OSS存储桶密钥泄露【案例】
OSS存储桶密钥泄露
同样的,在前几天的攻防演练中的经历,本文我们将为OSS存储桶单独做文章
公开配置文件泄露
录屏、截图缺失了。发现这个存储桶密钥是因为我在鹰图对一个能够控制生成类似容器的站点,抓包发现api是另一个子域的站点,于是我跟着过去了,然后对这个子域进行目录扫描,发现了/config文件,该文件可直接访问,并且直接存放着明文可阅读的阿里云OSS的accessKey和secretKey,直接用阿里提供的OSS browser连接了上去
权限分200分,一个桶10分,桶里没啥有价值的信息,含泪拿下330分
nacos后台泄露
总所周知的nacos有漏洞,随便进后台,进到目标nacos后台后,我发现了一堆yml
并且部分yml存放着七牛云、阿里云OSS的accessKey和secretKey,当然还有其它数据库的凭据,我们这里重点关注OSS.
通过云资产管理工具,我们就可以登录到七牛云
内网中在网站目录下发现的配置文件泄露
在内网服务器逛街时,我在网站目录下发现好几个形如application.json或类似命名的json文件,当我阅读它的时候我发现除了其它数据库凭据、微信支付api key、钉钉key外,发现了两个腾讯云和一个阿里云的accessKey和secretKey
结束
其实我在这次攻防遇到的这些存储桶信息泄露也没有太大的亮点,硬要说有什么亮点,那也只能说我比较细心(毕竟我把整个机器上的文件都翻了个遍,能不细心🐎)。这类信息泄露其实跟我们与其它常见的信息泄露方式没有多大差别。