**“공개”**로 간주되는 버킷은 어떤 사용자도 버킷의 내용을 목록화할 수 있고, 버킷의 내용이 특정 사용자에 의해만 목록화 또는 작성될 수 있는 경우 **“비공개”**로 간주됩니다.
회사들은 버킷 권한을 잘못 구성하여 모든 것이나 AWS에 인증된 모든 사용자(따라서 누구에게나)에게 액세스 권한을 부여할 수 있습니다. 이러한 잘못된 구성으로 인해 일부 작업을 수행할 수 없을 수도 있습니다. 왜냐하면 버킷에는 고유한 액세스 제어 목록(ACL)이 있을 수 있기 때문입니다.
flaws.cloud는 IP 52.92.181.107에 있으며 해당 위치로 이동하면 https://aws.amazon.com/s3/로 리디렉션됩니다. 또한 dig -x 52.92.181.107를 실행하면 s3-website-us-west-2.amazonaws.com이 표시됩니다.
# 순열을 생성하기 위한 단어 목록 생성curl-shttps://raw.githubusercontent.com/cujanovic/goaltdns/master/words.txt>/tmp/words-s3.txt.tempcurl-shttps://raw.githubusercontent.com/jordanpotti/AWSBucketDump/master/BucketNames.txt>>/tmp/words-s3.txt.tempcat/tmp/words-s3.txt.temp|sort-u>/tmp/words-s3.txt# 테스트할 도메인 및 서브도메인을 기반으로 단어 목록 생성## subdomains.txt에 도메인 및 서브도메인 작성catsubdomains.txt>/tmp/words-hosts-s3.txtcatsubdomains.txt|tr".""-">>/tmp/words-hosts-s3.txtcatsubdomains.txt|tr".""\n"|sort-u>>/tmp/words-hosts-s3.txt# 공격할 도메인 및 서브도메인 목록을 사용하여 순열 생성goaltdns-l/tmp/words-hosts-s3.txt-w/tmp/words-s3.txt-o/tmp/final-words-s3.txt.temp## 이전 도구는 서브도메인에 대한 순열을 생성하는 데 특화되어 있으므로 해당 목록을 필터링합니다<strong>### "."로 끝나는 줄 제거</strong>cat /tmp/final-words-s3.txt.temp |grep-Ev"\.$">/tmp/final-words-s3.txt.temp2### TLD 없는 목록 생성cat/tmp/final-words-s3.txt.temp2|sed-E's/\.[a-zA-Z0-9]+$//'>/tmp/final-words-s3.txt.temp3### 점 없는 목록 생성cat/tmp/final-words-s3.txt.temp3|tr-d".">/tmp/final-words-s3.txt.temp4http://phantom.s3.amazonaws.com/### 하이픈 없는 목록 생성cat/tmp/final-words-s3.txt.temp3|tr".""-">/tmp/final-words-s3.txt.temp5## 최종 단어 목록 생성cat /tmp/final-words-s3.txt.temp2 /tmp/final-words-s3.txt.temp3 /tmp/final-words-s3.txt.temp4 /tmp/final-words-s3.txt.temp5 | grep -v -- "-\." | awk '{print tolower($0)}' | sort -u > /tmp/final-words-s3.txt
확인하십시오. 해결된 도메인에 "website"라는 단어가 포함되어 있는지.
정적 웹사이트에 접근하려면 다음으로 이동하십시오: flaws.cloud.s3-website-us-west-2.amazonaws.com
또는 버킷에 접근하려면 다음을 방문하십시오: flaws.cloud.s3-us-west-2.amazonaws.com
시도해 보기
버킷에 액세스하려고 시도하지만 도메인 이름에 다른 지역을 지정하는 경우(예: 버킷이 bucket.s3.amazonaws.com에 있지만 bucket.s3-website-us-west-2.amazonaws.com에 액세스하려고 하는 경우), 그러면 올바른 위치로 안내받게 됩니다:
버킷 열거
버킷의 공개 여부를 테스트하려면 사용자는 웹 브라우저에서 URL을 입력할 수 있습니다. 비공개 버킷은 "액세스 거부"로 응답하고, 공개 버킷은 저장된 첫 1,000개의 객체를 나열합니다.
모두에게 열려 있음:
비공개:
또한 cli로도 이를 확인할 수 있습니다:
#Use --no-sign-request for check Everyones permissions#Use --profile <PROFILE_NAME> to indicate the AWS profile(keys) that youwant to use: Check for "Any Authenticated AWS User" permissions
#--recursive if you want list recursivelyls#Opcionally you can select the region if you now itawss3lss3://flaws.cloud/ [--no-sign-request] [--profile <PROFILE_NAME>] [ --recursive] [--region us-west-2]
만약 버킷이 도메인 이름을 갖고 있지 않다면, 열거를 시도할 때 버킷 이름만 입력하고 전체 AWSs3 도메인을 입력하지 마십시오. 예: s3://<BUCKETNAME>
공개 URL 템플릿
https://{user_provided}.s3.amazonaws.com
공개 버킷에서 계정 ID 가져오기
새로운 S3:ResourceAccount정책 조건 키를 활용하여 AWS 계정을 확인하는 것이 가능합니다. 이 조건은 계정이 속한 S3 버킷을 기반으로 액세스를 제한합니다 (다른 계정 기반 정책은 요청하는 주체가 속한 계정을 기반으로 제한합니다).
그리고 정책에 와일드카드를 포함할 수 있기 때문에 계정 번호를 한 번에 한 숫자씩 찾을 수 있습니다.
이 도구는 이 프로세스를 자동화합니다:
# Installationpipxinstalls3-account-searchpipinstalls3-account-search# With a buckets3-account-searcharn:aws:iam::123456789012:role/s3_reads3://my-bucket# With an objects3-account-searcharn:aws:iam::123456789012:role/s3_reads3://my-bucket/path/to/object.ext
이 기술은 API Gateway URL, Lambda URL, Data Exchange 데이터 세트 및 심지어 태그 값(태그 키를 알고 있는 경우)을 얻는 데에도 작동합니다. 더 많은 정보는 원본 연구 및 이 취약점을 자동화하는 도구 conditional-love에서 찾을 수 있습니다.
