freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CF 云环境利用框架,一键化利用云上内网
2022-07-11 12:10:09
所属地 北京

前言

当我们平时拿到云服务的访问凭证即 Access Key 时,通常的做法可能是看下对方的 OSS 对象存储、或者在实例上执行个命令,但 AK 的利用远不止这些,通过 AK 我们可以做太多太多的事情,为了方便 AK 的利用,于是有了这个工具。

CF 是一个云环境利用框架,主要用来方便红队人员在获得云服务的访问凭证的后续工作。

项目地址:github.com/teamssix/cf

下载地址:github.com/teamssix/cf/releases

代码完全开源,师傅们可以放心使用,提前祝师傅打下一个又一个点、拿下一个又一个云上管理员权限。

截止到 2022 年 7 月 10 日,CF 已迭代到 v0.2.2 版本,目前 CF 仅支持阿里云,当前 CF 已支持以下功能:

  • 一键列出目标 AK 的 OSS、ECS、RDS 服务

  • 一键获得实例上的临时访问凭证

  • 一键为实例反弹 Shell

  • 一键接管控制台

  • 一键为所有实例执行三要素,方便你懂得

  • 一键查看当前配置的权限

  • ……

使用手册

使用手册请参见:wiki.teamssix.com/cf

image

简单上手

image

配置 CF

cf configure

image

一键列出当前访问凭证的云服务资源

cf ls

image

一键列出当前访问凭证的权限

cf ls permissions

image

一键接管控制台

cf console

image

查看 CF 为实例执行命令的操作的帮助信息

cf ecs exec -h

image

一键为所有实例执行三要素,方便你懂得

cf ecs exec -b

image

一键获取实例中的临时访问凭证数据

cf ecs exec -m

image

如果感觉还不错的话,师傅记得给个 Star 呀 ~,另外 CF 的更多使用方法可以参见使用手册:wiki.teamssix.com/cf

# 工具 # 云安全 # 云服务器
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录