-
Notifications
You must be signed in to change notification settings - Fork 12
Home
404tk edited this page May 7, 2026
·
9 revisions
CloudToolKit(简称 ctk)是一款面向授权环境的多云防御验证工具包,用于在自有云账号、实验室、POC 或明确授权的客户环境中验证身份、资源、审计与调查链路,帮助防御方评估 CSPM、CNAPP 以及相关云检测与调查平台的覆盖范围、遥测质量与调查能力。
工具提供两种使用形态:
- 交互式 REPL:按全局 / provider / demo replay 三层上下文组织验证流程,配合 AccessKey 会话缓存做完整流程演练
- 无人值守 CLI(headless):单条命令完成"枚举 / 创删账户 / 列桶 / 下发命令 / 角色绑定 / 凭据轮换"等动作,便于编排到 CI、验证脚本、Runbook 中
⚠️ 责任使用:本工具仅用于自有环境、实验室环境或已获显式授权的客户测试环境。不得用于任何未获授权的第三方环境。
下载对应平台的 最新版本。
git clone https://github.com/404tk/cloudtoolkit.git
cd cloudtoolkit/
go build --ldflags "-s -w" -trimpath -o ctk cmd/main.go
阿里云(alibaba)、AWS、腾讯云(tencent)、华为云(huawei)、Azure、火山引擎(volcengine)、京东云(jdcloud)、GCP、UCloud(ucloud),共 9 家。
-
use <provider>— 进入某个云厂商会话 -
sessions— 会话管理 -
demo— 演示回放模式(provider 会话内,用确定性 fixture 无凭据跑通流程) -
help [topic]— 按当前所在模式输出上下文帮助 -
show payloads— 列出当前可用的验证 payload
无 REPL 直接出结果时使用 无人值守模式,例:ctk tencent ls host -P lab-tencent --json。
| Payload | 说明 | 当前支持的厂商 |
|---|---|---|
cloudlist |
云资源枚举 — 验证 CSPM/CNAPP 清单覆盖度 | 全部 9 家(覆盖资源类别因厂商而异) |
iam-user-check |
IAM 用户验证 — 验证身份遥测与持久化检测 | 全部 9 家 |
bucket-check |
存储桶导出 — 验证存储可见性与调查能力 | 8 家(除 Azure,Blob 数据面枚举未启用) |
event-check |
告警事件导出 — 验证告警上下文与调查链路 | 全部 9 家 |
instance-cmd-check |
云主机命令执行 — 验证命令执行遥测与调查关联 | 8 家(除 UCloud) |
rds-account-check |
云数据库创建账户 — 验证数据库访问控制可见性 | 全部 9 家 |
role-binding-check |
角色绑定验证 — 验证权限变更检测 | 全部 9 家 |
bucket-acl-check |
存储桶ACL验证 — 验证存储暴露面识别 | 全部 9 家 |
iam-credential-check |
IAM 凭据验证 — 验证长期凭据生命周期检测 | 全部 9 家 |
每个验证载荷(payload)详细页都有:场景定位、支持范围、用法示例、预期遥测、demo 回放支持情况。能力声明保持保守 — 只有 driver、replay 路径、httptest 都齐备的验证载荷才会出现在矩阵里。