云服务Bucket爆破

最新推荐文章于 2024-07-07 20:40:38 发布
最新推荐文章于 2024-07-07 20:40:38 发布
阅读量449 收藏
点赞数 2
分类专栏: 笔记 云安全 漏洞复现 文章标签: 网络安全 网络 安全 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45322343/article/details/133361037
版权
笔记 同时被 3 个专栏收录
12 篇文章 1 订阅
订阅专栏
漏洞复现
2 篇文章 1 订阅
订阅专栏
云安全
1 篇文章 1 订阅
订阅专栏

发现自己对云安全没有太多的了解,想学学云安全,然后自己就试着去学点。

Bucket爆破是什么

Bucket爆破是指利用自动化工具或脚本来尝试猜测或暴力破解云存储服务(如AWS S3、Google Cloud Storage、Azure Blob Storage等)中的存储桶(Bucket)的访问权限。通过尝试不同的Bucket名称、默认的Bucket命名规则、公开的Bucket列表等方式,攻击者试图找到不正确配置或无需身份验证即可访问的存储桶,并获取其中的敏感信息或进行未授权的操作。

准备环境

在这里插入图片描述
在这里插入图片描述

访问地址

这里访问错误地址发现提示NoSuchBucker或提示InvalidBucketName
在这里插入图片描述

在这里插入图片描述
如果访问正确路径会提示AccessDenied或者是列出文件

在这里插入图片描述

在这里插入图片描述这样我们就可以通过页面的返回内容不同,进行 Bucket 名称爆破。爆出来之后Key也就知道了

在这里插入图片描述
在这里插入图片描述
根据正确key的页面和错误key的页面返回内容爆破即可!

emptybottle.
关注
专栏目录
阿里云 OSS对象存储攻防
墨痕诉清风的博客
05-07 556
当策略可写的时候,除了上面的将可原本不可访问的数据设置为可访问从而获得敏感数据外,如果目标网站引用了某个 s3 上的资源文件,而且我们可以对该策略进行读写的话,也可以将原本可访问的资源权限设置为不可访问,这样就会导致网站瘫痪了。假设有以下一种情况,管理员通过域名解析并绑定了一个存储,但是管理员将存储删除后,没有将域名解析的CNAME删除,这时会访问域名就会出现上面的情况,如果在配置存储时,管理员错误的将存储权限,配置为可写,这将会导致攻击者可上传任意文件到存储中,或覆盖已经存在的文件。
bitbucket使用文档
02-18
### Bitbucket使用指南 #### 一、Bitbucket简介与账号获取 Bitbucket 是一款由 Atlassian 开发并维护的代码托管平台,它支持 Git 仓库,并且提供了多种强大的功能,如分支管理、合并请求、问题追踪等。对于团队...
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 2800
阿里云OSS对象存储Bucket 劫持漏洞复现
腾讯云COS对象存储攻防
mingyqf的博客
06-01 791
原文链接:https://zone.huoxian.cn/u/39891 侵删9 3月其实华为云和其他云的攻防利用方式大同小异,师傅们可以对照着前几篇云安全对象存储攻防文章享用 阿里云 https://zone.huoxian.cn/d/918-oss 腾讯云 https://zone.huoxian.cn/d/949-cos 谷歌云 https://zone.huoxian.cn/d/931 微软云 https://zone.huoxian.cn/d/940 AWS https://zone.huoxia
谷歌云 对象存储攻防
mingyqf的博客
06-02 738
原文链接:https://zone.huoxian.cn/d/931 侵删1 3月已编辑本文主要介绍谷歌云对象存储攻防的方式 当创建的存储配置了allUsers拥有GCS对象的读取权限时,该存储可以被任何用户公开访问 当不存在时访问会提示NoSuchBucket 当存在时会出在下面情况,公开访问和拒绝访问 当对allUsers配置了Storage Object Viewer 或者Storage Legacy Bucket Reader权限时就会将存储内容遍历出来并且可以读文件内容 当存储配置了a
云上攻防-云服务篇&对象存储&Bucket&任意上传&域名接管&AccessKey泄漏
今天是几号的博客
10-11 2907
云服务,顾名思义就是云上服务,在云厂商上购买的产品服务。国内有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM云等。各个云厂商对云服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机。
Minio入门系列【10】Minio之权限控制策略
热门推荐
记录知识、锤炼自我
10-20 3万+
前言 本段文章来源于华为云OBS,因为都是S3标准的对象存储,所以很多概念和Minio是相通的。 为什么要进行访问权限控制(华为OBS) 为保证存储在SSO中数据的安全性,SSO资源(和对象)默认为私有,只有资源拥有者可以访问。 如果要允许他人访问和使用自己的SSO资源,可以设置访问权限控制策略,向他人授予指定资源的特定权限。 访问权限控制的典型场景(华为OBS) OBS如何进行访问权限控制(华为云) OBS提供丰富灵活的访问权限控制手段,满足不同场景下的授权需求。 IAM用户权限控制 相对比阿
python实现bucket排序算法实例分析
09-22
Bucket排序(Bucket Sort)是一种分布式排序算法,它将待排序的数据分布到多个“”中,每个再分别进行排序,最后将所有中的数据合并,得到全局有序的结果。这种算法适用于数据范围较大的情况,例如当数据是...
Bucket排序 MPI
02-04
MPI bucket排序代码 用于mpi联系 熟悉bucket排序
hbase bucket cache
11-05
### HBase Bucket Cache:一种高效的缓存管理方案 #### 概述 HBase Bucket Cache 是一个针对 HBase 的块缓存实现,旨在解决 CMS(Concurrent Mark Sweep)垃圾收集器和堆内存碎片带来的性能问题,并提供更大的缓存...
scoop-bucket:个人scoop.sh存储
02-15
在命令行中运行 `scoop bucket add [bucket-name]`,将 `[bucket-name]` 替换为个人存储的GitHub用户名/仓库名,例如 `scoop bucket add my-bucket https://github.com/your-username/my-bucket.git`。 3. 列出...
浅析云服务oss/obs/cos对象存储安全攻防
道阻且长,行则将至。
01-21 2406
本文主要学习了云储存服务的基础使用,实践掌握了 Bucket 对象存储服务错误配置带来的的安全风险,并重点分析了云主机 AccessKeySecret 认证凭据泄露所带来的风险。
OSS存储漏洞总结
最新发布
RMC131的博客
07-07 2842
OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。OSS工作原理: 数据以对象(Object)的形式存储在OSS的存储空间(Bucket )中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
ora-00955: 名称已由现有对象使用_XSKY S3 Console 为对象存储系统赋能
weixin_39715652的博客
12-19 151
随着移动互联网、5G、人工智能等新技术的发展,非结构化信息的数据量越来越大。据Gartner预估,在快速增长的数据中,非结构化数据占比已达80%,企业现有架构已无法应对海量非结构化数据的管理与利用等需求。01XSKY在管理非结构化数据方面可以提供整体解决方案:利用XEOS对象存储提供非结构化数据的存储和管理功能,同时基于全新发布的软件(一款访问和管理对象存储服务的图形化Web应用程序),提供存储共...
爆破专栏丨SpringBoot2.x系列教程之实现文件上传到OSS阿里云存储
关注我!带你一路 "狂飙" 到底!
12-22 475
前言 在上一章节中,壹哥给大家讲解了如何在SpringBoot实现单个文件和多个文件上传,但是那种方式现在挺多项目中都不再采用了,而是会把文件上传到云存储服务器中,比如阿里云、腾讯云、华为云等。所以今天壹哥利用阿里云的OSS存储,讲解如何把本地文件存储到云存储服务器中,本文会教给你如何购买配置阿里云OSS,并且教你如何实现文件上传到云空间,干货满满哦。 一. 阿里云OSS简介 1. 存储服务简介 我们进行项目开发,很多时候都需要进行文件、图片等的上传,对于很多项目来说,虽然有FastDFS等文...
基于“BucketShock”漏洞的远程管理工具
weixin_47208161的博客
12-10 346
背景和启发难点和收益工具介绍被控端:服务端:Q&A工具的重要性项目github地址:背景和启发Lucian(中文名卢锡安)是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗...
实战阿里云OSS云攻防
技术超强的网络安全平台
05-24 3887
写在前面 现在,云服务器逐渐进入人们的视野,越来越受欢迎,由于云服务器易管理,操作性强,安全程度高,很多大型厂商都选择将资产部署在云服务上,但随之也出现了一些安全问题,接下来将介绍五个案例,由于以下的案例大多都是真实案例,所以打码会打得严重些。 案例演示 从任意文件上传到任意文件覆盖 遇到一个文件上传点 先上传一个图片,并抓包,成功上传于是乎想要更改文件的类型为html,但是上传后不解析,继续更改Content-Type的值为text/html,上传后成功弹窗。 包如下: POST / HTTP/1.1
阿里云OSS存储Bucket 劫持漏洞
weixin_50464560的博客
08-21 6958
找目标实战fofa指纹提供两个精准检索:body="NoSuchBucket" && body="BucketName" && body="aliyuncs.com"粗略检索:body="NoSuchBucket" && body="BucketName" 劫持利用环节随机挑选 访问xxx.com提示 NoSuchBucket 这里主要获取oversea-loan.oss-ap-southeast-5.ali
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8555
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Apache Bucket Brigade架构详解:数据管理与高效传输
Apache Bucket Brigade架构是一种高级的数据管理机制,适用于Apache 2.0的 Portable Runtime (APR) 库中。该设计由Cliff Woolley提出,旨在提供一个高效且方便的方式来处理和传递数据,特别是避免不必要的数据复制。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值