1详细介绍
第一次写文章师傅们 轻喷~
起因
大二学生上课摸鱼,然后正常在测一些东西,emm 偶然在前端发现
发现了 AK 等字样~ 心里窃喜 洞要来了 
!!
直接用现成的工具 就好
然后进一步利用的话 可以做存储桶的拼接
log.xxx.12345678.cos.ap-shanghai-cos.myqcloud.com
这样的话又可以进一步增加危害了~
不过事实上 访问之后 并没有做限制 也就是另一个师傅前几天说的
(在创建Bucket桶时,默认是private的权限,如果在错误的配置下,给了listobject权限,就会导致可遍历存储桶)
emm这个洞也是给了 6500 块(这不展示了 展示了师傅们就知道哪个厂了^)
结果
摸鱼的一天就这样结束了~ 如果师傅们有更骚的操作的话 可以跟我讨论 ~
文章来源:火线Zone社区,作者:Iwtbb,原文地址:https://zone.huoxian.cn/d/932-ak-sk
2免费社区
安全洞察知识图谱星球是一个聚焦于信息安全对抗技术和企业安全建设的话题社区,也是一个[免费]的星球,欢迎大伙加入积极分享红蓝对抗、渗透测试、安全建设等热点主题
原文始发于微信公众号(安全洞察知识图谱):某鹅一次AK /SK 泄露导致拿下存储桶
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论