一文掌握云服务渗透测试要点:AWS、阿里云、腾讯云、Azure 全面攻防指南
本指南系统梳理了主流云平台(AWS、阿里云、腾讯云、Azure)的渗透测试重点,覆盖身份权限、存储安全、计算资源、网络配置、函数服务与日志监控六大攻击面,适用于红队演练、安全审计与攻防演习等场景。
☁️ 通用云服务渗透测试要点
🔐 身份与访问管理(IAM)
- 弱权限策略(如
*:*)存在被滥用风险 - AccessKey、SecretKey 泄露易导致远程访问
- AssumeRole / STS 临时凭证可用于横向提权
- 枚举权限策略、寻找高权限角色是提权关键
📦 存储服务风险
- 存储桶设置为公有读/写,可能导致敏感文件泄露
- 上传恶意脚本用于站点注入(如 XSS)
- 静态托管页面+JS 注入可进一步植入攻击逻辑
🖥️ 计算资源攻击面
- 云主机(如 ECS、EC2、CVM)暴露 SSH/RDP 端口
- 用户数据(UserData)中泄露凭据
- SSRF 利用元数据服务(169.254.169.254)获取 IAM 角色信息,实现权限提升
🌐 网络配置错误
- 安全组未限制入站访问(如
0.0.0.0/0) - VPC 路由配置疏忽暴露内网服务
- ELB 配置不当导致后端服务泄露
🧠 Serverless 函数服务
- 函数触发器(如 COS 上传、API 调用)未授权
- 环境变量中包含密钥
- 任意调用函数执行任意命令(如远程代码执行)
📊 日志与审计
- 未开启或配置错误的日志服务(如 CloudTrail、ActionTrail、CLS、Azure Monitor)
- 可关闭日志记录绕过审计机制
🟧 AWS 渗透测试重点
身份权限
- 弱策略(如 AdministratorAccess)分配过广
- 使用 STS AssumeRole 横向移动
- 探测泄露的 AccessKey/SecretKey(利用 awscli 或工具)
存储服务(S3)
- S3 Bucket 公有可读/写
- 静态网站托管脚本注入
- 列出 Bucket 文件寻找敏感内容
计算服务(EC2)
- UserData 暴露密钥
- EC2 元数据 SSRF 提权
- 镜像或快照泄露(AMI/Snapshot)
函数服务(Lambda)
- 函数环境变量泄露密码
- 利用触发器执行后门逻辑
日志监控(CloudTrail)
- 检查是否开启审计日志
- 能否通过权限关闭 CloudTrail 记录
🟥 阿里云 渗透测试重点
账号权限(RAM)
- RAM 用户拥有 AdminAccess 权限
- AccessKey 泄露后可直接控制资源
- RAM 角色切换滥用提权
存储服务(OSS)
- OSS Bucket 设置为公共可读写
- 上传木马或 XSS 脚本用于引导攻击
ECS 实例
- 公网暴露 SSH/RDP 登录端口
- 自定义镜像中存在后门
- UserData/Cloud-init 脚本含明文密码
函数计算(FC)
- API 网关未做身份校验
- 文件上传触发执行逻辑可构造 RCE
审计(ActionTrail)
- 是否启用关键操作记录
- 是否可通过权限绕过日志写入
🟦 腾讯云 渗透测试重点
访问控制(CAM)
- 临时密钥泄露或权限过大
- 使用 AssumeRole 横向权限提升
COS 存储
- 公共读/写权限导致敏感文件泄露
- 支持静态网站托管 + JS 注入
CVM 云主机
- SSH/RDP 端口未限制访问
- 元数据 SSRF 泄露 STS 临时凭证
- 云硬盘快照公开访问
Serverless 云函数(SCF)
- 函数触发器(COS 上传)允许任意调用
- 函数环境变量包含 AK/SK
日志服务(CLS)
- 未启用关键操作审计
- 可通过权限修改日志记录策略
🟩 Azure 渗透测试重点
Azure Active Directory (AAD)
- Client_ID / Client_Secret 被硬编码泄露
- 应用注册对象权限过大
- Azure AD Connect 可用于导出 Hash
存储账户(Blob)
- 设置为匿名公共访问
- 静态托管网站可用于注入脚本
虚拟机 VM
- 暴露公网 RDP 登录端口
- 自定义扩展脚本含敏感信息
- 利用 Managed Identity 提权
Azure Function / Logic Apps
- HTTP Trigger 任意访问
- 环境变量或配置文件泄露密钥
审计日志(Log Analytics)
- 审计未开启或未记录所有操作
- 诊断设置未锁定,可被篡改
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容