CeevitWonder/aws-red-team-playbook

# 🚀 AWS Red Team 与渗透测试手册 2026 [](https://opensource.org/licenses/MIT) [](https://aws.amazon.com/security/) [](https://www.python.org/) [](https://www.gnu.org/software/bash/) ## 🎯 概述 大多数 AWS 渗透测试清单都已过时、充满风险或缺乏自动化。本仓库弥合了**合规审计**（Prowler/ScoutSuite）与**真正的 Red Team 对手模拟**之间的差距。 它提供了一套完整的、分阶段的方法论——从前置法律准备到痕迹清理——并由**可直接部署的 Bash 和 Python 自动化脚本**作为支撑。 ## 🛡️ 安全第一：零破坏性测试 与那些建议直接运行 `aws iam create-access-key` 或启动 EC2 实例的业余仓库不同，本手册强制执行**精英级别的操作安全规范**： * ✅ 所有 EC2/API 变更操作强制使用 **`DryRun=True`**。 * ✅ 使用 **`iam:SimulatePrincipalPolicy`** 进行无副作用的权限安全检查。 * ✅ **凭证处理最佳实践**，防止在日志中发生意外泄露。 ## 🗺️ 攻击生命周期（阶段 0-9） | 阶段 | 名称 | 描述 | | :--- | :--- | :--- | | **0** | **前置准备** | 法律 RoE、范围界定、AWS 策略合规性。 | | **1** | **环境配置** | 自动化工具安装（Pacu、Prowler、CloudFox）。 | | **2** | **侦察** | 外部 OSINT 与内部资产枚举。 | | **3** | **IAM 枚举** | 自动化权限发现与 Principal Mapper。 | | **4** | **服务测试** | 深入探索 S3、EC2、Lambda、RDS、EKS、ECS。 | | **5** | **权限提升** | 经典与现代提权路径（pathfinding.cloud、OIDC）。 | | **6** | **漏洞利用** | 受控 PoC 执行与 IMDS/SSRF 测试。 | | **7** | **后渗透** | 横向移动、跨账户（RAM）跳板攻击。 | | **8** | **报告** | MITRE ATT&CK 映射与高管摘要。 | | **9** | **痕迹清理** | 证据保全（SHA256）与制品移除。 | ## 🔥 涵盖的现代攻击向量 别再用 2018 年的方法做测试了。本手册包含前沿的攻击面： * 🧠 **现代 IAM 提权：** `pathfinding.cloud` 方法论（CodeBuild、Glue、SageMaker）。 * 📦 **容器与编排：** EKS IRSA 滥用、ECS Task Metadata 窃取、IMDSv1 检查。 * 🔗 **CI/CD 与供应链：** GitHub Actions OIDC 通配符 `sub` 声明滥用、Terraform `.tfstate` 污染。 * 🕵️ **检测与规避：** 使用 **Stratus Red Team** 测试 GuardDuty 和 CloudTrail 的可见性。 * 🌐 **跨账户跳板：** AWS RAM (Resource Access Manager) 边界绕过。 * 🧩 **逻辑绕过：** S3 `aws:Referer` 欺骗、`StringNotEquals` 未授权绕过、KMS Grant 滥用。 ## 🛠️ 自动化工具栈 * **枚举：** `CloudFox`、`enumerate-iam`、`Prowler`、`ScoutSuite` * **漏洞利用：** `Pacu` (RhinoSecurityLabs) * **提权映射：** `Principal Mapper (pmapper)` * **遥测测试：** `Stratus Red Team` (Datadog) ## 📊 MITRE ATT&CK Cloud 矩阵映射 测试结果直接映射到企业威胁模型： | 攻击向量 | 技术 ID | 技术名称 | | :--- | :--- | :--- | | **IMDS / ECS Metadata 窃取** | `T1552.005` | 来自云实例 Metadata API 的凭证 | | **IAM 权限提升** | `T1098.001` | 额外的云凭证 | | **GitHub OIDC 滥用** | `T1550.001` | 应用程序访问令牌 | | **Terraform State 污染** | `T1546.010` | 添加/修改云账户 | | **禁用 CloudTrail** | `T1562.001` | 禁用或修改云日志记录 | ## ⚡ 快速入门指南 ``` # 1. Clone the repository git clone https://github.com/CeevitWonder/aws-red-team-playbook.git cd aws-red-team-playbook # 2. 运行 master setup script（安全安装所有工具） chmod +x scripts/master_setup.sh ./scripts/master_setup.sh # 3. 配置你的 AWS Profile aws configure --profile pentest # 4. 执行完整的自动化评估 chmod +x scripts/execute_pentest.sh ./scripts/execute_pentest.sh pentest target.com ## ⚠️ Legal & Disclaimer **THIS TOOLKIT IS FOR EDUCATIONAL AND AUTHORIZED TESTING PURPOSES ONLY.** - You **must** have explicit, written permission (Rules of Engagement) from the AWS account owner before running any scripts. - The authors are **not responsible** for any misuse, billing spikes, or legal consequences resulting from unauthorized testing. - Always use `DryRun=True` and test in non-production environments first. ``` ## 👤 关于作者

🔗 LinkedIn • 📧 电子邮件 • 🌐 实时网站

_{© 2026 Ceevit Wonder。采用 MIT License 授权。用 ☕ 和对云安全卓越的不懈追求构建。}

标签：AWS, DPI, Python, StruQ, Web报告查看器, 协议分析, 应用安全, 数字取证, 数据泄露, 无后门, 权限提升, 自动化脚本, 足迹分析, 逆向工具