close

關於s3sec

s3sec 是一款專門針對 AWS S3 實例的安全檢測工具,在該工具的幫助下,廣大研究人員可以輕鬆檢測目標AWS S3 Buckets的讀取、寫入和刪除權限。

該工具的主要目標是為了快速測試S3 Buckets列表中實例的安全性,從而在漏洞獎勵計劃中給廣大滲透測試人員提供輔助。

工具安裝

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/0xmoot/s3sec

工具使用

檢查單個S3實例:

echo "test-instance.s3.amazonaws.com" | python3 s3sec.py

或者:

echo "test-instance" | python3 s3sec.py

檢查S3實例列表(多個實例):

cat locations | python3 s3sec.py

配置AWSCLI& 憑證

如需使用該工具的完整功能,我們還要安裝AWS CLI,並配置用戶證書。

安裝好AWS CLI之後,我們將能夠使用s3sec所提供的一系列更加高級的測試功能,其中包括未簽名的讀取、寫入文件和刪除文件。

在KaliLinux上安裝AWSCLI

我們可以直接使用下列命令來安裝AWS CLI:

pip3 install awscli

獲取AWS憑證(訪問密鑰ID和AWS秘密訪問密鑰)

1、在亞馬遜的AWS官方網站上註冊:【傳送門】;

2、登錄你的AWS賬號,並點擊「My Security Credentials」(我的安全憑證);

3、點擊「Access Keys」(訪問密鑰),獲取AWS CLI所需的登錄憑證,即訪問密鑰ID和秘密訪問密鑰;

4、接下來,點擊「Show Access Key」選項來獲取你的訪問密鑰ID和秘密訪問密鑰,或者也可以直接將它們下載下來。

在KaliLinux上配置AWSCLI

首先,打開一個終端窗口,然後輸入下列命令:

aws configure
接下來,輸入你在剛才所獲取到的AWS訪問密鑰ID和AWS秘密訪問密鑰,數據格式如下所示:
AWS Access Key Id: <<Your Key>>AWS Secret Access Key: <<Your Secret Access Key>>Default region name: ap-south-1Default output format: json

工具運行截圖

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

項目地址

https://github.com/0xmoot/s3sec

參考資料

https://aws.amazon.com/free/?all-free-tier.sort-by=item.additionalFields.SortRank&all-free-tier.sort-order=asc



精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()