Sådan søger du efter Open Amazon s3 Skovle og deres indhold - https://buckets.grayhatwarfare.com

Introduktion

TLTR - Dette er historien om, hvorfor jeg oprettede https://buckets.grayhatwarfare.com/, et gratis værktøj, der viser åbne s3-spande og hjælper dig med at søge efter interessante filer.

For en introduktion til hvad Amazon åbner spande er, kan du læse dette https://blog.rapid7.com/2013/03/27/open-s3-buckets/. I det væsentlige er mange filer offentligt tilgængelige, nogle efter design, nogle ved inkompetence af administratorerne. Disse filer inkluderer undertiden meget følsomme data. https://github.com/nagwww/s3-leaks har en liste over de største lækager, der er registreret.

Siden dette blev udsat, er der oprettet mange projekter, der kan opregne s3 spande:

  • https://github.com/jordanpotti/AWSBucketDump - tager et argument en ordliste og kan kontrollere, om spande med dette navn findes. Det kan også downloade filerne fra den første resultatside.
  • https://buckhacker.com/ - Den originale buckhacker, som jeg personligt bliver informeret om ham. thebuckethacker nedenfor er en copycat. Medium buckethacker og twitter buckethacker er den rigtige reelle, nedenfor er copycat.
  • https://www.thebuckhacker.com/ - Søgemaskine til nogle spande. Det inkluderer (ifølge deres indlæg) ~ 100 000 spande, og de indekserer den første side af hver - kopi af buckhacker.com
  • https://github.com/sa7mon/S3Scanner -
  • https://github.com/kromtech/s3-inspector - Bruger amazon-taster til at kontrollere, om nogle af dine spande er åbne.

Alle disse værktøjer / projekter har nogle fælles problemer:

  • Det virkelige problem (i det mindste for mig) er, hvor man kan finde listen til bruteforce til spande, ikke rent faktisk udføre bruteforce.
  • Alle værktøjer / projekter scanner kun den første side for resultater.
  • thebuckhacker.com inkluderer uinteressante filer, og nyttige resultater har en tendens til at gå tabt i støjen. Også de første 1000 resultater af hver spand er ret begrænset.
  • Processen er langsom og ikke produktiv. Det er ikke særlig nyttigt for pentestere at køre et værktøj til at køre i dage, gemme eksporten et eller andet sted og derefter grep dem, når de vil søge efter noget. Hvad der er bedre, er et nyttigt værktøj foran en stor database.

buckets.grayhatwarfare.com

Og ligesom det har jeg oprettet http://buckets.grayhatwarfare.com/. Jeg tog ideer fra værktøjerne / projekterne ovenfor, men jeg har oftest omskrevet dem selv og kørt dem på min infrastruktur. Projektets funktioner er:

  • Det er en søgbar database med åbne spande.
  • Jeg har inkluderet op til millioner resultater af hver spand. (I fremtiden kan det være mere).
  • Jeg fjernede alle uinteressante (efter min mening) filer som billeder. De fleste billednavne genereres automatisk.
  • Jeg har i øjeblikket ~ 180.000.000 filer. I inkluderede alle billeder, som antallet ville gå op til et par milliarder, hvilket er et helt andet system.
  • Fra i dag er 70.000 spande opført (ikke alle har "interessante" filer)
  • Fuldtekstsøgning med binær logik (kan søge efter nøgleord og også stopwords)
  • Jeg inkluderer listen med spande.
  • Brugeren kan gennemse indholdet af spanden.
  • Ekskluderede en masse andre ting, der ikke er interessante som cloudwatch-logfiler.
  • Fundet en løsning på problemet med, hvordan man genererer mulige navne på spande. Min proces afslører nogle hundreder af nye spande pr. Dag.
  • Jeg har for det meste automatiseret processen.

Hvorfor oprette dette?

Selvom jeg betragter mig selv som softwareingeniør, var jeg altid fascineret af sikkerhed. Jeg har ved mange lejligheder oprettet flere værktøjer, der massescanner efter sårbarheder, bare for at se, om det er muligt. Selvom jeg oprettede værktøjerne, offentliggjorde jeg aldrig noget, det føltes altid som om jeg spilder min tid. grayhatwarfare.com er mit forsøg på at præsentere noget af mit arbejde, selvom det er anonymt.

Projektet er i øjeblikket gratis og kører på servere, der er betalt af mig. Der er nogle begrænsninger på plads til at beskytte ressourcer, men ellers kan pentestere bruge dette til deres daglige opgaver.

Hvad der kommer i Grayhatwarfare.com

Masser af seje ting, hvis jeg har tid:

  • Underdomæner, der peger på udløbne spande, der kan føre til noget lignende: https://www.reddit.com/r/netsec/comments/8t0pb2/how_i_hacked_applecom/
  • Kæmpe lister med eksponeret versionskontrol (.git), der kan afsløre webstedets depot (Kilde, adgangskodefiler, logfiler osv.).
  • Eksponerede kameraer / IOT-enheder.
  • Kæmpe ressourcer som ekstremt store (faktiske) revne adgangskodelister.