配置文件中获取到 qcloud 腾讯云access key 
于是想到了云主机泄露Access Key的利用 接管云端主机
手工篇
首先用行云管家导入云主机,网站地址:https://yun.cloudbility.com/
步骤:选择阿里云主机 -> 导入key id跟key secret -> 选择主机 -> 导入即可(名字随便输)
导入成功后在主机管理看得到
点进来查看详情,这里可以重置操作系统密码,但作为渗透,千万千万千万不要点这个,不能做不可逆操作。我们用这个只是为了得到两个数据,就是实例ID以及所属网络,拿到就可以走人了。往下看
这里我们打开阿里API管理器,这个是阿里提供给运维开发人员使用的一个工具,https://api.aliyun.com/#/?product=Ecs,点击左边的搜素框输入command,我们会用到CreateCommand跟InvokeCommand,CreateCommand是创建命令,InvokeCommand是调用命令。继续往下看
工具分享
链接:https://pan.baidu.com/s/1dmwn_yABORGPPK-K3ilfYw
提取码:1u6b
浙公网安备 33010602011771号