(云安全)前端敏感信息泄露到接管整个云服务器

最新推荐文章于 2024-05-07 15:30:00 发布
最新推荐文章于 2024-05-07 15:30:00 发布
阅读量486 收藏 1
点赞数 13
分类专栏: 漏洞挖掘 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134996939
版权

通过信息收集发现子域为xx.xx.com网站,打开先找功能点,测试登录,是微信扫描登录,自己太菜,测试一圈没测出来什么

指纹识别发现是js开发,如果登录或者找回密码不是扫码登录的话,八成是前端验证,可惜没有如果

js开发还有可能存在接口未授权,打开熊猫头插件,把这些路径放到burp去跑一遍,无果

继续向下翻发现泄露accessKeyId和accessKeySecret,域名处也泄露了储存桶域名信息

设置的挺好,没有权限,下一个用ak连接oss

打开oss利用工具,不知道利用工具的可以下载个这个工具箱,还不错

那么问题来了,连接oss不知道哪个平台怎么办,这就要通过“字符特征”来判断,这个文章就对常见平台ak标识做了整理

AccessKey 特征整理 | T Wiki

发现上面ak标识上面有accessKeyId: LTAI,尝试去连接

成功oss储存桶接管,高危漏洞到手

尝试利用cf框架能不能接管整个云,输入cf config配置文件,选择阿里云

继续输入备注,防止忘记

输入ak信息

回车继续输入秘钥,秘钥就是accessKeySecret后面的

这样就配置完成了,继续输入cf alibaba perm,查看当前访问凭证的权限

输入cf alibaba console 接管控制台

还有一种方法,用行云管家都行

好了,剩下的不演示了了,危害太大了。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
  • 13
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
由OSS AccessKey泄露引发的思考
mingyqf的博客
08-23 2657
请求的主机名xxxx.aliyuncs.com和表单的OSSAccessKeyId参数,基本可以确认系统使用 OSS 作为上传文件存储,即使上传恶意脚本文件也无法成功解析,面对这种情况如何破局?ossbrowser 是 OSS 官方提供的图形化管理工具,提供类似 Windows 资源管理器的功能,使用 ossbrowser,您可以方便地浏览、上传、下载和管理文件。一键备份数据到阿里云OSS,支持Bucket管理,支持鼠标拖放,支持剪贴板,支持断点续传,支持统计目录大小,支持文件搜索。
微信小程序漏洞之accesskey泄露
crowsec
11-14 1705
这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定有很多不正确的地方,希望大家能理解,也能指正其中的错误。
常见的敏感文件泄漏总结
最新发布
Python栈
05-07 755
敏感文件通常指携带敏感信息的文件,最为常见的就是数据库的配置文件、网站源码备份、数据库备份等,管理员为了方便下载,将源码备份放置在 web 目录,然后下载至本地备份,下载完之后忘记删除,从而导致漏洞的出现。【----帮助网安学习,以下所有学习资料文末免费领!----】
云主机秘钥泄露及利用
技术超强的网络安全平台
08-02 1796
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key
寒假学习第三、四天--云安全 accesskeyid泄露导致接管oss桶
m0_73581247的博客
01-13 1215
寒假学习第三、四天–accesskeyid泄露导致接管oss桶,第三天作者去打螺丝了,实在受不了,辞职了,兄弟们好好学技术啊提示:以下是本篇文章正文内容,下面案例可供参考**这里引用一下曾哥的文章工具 haE这个工具可以帮你在大量的数据包里面通过正则来筛选重要的数据,帮助我们快速找到敏感信息,规则在上面曾哥的文章里面有这里简单写两个规则阿里云阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 “LTAI”。腾讯云。
阿里云OSS使用前端直传遇到的InvalidAccessKeyId
weixin_47322393的博客
03-16 749
阿里云OSS使用前端vue直传遇到的InvalidAccessKeyId
Web安全系列——敏感信息泄露与加密机制
Windeal
11-01 1294
数字化时代,越来越多的数据正在被传输到Web应用程序中,这其中不乏个人或机构的敏感信息。如果Web应用程序未采取正确的加密机制,这些信息可能会遭到窃取或篡改,从而使用户数据或机构的财产受到威胁。
浅析云服务oss/obs/cos对象存储安全攻防
道阻且长,行则将至。
01-21 1389
本文主要学习了云储存服务的基础使用,实践掌握了 Bucket 对象存储服务错误配置带来的的安全风险,并重点分析了云主机 AccessKeySecret 认证凭据泄露所带来的风险。
[终端安全]顶级域接管指南.zip
11-04
[终端安全]顶级域接管指南 风险评估 安全建设 安全管理 安全活动 安全分析
云原生架构白皮书-带目录.pdf
11-08
云原生架构是基于云原生技术的一组架构原则和设计模式的集合,旨在将云应用中的非业务代码部分进行最大化的剥离,从而让云设施接管应用中原有的大量非功能特性(如弹性、韧性、安全、可观测性、灰度等),使业务不再...
如何在服务器集群配置中相互接管IP地址
03-04
在两个不同的iSeries之间利用IASP实现相互备份,客户端通过Telnet连接到其中的主生产机或备机,如果一旦被连接的系统失败时,客户能否不需修改客户端会话...本文将为大家介绍如何在服务器集群配置中相互接管IP地址。
主油泵出口压力表接管技术安全措施.docx
09-30
主油泵出口压力表接管技术安全措施.docx
井下各地点掐、接管安全技术措施.docx
09-30
井下各地点掐、接管安全技术措施.docx
实战 | 云服务器accessKey泄露实战利用
2301_80127209的博客
03-22 1005
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。免费领取安全学习资料包!帮助你在面试中脱颖而出。
从spring boot泄露接管云服务器平台
蚁景网安学院
04-11 644
在打野的时候意外发现了一个站点存在springboot信息泄露,之前就有看到一些文章可以直接rce啥的,今天刚好试试。通过敏感信息发现存在accesskey泄露,就想直接通过解密,获取敏感信息接管云平台。
access key泄露浅谈云安全
MSB_WLAQ的博客
10-14 6606
accesskey基础 什么是accesskey? 访问密钥AccessKey(AK)相当于登录密码,只是使用场景不同。AccessKey用于程序方式调用云服 务API,而登录密码用于登录控制台。如果您不需要调用API,那么就不需要创建AccessKeyaccessky创建步骤: 使用云账号登录RAM控制台。 在左侧导航栏的人员管理菜单下,单击用户。 在用户登录名称/显示名称列表下,单击目标RAM用户名称。 在用户AccessKey区域下,单击创建AccessKey。 t.
云安全之浅谈密钥泄露
wolaisongfendi的博客
02-10 780
现代应用程序需要与其他外部应用程序通信,并且它们需要内部服务到服务的通信。 这意味着访问任何服务、应用程序和数据都需要大量凭证或密钥。而密钥泄漏、配置不当等问题正引起的越来越安全问题。
记一次heapdump泄露到拿下云主机
m0_46371267的博客
12-08 2613
记一次heapdump泄露到拿下云主机
未授权和敏感文件泄露
Fiverya的博客
02-03 1188
常见未授权和敏感文件泄露漏洞
l3级自动驾驶汽车的接管安全性评价模型
12-22
L3级自动驾驶汽车是指具备一定自动驾驶能力的车辆,但仍需要驾驶员在需要时接管控制。接管安全性评价模型是对这类汽车接管过程的安全性进行评估的模型,其评价因素涵盖车辆性能、驾驶员状态、道路环境等多个方面。 首先,评估模型需要考虑车辆自身的性能和技术水平。包括车辆的传感器系统、控制算法、车辆行驶状态监测等方面,确保在自动驾驶模式下车辆能够及时准确地检测到道路情况,做出正确的驾驶决策。 其次,驾驶员的接管能力和状态也是评价模型的重要考量。包括驾驶员的反应速度、专注度、对接管情况的准确理解等,以及在接管时的正确操作能力。 此外,评估模型还需要考虑道路环境的因素,如交通标志、道路条件等,以确保在需要接管时驾驶员能够正确理解当前情况并作出适当的反应,避免发生事故。 综合考虑以上因素,可以建立一个综合评价模型,通过对车辆性能、驾驶员状态和道路环境等多个方面进行评估,来评价L3级自动驾驶汽车的接管安全性。通过这样的评价模型,可以帮助车辆制造商和监管部门更好地了解L3级自动驶驶汽车的接管安全性能,从而促进自动驾驶汽车技术的进一步发展和应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值