攻防实战 | nacos到接管阿里云&百万数据泄露 admin 102360文章 87评论 2024年3月20日01:17:20评论19 views字数 555阅读1分51秒阅读模式 前言 在某次攻防当中,通过打点发现了一台nacos,经过测试之后发现可以通过弱口令进入到后台,可以查看其中的配置信息 通过翻看配置文件,发现腾讯云的AK,SK泄露,以及数据库的账号密码。操作不就来了么,直接上云! 利用CF工具加上之前的AK,SK配置信息,创建腾讯云控制台账号密码,登录后直接上云! 翻看腾讯云的资源信息,发现5个存储桶,这一波直接加大分 还可以看一下账单信息,看看购买了什么资源 在私有网络当中,发现里面有两个子网,不过上不去也就没办法 因为客户开通了短信包,同时还可接管腾讯云短信,给自己发一条看看 接管后发送短信,可以篡改内容 同时泄露数据库账号密码,接管数据库,接管数十个数据库,泄露数据高达百万 数据库中泄露小程序APPID和相关的KEY,可接管小程序 后续 后续没有深入,不让打了,对于云安全,其实相对于我们这种脚本小子来说,你会用cf工具,那么你就畅通无阻,但是你必须得找到AK/SK,那么AK/SK是什么玩意呢,它其实就是云服务给你的账号密码(相当于账号密码)不过不能直接登上去,需要用cf工具做做操作 关于cf工具,链接在这,大家自己下载即可https://github.com/teamssix/cf 非常滴好用!! ★ 原文始发于微信公众号(渗透安全团队):攻防实战 | nacos到接管阿里云&百万数据泄露 点赞 https://cn-sec.com/archives/2587276.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论