一次OSS Accesskey泄露记录

最新推荐文章于 2025-05-28 10:49:34 发布
最新推荐文章于 2025-05-28 10:49:34 发布
阅读量1.4k 收藏 3
点赞数 5
CC 4.0 BY-SA版权
文章标签: 经验分享 安全 网络安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59047731/article/details/138112640
本文记录了一次OSSAccessKey的意外泄露,涉及AccessKeyID和Secret的使用、自动化工具的应用以及安全风险提示。作者强调了在合法授权下的操作和安全防范的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一次OSS Accesskey泄露记录(AK)

前期准备

1、什么是Accesskey

访问密钥AccessKey(简称AK)是阿里云提供给用户的永久访问凭据,一组由AccessKey ID和AccessKey Secret组成的密钥对。

  • AccessKey ID:用于标识用户。
  • AccessKey Secret:是一个用于验证您拥有该AccessKey ID的密码。

AccessKey ID和AccessKey Secret根据算法由访问控制(RAM)生成,阿里云对AccessKey ID和AccessKey Secret的存储及传输均进行加密。

AccessKey不用于控制台登录,用于通过开发工具(API、CLI、SDK、Terraform等)访问阿里云时,发起的请求会携带AccessKey ID和AccessKey Secret加密请求内容生成的签名,进行身份验证及请求合法性校验。

2、自动化利用工具

OSS接管工具

ossbrowser 是 OSS 官方提供的图形化管理工具,提供类似 Windows 资源管理器的功能,使用 ossbrowser,您可以方便地浏览、上传、下载和管理文件。

http://gosspublic.alicdn.com/oss-browser/1.9.4/oss-browser-win32-x64.zip

accesskey反弹shell工具

https://github.com/mrknow001/aliyun-accesskey-Tools/releases/tag/v1.3

渗透的过程

注意:这个操作具有高度敏感性,需要在合法授权下才能进行。阿里云会记录你所有的操作过程,渗透千万条,安全第一条。操作不规范,亲人两行泪。

1、发现

这次我是在一个js文件中发现的,一般最容易找到的情况就是在这种js文件当中

在这里插入图片描述

2、利用

自动化利用工具

下载后打开

在这里插入图片描述

此时你就拥有了管理目标云数据库的权限

3、反弹shell

在这里插入图片描述

在这里插入图片描述

tcp后面跟的是自己的ip地址和监听的端口号,反弹shell命令的前提是目标能够出网

最后在cmd中使用nc监听即可

结语

渗透千万条,安全第一条。操作不规范,亲人两行泪。

一次文件上传泄露OSS密钥
千寻的博客
12-19 1127
*网站做了站库分离,上传的文件存储到阿里云的OSS上;由于未对服务器返回的数据内容进行严格的校验,导致返回OSS密钥
一次文件上传引发的OSS_ACCESS_KEY泄露
千寻的博客
01-16 1381
* 由于是教育系统,可以进行`任意用户注册`; * 由于在身份认证的模块,可以进行`文件上传`,`返回数据包`中泄露`OSS_ACCESS_KEY`; * 通过图形化管理工具`ossbrowser`,进行管理,进一步发现`信息泄露`.
AccessKey ID和cessKey Secret获取详细步骤
m0_73092427的博客
05-28 458
第一步:开通阿里云oss:第二步:
OSS AccessKey泄露引发的思考
10-29 2773
什么是OSS?对象存储服务(Object Storage Service,OSS)是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。容量和处理能力弹性...
寒假学习第三、四天--云安全 accesskeyid泄露导致接管oss
m0_73581247的博客
01-13 2223
寒假学习第三、四天–accesskeyid泄露导致接管oss桶,第三天作者去打螺丝了,实在受不了,辞职了,兄弟们好好学技术啊提示:以下是本篇文章正文内容,下面案例可供参考**这里引用一下曾哥的文章工具 haE这个工具可以帮你在大量的数据包里面通过正则来筛选重要的数据,帮助我们快速找到敏感信息,规则在上面曾哥的文章里面有这里简单写两个规则阿里云阿里云 (Alibaba Cloud) 的 Access Key 开头标识一般是 “LTAI”。腾讯云。
OSS存储桶密钥泄露【案例】
M1n9K1n9的博客
07-12 1845
同样的,在前几天的攻防演练中的经历,本文我们将为OSS存储桶单独做文章。
oss一键创建删除修改.rar
08-22
5. **acc.txt**:这可能是一个配置文件,存储了阿里云OSS的访问密钥(Access Key ID和Access Key Secret),这是进行OSS操作的必要凭据。在实际应用中,需要妥善保管,避免泄露。 6. **aliyun-oss-php-sdk-master**...
阿里云OSS对象存储完全开发手册(一篇学会阿里云OSS所有知识点)
hao_kkkkk的专栏
03-25 2737
阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云存储服务,可提供99.9999999999%(12个9)的数据持久性,99.995%的数据可用性。多种存储类型供选择,全面优化存储成本, 可以使用阿里云提供的 API、SDK 接口或者 OSS 迁移工具轻松地将海量数据移入或移出阿里云 OSS。RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点。
Java实现HTTPS文件下载并上传至阿里云OSS的完整方案
最新发布
07-01
初始化客户端:通过RAM账号获取的AccessKey、SecretKey及STS Token创建OSSClient,建议配置RAM最小权限策略以提升安全性。 流式上传:从HTTPS响应获取输入流,调用putObject方法指定Bucket名称、Object Key及输入流...
对象存储OSS 客户端签名直传的安全风险和解决方法
qq_33163046的博客
06-07 3515
本文探讨了OSS客户端签名直传的安全风险及解决方法。我们对比了OSS与文件系统,分析了客户端直传的风险,并提出了多种解决方案,如服务端生成STS临时访问凭证和签名URL。通过A企业案例展示了实际应用效果,并提供了多种OSS安全最佳实践。希望本文能帮助读者更好地理解和应对OSS安全挑战,保护数据安全
Oss 上传代码封装
09-12
在使用OSS服务时,要确保访问密钥的安全,避免泄露。在生产环境中,推荐使用RAM角色或者STS(Security Token Service)临时授权来提升安全性。 总结,OSS上传代码封装的核心在于创建OSS客户端、配置上传请求及处理...
实战 | 云服务器accessKey泄露实战利用
2301_80127209的博客
03-22 3000
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。免费领取安全学习资料包!帮助你在面试中脱颖而出。
OSS accessKey的信息泄露安全问题
weixin_50464560的博客
08-21 2373
1、找到一个上传文件处的地方进行burp抓包 上传文件请求包如下 返回包如下 可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是OSSAccessKeyId和AccessKeySecret,后面还有个bucket字段 所以这里打开OSS Browser进行相应的泄露信息的利用 总结: 需要利用到的条件有四个: 1、AccessKeyId OSS账号 2、AccessKeySec.
Day93:云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_61553520的博客
04-10 3028
小迪安全-Day93:云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
【云安全】云服务-AccessKey泄露
仇辉攻防的博客
01-11 1347
资源滥用:攻击者可以使用泄露AccessKey创建或删除云资源,执行消耗大量资源的操作,导致用户的云服务账号被频繁使用或资源被滥用,引发费用增加等问题。可溯源攻击:通过泄露AccessKey,攻击者可以获取到用户的云服务账号和相关信息,进而可能对用户发起更加有针对性的攻击,如社会工程学攻击、钓鱼网站等。身份冒充:攻击者可以使用泄露AccessKey冒充用户身份,进行未经授权的操作,例如发送恶意邮件、发起网络攻击等,对用户和其他人员造成损害。4、设置我们获取到的AK和SK,run命令执行利用。
由access key泄露浅谈云安全
MSB_WLAQ的博客
10-14 7267
accesskey基础 什么是accesskey? 访问密钥AccessKey(AK)相当于登录密码,只是使用场景不同。AccessKey用于程序方式调用云服 务API,而登录密码用于登录控制台。如果您不需要调用API,那么就不需要创建AccessKey。 accessky创建步骤: 使用云账号登录RAM控制台。 在左侧导航栏的人员管理菜单下,单击用户。 在用户登录名称/显示名称列表下,单击目标RAM用户名称。 在用户AccessKey区域下,单击创建AccessKey。 t.
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
SuperherRo的博客
02-29 2623
1、云服务-对象存储-权限配置不当 2、云服务-对象存储-域名解析接管 3、云服务-对象存储-AccessKey泄漏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落樱坠入星野

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值