探索网络安全新技术
攀登黑客技术最高峰

cloudSec:云安全厂商AK/SK信息泄露利用工具

工具简介

云平台AK/SK-WEB利用工具,添加AK/SK自动检测资源,无需手动执行,支持云服务器、存储桶、数据库操作。

注意:部分代码中由于时间关系未做权限控制,存在越权,建议本地搭建使用即可,前端采用vue3,基于buildadmin模板,后端springboot,原接口调用厂商的SDK。

支持厂商

腾讯云
阿里云
七牛
华为云(当前仅存储桶支持)

使用说明

AK/SK管理

cloudSec:云安全厂商AK/SK信息泄露利用工具-威武网安

右边图标对应–>重新检测资源及权限(也就是重新遍历资源信息)–>添加控制台用户(通过控制台登录)–>获取策略列表(需要当前账号绑定了策略)

cloudSec:云安全厂商AK/SK信息泄露利用工具-威武网安

对应图标–>执行命令–>绑定密钥对(由于某些secret不支持运维助手或tat助手权限,但是拥有服务器完全的操作权限,因此可以通过绑定密钥的方式来获取目标主机权限,阿里云需要提供本地客户端的私钥,腾讯创建完毕将私钥导入本地即可)

cloudSec:云安全厂商AK/SK信息泄露利用工具-威武网安

cloudSec:云安全厂商AK/SK信息泄露利用工具-威武网安

cloudSec:云安全厂商AK/SK信息泄露利用工具-威武网安

安装使用

docker-compose部署

$ sudo curl -L "https://github.com/docker/compose/releases/download/{version}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

$ sudo chmod +x /usr/local/bin/docker-compose

注意:如果出现 ERROR: The Compose file ‘./docker-compose.yaml’ is invalid because:Unsupported config option for services: ‘db’ 类似错误请升级docker-compose版本,我本地使用的是1.29+版本。

升级

更新yaml,建议把之前的持久化数据删了, /home/cloud/data 因为改数据库字段了,会报错。

services:
  java-app:
    container_name: java-app
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:java-app-1.2
    environment:
      DB_PASSWORD: 111111
    depends_on:
      - db
  vue-web:
    container_name: vue-web
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:vue-app-1.2
    ports:
      - "80:80"
    environment:
      - API_IP=192.168.61.131
    depends_on:
      - java-app
  db:
    container_name: db
    image: registry.cn-hangzhou.aliyuncs.com/lx_project/cloud:mysql-1.2
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: 111111
    volumes:
      - /home/cloud/data:/var/lib/mysql

启动脚本

docker-compose up -d

然后访问http:///admin/login,默认账号密码admin/admin123。

本地部署

数据库mysql5.7、jdk8、node 16.16 前端项目地址:https://github.com/libaibaia/vue-web

安装步骤

1、编译后端项目(将application中的mysql改为本地mysql地址) mnv package
2、前端项目打包,打包前更改.env.production文件中的VITE_AXIOS_BASE_URL为本机IP,然后,npm install –> npm run build
3、将编译后的dist文件复制到nginx目录下
4、启动后端java -jar cloudSec.jar
5、访问nginx80端口登录,默认账号密码admin/admin123。

工具下载

cloudSec

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《cloudSec:云安全厂商AK/SK信息泄露利用工具》
文章链接:https://www.wevul.com/1220.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 1

  1. #1

    ヾ(≧∇≦*)ゝ牛逼 老哥

    田田9个月前 (05-28)回复

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册