戟星安全实验室
本文约1255字,33图,阅读约需5分钟。
前言
漏洞介绍
使用Trufflehog插件发现AK/SK
访问一个网站,若存在AK/SK,trufflehog就会弹窗提示,我本次没有弹窗,在trufflehog插件的findings查看。
下载js,优化格式查看,ak、sk、Bucket均有
腾讯oss网页版登陆测试,成功访问
登录进去可以看到里面的存储文件
若网站采用异步加载,该方法也是有效的。
利用Trufflehog扫描
首先将整个网页下载本地,放入一个文件夹中
使用trufflehog常规扫描:./trufflehog filesystem --directory=./sit
通过所在的js文件,搜索泄露的AK/SK找到具体位置
使用OSS浏览器配置AK/SK信息,选择区域
然后就可以浏览所有的文件了
ps:若网站采用异步加载,该方法无效。
利用Packer Fuzzer 扫描
packer fuzzer直接扫描
python3 PackerFuzzer.py -u url -l zh -t adv
代理到burp保存后扫描
工具推荐
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(戟星安全实验室):【奇技淫巧】五分钟教你挖掘AK/SK泄露漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论