渗透测试|劫持国外某云BucketName

admin 2025年2月20日23:43:36评论5 views字数 978阅读3分15秒阅读模式

扫码领资料

获黑客教程

免费&进群

渗透测试|劫持国外某云BucketName
渗透测试|劫持国外某云BucketName
随着WAF产品

作者:内蒙古上单

原文地址:https://xz.aliyun.com/t/10050

起因:

几天前,收到一个国外目标(公司)的渗透测试任务,时间为两周;

大概看了一下目标是类似于国内阿里云那样提供云服务的平台;

渗透测试|劫持国外某云BucketName

常规信息收集过后,尝试渗透三天无果... 

于是下班前只能祭出我的"大杀器"---缝合怪.py。

缝合了一些好用的扫描器,一键 XRAY多线程批量扫 + 自动添加任务到AWVS + 自动添加任务到arl + ...加入资产后就下班回家了。

到了第二天一看扫描结果,心里暗道不妙,md坏起来了啊。。。

渗透测试|劫持国外某云BucketName

渗透测试|劫持国外某云BucketName

扫描器里一个洞都没,goby里所有资产显示只开放两个端口80、443。

渗透测试|劫持国外某云BucketName

渗透测试|劫持国外某云BucketName

不慌,问题不大,时间还长,接下来要做的,就是整理思路,重新来过。

在重新整理之前收集到的资产中,发现测试目标的旁站有一个有趣的404页面:

渗透测试|劫持国外某云BucketName

NoSuchBucket + BucketaName

想到了 阿里云 的bucket劫持漏洞,幸福来得太突然了。

经过:

使用测试账号登录自己的云平台尝试进行劫持:


1.点击对象存储服务:

渗透测试|劫持国外某云BucketName

2.点击创建桶:

渗透测试|劫持国外某云BucketName

3.桶的名字为BucketName字段:

渗透测试|劫持国外某云BucketName

4.将访问控制权限更改为公共读写:

渗透测试|劫持国外某云BucketName

5.点击对象,创建hack.txt:

渗透测试|劫持国外某云BucketName

6.完成后刷新http://321.asd.com为如下:

渗透测试|劫持国外某云BucketName

发现BucketName字段消失了,原来的NoSuchBucket也变成了NoSuchCustomDomain,说明我们的修改对它造成了影响!


7.NoSuchCustomDomain?

那我们就来给他设置一个,点击域名管理尝试绑定域名:

渗透测试|劫持国外某云BucketName

8.访问http://321.asd.com/

渗透测试|劫持国外某云BucketName

9.访问:http://321.asd.com/hack.txt (hack.txt为我们刚才上传的)

(后期尝试上传图片,html等文件均可)

渗透测试|劫持国外某云BucketName

劫持成功!拿来吧你!

渗透测试|劫持国外某云BucketName

结果:

  1. 删除该桶后,http://321.asd.com/恢复bucket字段:

    漏洞危害:劫持Bucket,并开放匿名读取功能。可以挂黑页或引用js文件,攻击者可以上传恶意js文件,去盗取用户信息。。。

    渗透测试|劫持国外某云BucketName

  2. 还有几天时间,接着搞搞(ji xu mo yu),渗透测试一定要耐心并且专注~

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,

原文始发于微信公众号(白帽子左一):渗透测试|劫持国外某云BucketName

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月20日23:43:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试|劫持国外某云BucketNamehttps://cn-sec.com/archives/956265.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息