CF 云环境利用框架使用手册




GitHub stars GitHub releases License Downloads Go Report Card tweet Twitter Github


CF 是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。

CF 下载地址:github.com/teamssix/cf/releases (opens new window)


当前已支持的云:

  • 阿里云
  • 腾讯云
  • AWS(预计在 2022 年 10 月 14 日前支持)
  • 华为云(预计在 2022 年 12 月 14 日前支持)

功能排期可参考:github.com/teamssix/cf/discussions/130 (opens new window)

# 使用案例

标题 所使用的 CF 版本 文章地址 发布时间
《记录一次平平无奇的云上攻防过程》 v0.4.0 https://zone.huoxian.cn/d/2557 (opens new window) 2022.9.14
《我用 CF 打穿了他的云上内网》 v0.2.4 https://zone.huoxian.cn/d/1341-cf (opens new window) 2022.7.13

# 简单上手

这里以阿里云为例,其他更多操作可以查看上面的使用手册。

配置访问配置

cf config
1

一键列出当前访问凭证的权限

cf alibaba perm
1

一键接管控制台

cf alibaba console
1

一键列出当前访问凭证的云服务资源

cf alibaba ls
1

查看 CF 为实例执行命令的操作的帮助信息

cf alibaba ecs exec -h
1

一键为所有实例执行三要素,方便 HVV

cf alibaba ecs exec -b
1

一键获取实例中的临时访问凭证数据

cf alibaba ecs exec -m
1

一键下载 OSS 对象存储数据

cf alibaba oss obj get
1

一键升级 CF 版本

cf upgrade
1

如果感觉还不错的话,师傅记得给个 Star 呀 ~

# 贡献者

十分感谢各位师傅对 CF 的贡献~,如果你也想对 CF 贡献代码,请参见贡献说明:CONTRIBUTING (opens new window)

TeamsSix
TeamsSix
Amzza0x00
Amzza0x00
Esonhugh
Esonhugh
Dawnnnnnn
Dawnnnnnn
Belos-pretender
Belos-pretender

# 404星链计划

CF 现已加入 404星链计划 (opens new window)

# 云安全交流群

关于文库中,有云安全交流群的添加方式,在这里可以一起交流 CF 的使用和问题的反馈。

# 注意事项

  • 本工具仅用于合法合规用途,严禁用于违法违规用途。
  • 本工具中所涉及的风险点均属于租户责任,与云厂商无关。