OSS存储桶密钥泄露【案例】

最新推荐文章于 2024-08-22 09:00:05 发布
最新推荐文章于 2024-08-22 09:00:05 发布
阅读量792 收藏 10
点赞数 9
文章标签: 渗透测试 存储桶 信息泄露 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/140376199
版权

OSS存储桶密钥泄露

同样的,在前几天的攻防演练中的经历,本文我们将为OSS存储桶单独做文章

公开配置文件泄露

录屏、截图缺失了。发现这个存储桶密钥是因为我在鹰图对一个能够控制生成类似容器的站点,抓包发现api是另一个子域的站点,于是我跟着过去了,然后对这个子域进行目录扫描,发现了/config文件,该文件可直接访问,并且直接存放着明文可阅读的阿里云OSS的accessKey和secretKey,直接用阿里提供的OSS browser连接了上去

在这里插入图片描述

权限分200分,一个桶10分,桶里没啥有价值的信息,含泪拿下330分

nacos后台泄露

总所周知的nacos有漏洞,随便进后台,进到目标nacos后台后,我发现了一堆yml

在这里插入图片描述

并且部分yml存放着七牛云、阿里云OSS的accessKey和secretKey,当然还有其它数据库的凭据,我们这里重点关注OSS.

通过云资产管理工具,我们就可以登录到七牛云

在这里插入图片描述

内网中在网站目录下发现的配置文件泄露

在内网服务器逛街时,我在网站目录下发现好几个形如application.json或类似命名的json文件,当我阅读它的时候我发现除了其它数据库凭据、微信支付api key、钉钉key外,发现了两个腾讯云和一个阿里云的accessKey和secretKey

在这里插入图片描述

结束

其实我在这次攻防遇到的这些存储桶信息泄露也没有太大的亮点,硬要说有什么亮点,那也只能说我比较细心(毕竟我把整个机器上的文件都翻了个遍,能不细心🐎)。这类信息泄露其实跟我们与其它常见的信息泄露方式没有多大差别。

Sugobet
关注
记一次文件上传引发的OSS_ACCESS_KEY泄露
千寻的博客
01-16 933
* 由于是教育系统,可以进行`任意用户注册`; * 由于在身份认证的模块,可以进行`文件上传`,`返回数据包`中泄露`OSS_ACCESS_KEY`; * 通过图形化管理工具`ossbrowser`,进行管理,进一步发现`信息泄露`.
文件系统FastDFS和阿里云OSS
m0_71012114的博客
10-20 3576
介绍类文件存储搭建、文件存储微服务、文件上传、对象存储、管理、注册、AcessKey管理。
一次OSS Accesskey泄露记录
weixin_59047731的博客
04-23 871
渗透千万条,安全第一条。操作不规范,亲人两行泪。
云上攻防&对象存储&Bucket&任意上传&域名接管&AccessKey泄漏
qq_46081990的博客
04-19 1045
对象存储是一种用于存储和管理大量非结构化数据的技术,也被称为云存储。它将数据以对象的形式进行存储,并为每个对象分配唯一的标识符。与传统的文件系统不同,对象存储不采用多层级的文件结构,而是采用一个称为"(Bucket)"的存储空间,其中包含大量扁平化的对象。对象存储的最大特点是对象名称即为一个域名地址,一旦对象被设置为公开访问,任何人都可以通过访问该地址获取对象。同时,对象存储提供了REST API的方式,使得对象的拥有者可以方便地访问和管理其中的对象。
【HW工具】Nacos漏洞综合利用工具v7.0,零基础入门到精通,收藏这一篇就够了
Javachichi的博客
08-10 1045
漏洞检测支持非常规路径的检查,比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/nacos , 只需在目标中填入Nacos的路径即可,指纹识别功能就会去扫描三个路径(" “、”/nacos" 、“/home/nacos”),识别了Nacos才会开启漏洞扫描。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
OSS存储漏洞总结
RMC131的博客
07-07 1727
OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。OSS工作原理: 数据以对象(Object)的形式存储OSS存储空间(Bucket )中。如果要使用OSS存储数据,您需要先创建Bucket,并指定Bucket的地域、访问权限、存储类型等属性。创建Bucket后,您可以将数据以Object的形式上传到Bucket,并指定Object的文件名(Key)作为其唯一标识。
某系统配置错误泄露百万数据-oss_oss敏感信息泄露(1),拥有百万粉丝的大牛讲述学网络安全的历程
2401_84264244的博客
04-11 771
对象存储OSS)中可以有多个(Bucket),然后把对象(Object)放在里,对象又包含了三个部分:Key、Data 和 Metadata。泄露大量内部文件、原声音频原件、付费音频、原声视频原件、原创图片,原创书籍电子版原件、身份证件、原创乐谱原件、招商方案等,数量级巨大。此公司把很多敏感信息放在共有的位置,可以访问敏感数,这还不是重点,由于业务配置错误,去访问这个公司的cdn服务器时,会把缓存的访问记录直接反馈到前端,直接路径拼接,可以访问文件。吐槽、大厂内推、面试辅导),让我们一起学习成长!
某系统配置错误泄露百万数据-oss
lanxia的博客
05-19 1495
百万数据放在oss公有,导致泄露
OSS AccessKey泄露引发的思考
10-29 2552
什么是OSS?对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性...
【学相伴】接入OSS后访问速度快了10倍
狂神说
06-19 4565
问题场景一个thymeleaf项目,上传图片、视频是直接使用Java代码保存到服务器上于是服务器压力激增,网页静态资源变得卡顿于是我们需要将图片、视频上传移植到阿里云OSS上阿里云对象存储...
谈AK管理之基础篇 - 如何进行访问密钥的全生命周期管理?
阿里云云栖号
03-15 1442
简介: 我们也常有听说例如AK被外部攻击者恶意获取,或者员工无心从github泄露案例,最终导致安全事故或生产事故的发生。AK的应用场景极为广泛,因此做好AK的管理和治理就尤为重要了。本文将通过两种AK使用不安全的典型案例,进行分析和介绍。 一、引言: 对于企业上云的典型场景,云账号管理员一般会给员工、应用程序或系统服务创建一个相应的用户账号。每个账号都可以有独立的身份认证密钥,俗称AK (AccessKey),它用于阿里云服务API的身份认证。既然是身份证明,证明你是某个云账号的合法拥..
数据库设计案例研究集锦:分析真实世界的数据库设计案例
数据库设计是创建和管理数据库的蓝图,它为数据存储、组织和检索提供了基础。数据库设计的基础包括: - **数据建模:**将现实世界中的实体和关系转换为数据库模型的过程,如实体关系模型(ERM)。 - **规范化:**将...
使用s3sec批量化自动扫描S3存储泄露数据
Gjqhs的博客
04-12 3790
下载 git clone https://github.com/0xmoot/s3sec pip3 install awscli 也可以绑亚马逊号 查找 访问 摔跤?
阿里云OSS对象存储Bucket 劫持漏洞复现
weixin_52501704的博客
09-06 2726
阿里云OSS对象存储Bucket 劫持漏洞复现
存储泄露检测工具教程
最新发布
gitblog_01065的博客
08-22 292
存储泄露检测工具教程 Cloud-Bucket-Leak-Detection-Tools六大云存储泄露利用检测工具项目地址:https://gitcode.com/gh_mirrors/cl/Cloud-Bucket-Leak-Detection-Tools 项目介绍 云存储泄露检测工具 是一个专为解决云服务中存储安全问题而设计的开源项目。由开发者 UzJu 维护,旨在帮助企业和个人...
阿里云OSS存储Bucket 劫持漏洞
weixin_50464560的博客
08-21 6785
找目标实战fofa指纹提供两个精准检索:body="NoSuchBucket" && body="BucketName" && body="aliyuncs.com"粗略检索:body="NoSuchBucket" && body="BucketName" 劫持利用环节随机挑选 访问xxx.com提示 NoSuchBucket 这里主要获取oversea-loan.oss-ap-southeast-5.ali
某系统配置错误泄露百万数据-oss_oss敏感信息泄露,2024年最新网络安全高级工程师每日面试题精选
2401_84264244的博客
04-11 739
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
OSS accessKey的信息泄露安全问题
weixin_50464560的博客
08-21 2161
1、找到一个上传文件处的地方进行burp抓包 上传文件请求包如下 返回包如下 可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是OSS的AccessKeyId和AccessKeySecret,后面还有个bucket字段 所以这里打开OSS Browser进行相应的泄露信息的利用 总结: 需要利用到的条件有四个: 1、AccessKeyId OSS账号 2、AccessKeySec.
存储列表访问权限_新的安全功能可防止Amazon S3存储配置错误和数据泄漏
weixin_42513028的博客
12-29 354
几乎一个星期过去了,我们没有听说一个组织将敏感数据暴露在互联网上,因为他们未能正确配置他们的Amazon S3存储。值得称道的是,亚马逊网络服务公司正在努力防止这种情况发生。例如,所有新创建的S3存储和对象(存储中的文件和目录)默认为私有,即随机人员无法通过Internet公开访问。其次,今年早些时候实施的更改使客户可以轻松识别由于访问控制列表(ACL)或允许任何用户进行读/写访问的策略而可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值