声明

本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前言

此网站为某金融类型的众测业务，该漏洞简单到连我都不敢相信，主要是通过前端js文件泄露AKSK密钥信息从而拿下云存储桶，并在其中获取到云ecs相关的AKSK。

挖掘机

首先是根据众测给出的资产挨个进行访问，发现其中一个js文件根据hae插件提示显示敏感信息泄露。

通过浏览器查看前端源码中的js文件发现确实泄露了AKSK信息，到这一步的时候我都不敢相信这是真的，因为作为金融行业来说这个实在有点太抽象了。

到上述步骤的时候我还比较谨慎的，害怕踩到蜜罐了那就不好玩了，不过通过左右观察以及资产测绘网站进行查看发现并不像蜜罐。那么就先使用本地自带的工具进行了解一下，哎嘿成功了解发现一百多个G的文件泄露，我想这不就有了嘛。

这里因为上述工具不方便查看文件内容于是换了阿里云的oss浏览器进行查看，发现有个文件中还存在一个aksk，而且根据注释信息是可以判断出这个是云服务器的密钥。

还发现大量的账号密码泄露出来，将近二十个文件的账号密码泄露，里面有数据库的，云服务器的还有主机的账号等等，我想这不是发财了嘛

再通过翻找发现大量zip文件，里面全是网站源码信息。

最后敏感数据太多了，然后使用上面文本文件获取的AKSK进行接管发现不行。这里其实是可以的，有一个一起参加这个众测项目的朋友就接管成功了，后面应该是修复了吧，这个都是众测了一两天我才找到的。毕竟那么明显的漏洞对于大佬来说就是捡来的洞。

原文始发于微信公众号（蓝云Sec）：金融行业众测泄露挖掘