持久化"链条。

## 按云平台查阅详细命令

识别云平台后,加载对应 reference 获取完整命令:

- AWS(AKIA*/ASIA*)→ [references/aws-exploit.md](references/aws-exploit.md)
- 腾讯云(AKIDz*)→ [references/tencent-exploit.md](references/tencent-exploit.md)

## Phase 0: 凭据识别与配置

### 0.1 凭据格式识别

| 云平台 | 格式特征 | 示例前缀 |
|--------|----------|----------|
| AWS 长期 | 20字符 AccessKeyId | `AKIA...` |
| AWS 临时 | 20字符 + SessionToken | `ASIA...` |
| 腾讯云 | 36字符 SecretId | `AKIDz...` |
| 阿里云 | ~24字符 AccessKeyId | `LTAI...` |
| 华为云 | ~20字符 AK | `AK...` / `SK...` |
| GCP | Service Account JSON | `"type": "service_account"` |
| Azure | ClientId + ClientSecret + TenantId | GUID 格式 |

### 0.2 快速配置

**AWS:**
```bash
export AWS_ACCESS_KEY_ID="AKIA..."
export AWS_SECRET_ACCESS_KEY="..."
export AWS_SESSION_TOKEN="..."  # 临时凭据需要
export AWS_DEFAULT_REGION="us-east-1"
aws sts get-caller-identity
```

**腾讯云:**
```bash
export TENCENTCLOUD_SECRET_ID="AKIDz..."
export TENCENTCLOUD_SECRET_KEY="..."
export TENCENTCLOUD_SESSION_TOKEN="..."  # 临时凭据
export TENCENTCLOUD_REGION="ap-guangzhou"
tccli sts GetCallerIdentity
```

**阿里云:**
```bash
export ALIBABA_CLOUD_ACCESS_KEY_ID="LTAI..."
export ALIBABA_CLOUD_ACCESS_KEY_SECRET="..."
aliyun sts GetCallerIdentity
```

## Phase 1: 通用攻击流程

配置凭据后,按以下顺序操作(具体命令参见对应云平台 reference):

1. **权限枚举**(前 2 分钟内完成)
   - 确认身份(GetCallerIdentity)
   - 枚举当前用户/角色附加的策略
   - 逐服务快速探测(存储/计算/函数/密钥)

2. **资源接管**(按价值排序)
   - 存储桶(S3/COS/OSS)→ 列桶、下载敏感文件
   - 计算实例(EC2/CVM)→ SSM/重置密码获取 shell
   - 云函数(Lambda/SCF)→ 下载代码、读环境变量
   - 密钥服务(Secrets Manager/KMS/SSM Parameter Store)

3. **提权**
   - 创建高权限策略并附加到当前用户
   - PassRole + Lambda/SCF 提权
   - AssumeRole 跨角色切换
   - → 更多提权路径详见 cloud-iam-audit skill

4. **持久化后门**
   - 创建后门用户 + AK/SK
   - 附加管理员策略

## 临时凭据注意事项

- **有效期**: 通常 15 分钟 ~ 12 小时
- **SessionToken**: 每次 API 调用都必须携带
- **优先操作**: 先创建长期凭据(新 AK/SK 或用户),再慢慢枚举
- **刷新**: 如果来自元数据服务,可能可以重复获取新凭据

## 决策树

```
获取到 AK/SK
├── 识别云平台(AKIA=AWS, AKIDz=腾讯, LTAI=阿里)
│   └── 加载对应 reference(aws-exploit.md / tencent-exploit.md)
├── 配置环境变量 + 验证身份
├── 快速权限枚举(2 分钟内)
│   ├── 有 S3/COS 权限 → 列桶 → 下载敏感文件 → 找 flag
│   ├── 有 Lambda/SCF 权限 → 读代码 → 读环境变量
│   ├── 有 EC2/CVM 权限 → 获取 shell
│   ├── 有 IAM/CAM 权限 → 提权 → 管理员
│   └── 有 Secrets 权限 → 读密钥
├── 如果是临时凭据 → 先创建持久化后门
└── 深度利用 → cloud-iam-audit skill
```
More from wgpsec/AboutSecurity