0
点赞
收藏
分享

微信扫一扫

accesskey_tools:一款针对云环境的多功能利用脚本工具

一、  关于accesskey_tools

"accesskey_tools" 是一个基于 Python 开发的多平台云环境利用辅助脚本。该工具可用于测试中,因开发的不规范,以及一些其它漏洞,拿到泄漏AK/SK的情况下,测试人员可以直接利用这些凭证对云服务器进行测试,及时修复风险并采取相应措施,确保云环境中的敏感凭证不会被滥用或泄露。

当前已支持的云:

  • 阿里云

1、ECS 查询阿里云各地区的ecs实例的详情信息,指定实例可执行系统命令。

2、RDS 查询阿里云所有rds详情信息,以及IP白名单限制信息。

3、OSS 查询所有bucket存储桶信息,可指定bucket以及bucket的文件夹。

  • 腾讯云

1、CVM 查询腾讯云各地区的cvm实例的详情信息,指定实例可执行系统命令。

2、COS 查询所有bucket存储桶信息,可指定bucket以及bucket的文件夹。

todolist:

  • AWS
  • 华为云
  • 七牛云
  • .......

优点:
1、适用于多云平台使用,在不登录云平台的情况下自动化运维云产品。

2、简单易用,快速上手,可配置socks5代理,可自定义资源扫描区域。

3、采用多线程+消息队列,下载速度更快。

二、工具下载

git clone https://github.com/kohlersbtuh15/accesskey_tools.git

三、安装依赖

cd aliyun/tencentcloud #进入相应的云服务平台
pip3 install -r requirements.txt

accesskey_tools:一款针对云环境的多功能利用脚本工具_软件测试

四、配置config

Config中对AccessKeyID和AccessKeySecret进行配置访问凭证。

SOCKS5_PROXY_HOST和SOCKS5_PROXY_PORT可设置socks5代理。

RegionIds用于自定义扫描的地区。

accesskey_tools:一款针对云环境的多功能利用脚本工具_软件测试_02

默认不开启代理,如需使用,配置完config之后,在各个功能代码中取消如下注释。

accesskey_tools:一款针对云环境的多功能利用脚本工具_网络安全_03

五、快速上手

1、ECS执行命令

配置好config.py之后运行脚本。

会先对各地区进行扫描机器实例,然后输出实例信息。

accesskey_tools:一款针对云环境的多功能利用脚本工具_python_04

输入InstanceId,指定命令类型0:SHELL即为linux shell命令 ;1:POWERSHELL即为Windows Powershell命令。

accesskey_tools:一款针对云环境的多功能利用脚本工具_网络安全_05

2、COS下载文件

运行脚本会先列出当前accesskey下的所有bucket。

accesskey_tools:一款针对云环境的多功能利用脚本工具_python_06

all模式下载所有bucket的文件。

accesskey_tools:一款针对云环境的多功能利用脚本工具_云计算_07

指定bucketname会下载对应bucket中的文件,在当前目录按照bucket名字进行生成文件夹。

accesskey_tools:一款针对云环境的多功能利用脚本工具_软件测试_08

3、RDS查询实例信息和IP白名单

显示实例id,数据库类型版本,IP白名单等信息。

accesskey_tools:一款针对云环境的多功能利用脚本工具_网络安全_09

六、后续更新

后续会更新其他云平台的accesskey自动运维工具,以及扩充其他功能,敬请期待。有其他关于功能上的建议也可以在github提交issus。

举报

相关推荐

0 条评论