前言 对于云场景的渗透,获得AK和SK泄露,也是渗透中重要的一环。 通常,我们会在一些敏感的配置文件或者通过未授权访问、任意文件读取漏洞等方式,来寻找AK和SK。 但HaE插件中一般通过正则匹配式来寻...
云服务器AccessKey执行命令
查看所有实例信息 A.exe -a xxx -s xxx ecs -list 执行命令 A.exe -a xxx -s xxx ecs exec -I xxx -c "xxx" 漏洞证明: 文笔生疏,...
阿里云accesskey利用工具 - aliyun-accesskey-Tools
01 项目地址https://github.com/mrknow001/aliyun-accesskey-Tools02 项目介绍此工具用于查询ALIYUN_ACCESSKEY的主机,并且远程执行命令...
云上攻防 | 记一次AccessKey值泄露的挖掘和分析
本文由掌控安全学院 - 98k 投稿 0x1 前言 下面是分享云安全相关的漏洞,讲解怎么利用AccessKey进而接管云环境的,但是我们首先得知道AccessKey的组成,比如说你看到...
实战中通过AccessKey与AccessSecret接管文件存储服务的攻击场景
0X00 前言 互联网的时代正在高速发展。在互联网的发展中,数据存储技术的各种应用方式也在经历不断地变换。在如今,OSS对象储存已经成为一种被广泛采用的存储模式,很多企业都习惯将大量的数据都通过...
接口漏洞-DVWS(XXE+鉴权)+阿里云KEY
dvws靶场靶场:https://github.com/snoopysecurity/dvws-node开启靶场,注册一个普通用户,登录成功来到首页点击admin area 发现进入几秒钟之后又跳转回...
【云安全攻防1】对象存储安全图文+实战案例详解
不同的厂商对对象存储的叫法有些不同,但从功能使用者角度来看,其实都是一回事。阿里云:OSS 腾讯云:COS 华为云:OBS谷歌云:GCS 微软云:Blob 亚马逊云:S3因为阿里云可免费试用3个月的O...
oss利用工具
微信公众号:[小白安全工具] 分享安全工具与安全漏洞。问题或建议,请公众号留言。该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。os...
云业务 AccessKey 标识特征整理
微信公众号:渊龙Sec安全团队为国之安全而奋斗,为信息安全而发声!如有问题或建议,请在公众号后台留言如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们1# 概述本文由团队成员AabyssZG(曾哥)和C...
【Tools】安利一款屏幕监控工具GoVnc
工具介绍GoVnc是使用go+阿里云oss实现对屏幕(截屏)进行监控,截屏后进行实时上传操作,从而达到屏幕监控的效果。如果要长期监控可以加入到开启启动项,计划任务等;项目地址https://githu...
分享一个EDU案例~
水一篇文章。分享一个之前edu的案例正文通过打点,发现了某校的服务平台弱口令探测,admin / admin123进入后台从邮箱可以看出,此平台应该是若依系统魔改版,Nday试试。Nday统统打不下。...
云渗透思路
上次发的AccessKey的利用只不过是这篇文章中的一部分。这次发个完整版本,太长无法更新到公众号。本篇文章主要解决什么问题?云相关概念以及客户端的渗透方法阿里云、亚马逊云中存在哪些漏洞?有哪些工具可...