實戰之劫持國外某雲BucketName

轉載自：內蒙古上單

起因：

幾天前，收到一個國外目標（公司）的滲透測試任務，時間為兩週；

大概看了一下目標是類似於國內阿里雲那樣提供雲服務的平臺

常規資訊收集過後，嘗試滲透三天無果。。。 於是下班前只能祭出我的“大殺器”——-縫合怪。py。縫合了一些好用的掃描器，一鍵 XRAY多執行緒批次掃 + 自動新增任務到AWVS + 自動新增任務到arl + 。。。加入資產後就下班回家了。

到了第二天一看掃描結果，心裡暗道不妙，md壞起來了啊。。。

戳此獲取網路安全資源

掃描器裡一個洞都沒，goby裡所有資產顯示只開放兩個埠80、443

不慌，問題不大，時間還長，接下來要做的，就是整理思路，重新來過。

在重新整理之前收集到的資產中，發現測試目標的旁站有一個有趣的404頁面：

NoSuchBucket + BucketaName

想到了 阿里雲 的bucket劫持漏洞，幸福來得太突然了。

1. 經過：

使用測試賬號登入自己的雲平臺嘗試進行劫持：

1。點選物件儲存服務：

2。點選建立桶：

3。桶的名字為BucketName欄位：

4。將訪問控制權限更改為公共讀寫：

5。點選物件，建立hack。txt：

6。完成後重新整理

http：//321。asd。com為如下

：

發現BucketName欄位消失了，原來的NoSuchBucket也變成了NoSuchCustomDomain，說明我們的修改對它造成了影響！

7。NoSuchCustomDomain？那我們就來給他設定一個，點選域名管理嘗試繫結域名：

8。訪問

http：//

321。asd。com/

9。訪問：

http：//

321。asd。com/hack。txt

（hack。txt為我們剛才上傳的）

（後期嘗試上傳圖片，html等檔案均可）

劫持成功！拿來吧你！

2. 結果：

刪除該桶後，

http：//321。asd。com/恢復bucket欄位

：

漏洞危害：劫持Bucket，並開放匿名讀取功能。可以掛黑頁或引用js檔案，攻擊者可以上傳惡意js檔案，去盜取使用者資訊。。。

還有幾天時間，接著搞搞（ji xu mo yu），滲透測試一定要耐心並且專注~