攻防对战_执行

执行

通过控制台登录实例执行

攻击者在初始访问阶段获取到平台登录凭据后，可以利用平台凭据登录云平台，并直接使用云平台提供的Web控制台登录云服务器实例，在成功登录实例后，攻击者可以在实例内部执行命令。

写入userdata执行

Userdata是云服务器为用户提供的一项自定义数据服务，在创建云服务器时，用户可以通过指定自定义数据，进行配置实例。当云服务器启动时，自定义数据将以文本的方式传递到云服务器中，并执行该文本。

通过这一功能，攻击者可以修改实例userdata并向其中写入待执行的命令，这些代码将会在实例每次启动时自动执行。攻击者可以通过重启云服务器实例的方式，加载userdata中命令并执行。

利用后门文件执行

攻击者在云服务器实例中部署后门文件的方式有多种，例如通过Web应用漏洞向云服务器实例上传后门文件、或是通过供应链攻击的方式诱使目标使用存在后门的恶意镜像，当后门文件部署成功后，攻击者可以利用这些后门文件在云服务器实例上执行命令

利用应用程序执行

云服务器实例上部署的应用程序，可能会直接或者间接的提供命令执行功能，例如一些服务器管理类应用程序将直接提供在云服务器上执行命令的功能，而另一些应用，例如数据库服务，可以利用一些组件进行命令执行。当这些程序存在配置错误时，攻击者可以直接利用这些应用程序在云服务器实例上执行命令

利用SSH服务进入实例执行

云服务器Linux实例上往往运行着SSH服务，当攻击者在初始访问阶段成功获取到有效的登录凭据后，即可通过SSH登录云服务器实例并进行命令执行。

利用远程代码执行漏洞执行

当云服务器上部署的应用程序存在远程代码执行漏洞时，攻击者将利用此脆弱的应用程序并通过编写相应的EXP来进行远程命令执行。

使用云API执行

攻击者利用初始访问阶段获取到的拥有操作云服务器权限的凭据，通过向云平台API接口发送 HTTP/HTTPS 请求，以实现与云服务器实例的交互操作。

云服务器实例提供了丰富的API接口以共用户使用，攻击者可以通过使用这些API接口并构造相应的参数，以此执行对应的操作指令，例如重启实例、修改实例账号密码、删除实例等。

使用云厂商工具执行

除了使用云API接口完成云服务器命令执行之外，还可以选择使用云平台提供的可视化或命令行工具进行操作。在配置完成云服务器实例信息以及凭据后，攻击者即可使用这类工具进行服务器实例的管理以及执行相应命令。

持久化

利用远程控制软件

为了方便管理云服务器实例，管理员有可能在实例中安装有远程控制软件，这种情况在windows实例中居多。攻击者可以在服务器中搜索此类远程控制软件，并获取连接凭据，进行持久化。攻击者也可以在实例中安装远控软件以达成持久化的目的。

在userdata中添加后门

正如“执行”阶段所介绍，攻击者可以利用云服务器提供的userdata服务进行持久化操作，攻击者可以通过调用云API接口的方式在userdata中写入后门代码，每当服务器重启时，后门代码将会自动执行，从而实现了隐蔽的持久化操作目的

在云函数中添加后门

云函数是是一种计算服务，可以为企业和开发者们提供的无服务器执行环境。用户只需使用平台支持的语言编写核心代码并设置代码运行的条件，即可弹性、安全地运行代码，由平台完成服务器和操作系统维护、容量配置和自动扩展、代码监控和日志记录等工作。

以AWS Lambda为例，用户可以创建一个IAM角色并赋予其相应的权限并在创建函数时提供该角色作为此函数的执行角色，当函数被调用时，Lambda 代入该角色，如果函数绑定的角色权限过高，攻击者可以在其中插入后门代码，例如在调用该函数后创建一个新用户，以此进行持久化操作。

在自定义镜像库中导入后门镜像

在攻击者获取云服务器控制台权限后，可以对用户自定义镜像仓库中的镜像进行导入、删除等操作，攻击者可以将其构造的存在后门的镜像上传至用户镜像仓库。此外，为了提高攻击成功率，攻击者还可以使用后门镜像替换用户镜像仓库中原有镜像。当用户使用后门镜像进行实例创建时，即可触发恶意代码以完成持久化操作