實戰之劫持國外某雲BucketName
轉載自:內蒙古上單
起因:
幾天前,收到一個國外目標(公司)的滲透測試任務,時間為兩週;
大概看了一下目標是類似於國內阿里雲那樣提供雲服務的平臺
常規資訊收集過後,嘗試滲透三天無果。。。 於是下班前只能祭出我的“大殺器”——-縫合怪。py。縫合了一些好用的掃描器,一鍵 XRAY多執行緒批次掃 + 自動新增任務到AWVS + 自動新增任務到arl + 。。。加入資產後就下班回家了。
到了第二天一看掃描結果,心裡暗道不妙,md壞起來了啊。。。
戳此獲取網路安全資源
掃描器裡一個洞都沒,goby裡所有資產顯示只開放兩個埠80、443
不慌,問題不大,時間還長,接下來要做的,就是整理思路,重新來過。
在重新整理之前收集到的資產中,發現測試目標的旁站有一個有趣的404頁面:
NoSuchBucket + BucketaName
想到了 阿里雲 的bucket劫持漏洞,幸福來得太突然了。
1. 經過:
使用測試賬號登入自己的雲平臺嘗試進行劫持:
1。點選物件儲存服務:
2。點選建立桶:
3。桶的名字為BucketName欄位:
4。將訪問控制權限更改為公共讀寫:
5。點選物件,建立hack。txt:
6。完成後重新整理
http://321。asd。com為如下
:
發現BucketName欄位消失了,原來的NoSuchBucket也變成了NoSuchCustomDomain,說明我們的修改對它造成了影響!
7。NoSuchCustomDomain?那我們就來給他設定一個,點選域名管理嘗試繫結域名:
8。訪問
http://
321。asd。com/
9。訪問:
http://
321。asd。com/hack。txt
(hack。txt為我們剛才上傳的)
(後期嘗試上傳圖片,html等檔案均可)
劫持成功!拿來吧你!
2. 結果:
刪除該桶後,
http://321。asd。com/恢復bucket欄位
:
漏洞危害:劫持Bucket,並開放匿名讀取功能。可以掛黑頁或引用js檔案,攻擊者可以上傳惡意js檔案,去盜取使用者資訊。。。
還有幾天時間,接著搞搞(ji xu mo yu),滲透測試一定要耐心並且專注~