n40y/cloudexec

GitHub: n40y/cloudexec

cloudexec 是一款基于 Go 的高性能多云安全与审计框架,通过并发密钥扫描、实时凭证验证和后身份验证枚举帮助安全团队快速发现云环境中的泄露凭证与攻击路径。

Stars: 0 | Forks: 0

# cloudexec [![Go 版本](https://img.shields.io/github/go-mod/go-version/n40y/cloudexec)](https://go.dev/) [![许可证](https://img.shields.io/badge/license-MIT-blue.svg)](LICENSE) `cloudexec` 是一个使用 Go 编写的快速、并发、多云安全扫描器和攻击性审计框架。专为云安全工程师和渗透测试专家设计,它结合了自动化的 OSINT、基于特征的模板扫描,以及带有自动化实时 pivot 和后身份验证枚举功能的多线程密钥查找器。 ## 法律免责声明 ## 主要功能 * **⚡ 高性能密钥扫描器**:多线程工作池,用于在本地目录中搜寻泄露的凭证(AWS、GCP、Slack 等)。 * **🔄 自动化 Pivot 模式**:在文件系统扫描期间,实时针对活动的云提供商 API 验证发现的密钥,而不会阻塞 pipeline。 * **🕵️ 后身份验证枚举**:在确认有效凭证的那一刻,自动梳理出可访问的服务、权限和攻击路径。 * **🛠️ 基于 YAML 模板的核心**:使用模块化 YAML 特征的解耦引擎逻辑,实现灵活的多云检查。 * **☁️ 多云支持**: * **AWS**:STS 身份验证(`GetCallerIdentity`)和 S3 暴露审计。 * **Azure**:域名 OSINT、Tenant ID 枚举、破窗账户识别以及 blob 存储映射。 * **GCP**:Google Workspace 公共基础设施发现和 API Key 验证(`Identity Toolkit`)。 ## 📺 演示

Cloudexec Preview

## 🛠️ 自定义模板 (Playbooks) `cloudexec` 使用模块化的 YAML 模板引擎。你可以通过将自己的模板添加到提供商子目录(例如 `templates/gcp/`、`templates/aws/`)中,轻松扩展扫描器的功能。 ### 模板结构 每个模板都必须遵循以下结构: ``` id: custom-gcp-check engine: gcp # Target engine: aws, azure, gcp, cloudflare, recon action: gcp:ApiKeyCheck # The internal method to execute info: name: "Custom API Key Validation Workflow" description: "Triggers a validation request and maps downstream permissions." severity: "high" ``` ## 安装 确保你已安装 [Go](https://go.dev/doc/install)(推荐版本 1.20+)。 ``` # Clone repository git clone [https://github.com/n40y/cloudexec.git](https://github.com/n40y/cloudexec.git) cd cloudexec # Build binary go build ``` ## 🚀 使用指南 ### 1. 全局密钥扫描器(带自动 Pivot) 扫描目录以查找泄露的凭证,自动拦截它们,并实时针对云提供商 API 进行验证。 ``` # Basic scan ./cloudexec secrets --path . # Scan with auto-pivot validation and JSON export ./cloudexec secrets --path /path/to/project -p -o report.json ``` ### 3. AWS 审计引擎 执行特定于 AWS 的模板(通过 **STS** 进行身份验证、S3 bucket 枚举)。它会自动使用你的 **config.yaml** 或标准本地 AWS 环境变量中配置的凭证。 ``` ./cloudexec aws ``` ### 3. Azure OSINT 和枚举引擎 使用目标域名对 Microsoft 365 / Azure 租户执行被动和主动侦察。提取 Tenant ID、身份验证机制、身份提供商详细信息,并列出潜在的破窗账户。 ``` ./cloudexec azure -d targetcompany.com ``` ### 4. GCP 审计引擎 验证 Google Cloud API 密钥,并检查域名是否映射到公共的 Google Workspace 基础设施。 ``` # Check both Workspace infrastructure and a specific API Key ./cloudexec gcp -d targetcompany.com --apikey AIzaSy... # Check an isolated API key only ./cloudexec gcp --apikey AIzaSy... ``` ### 5. 通用侦察引擎 触发被动的多云发现模板,包括历史 DNS 查找、通过 **crt.sh** 查询证书透明度日志,以及跨提供商的存储 bucket 检测。 ``` ./cloudexec recon -d targetcompany.com ``` ### 🥷 绕过与规避选项 由于这些标志是全局注册的,你可以将它们附加到上述任何命令中(如 **recon**、**gcp**、**azure** 等)以绕过网络保护: * DNS Pinning / Cloudflare 绕过 (`--ip`):强制 HTTP 客户端直接连接到特定的后端 IP 地址,绕过公共 DNS 解析和 Cloudflare 缓存/WAF 层。 * 防 WAF 头部欺骗 (`--anti-waf`):轮换标准的浏览器 User-Agent 并注入源欺骗头部(`X-Forwarded-For`、`X-Real-IP`),以躲避简单的反机器人机制。 ``` # Example: Running reconnaissance by hitting the origin server IP directly with anti-WAF headers ./cloudexec recon -d targetcompany.com --ip 185.190.140.23 --anti-waf ``` ## 📁 项目结构 | 路径 | 描述 | | :--- | :--- | | **`cmd/`** | 包含 Cobra CLI 命令定义(`aws`、`azure`、`gcp`、`recon`、`secrets`)。 | | **`pkg/bypass/`** | 规避和绕过网络保护。 | | **`pkg/engines/`** | 用于云提供商验证和后身份验证枚举的核心执行逻辑。 | | **`pkg/templates/`** | YAML 模板解析和特征匹配引擎。 | | **`pkg/utils/`** | 线程安全的日志工具和控制台格式化。 | | **`templates/`** | 即用型安全 playbook 和检测特征(.yaml)。 | | **`main.go`** | 应用程序入口点。 | ## 配置 对于需要身份验证的模块,你可以在根目录下维护一个本地的 config.yaml 文件。 ``` [!WARNING] Never commit your config.yaml to a public repository. Ensure it is included in your .gitignore. ``` ``` aws: access_key: "AKIA..." secret_key: "..." region: "eu-west-3" ``` ## 许可证 在 MIT 许可证下分发。更多信息请参见 LICENSE。 ## 🔍 关键词 `cloud-automation` `security-orchestration` `devsecops` `cloud-native` `infrastructure-as-code` `iam-governance` `go` `security-automation` `cloud-ops` `api-security`
标签:DevSecOps, EVTX分析, Go, Ruby工具, StruQ, 上游代理, 云计算, 凭证扫描, 日志审计, 规则引擎, 足迹分析