freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

分享几个比较有意思的储存桶测试案例
2022-06-08 13:50:25
所属地 浙江省


前言

在挖某src的时候发现的一个比较有意思的案例,通过一系列简单的操作,可以遍历全桶的文件。

发现点

在找资产的过程中找到了一个业务,发现一个可以上传的功能点。有个添加货物功能,里面有个图片上传,是上传到桶里的。

请求中隐去无关参数,关键参数是good_image,里面是一个key(图片的“路径”)。 然后再去获取这个对应的货物详情,发现返回的图片地址已经在后台给你签了名了。 4直觉告诉我,这里有个问题,可以继续深入。

深入

既然后台会去给我传入的图片签名,那么可以测试的点来了,我如果输入的图片不是真实的key,直接是根目录呢? 5再获取一下对应的详情,惊喜来了,根目录直接签名了。 6直接访问已经能列出桶里面的文件了。 7可以直接根据里面的key,再重复修改上面的good_image,让后台进行签名,来读取桶里的任意文件。 为了获取更多的文件,这里用到桶的两个参数。不同的厂商的可能有区别,这里是阿里的。 一个参数是max-keys,它定义了在一次请求内OSS返回文件和文件夹最大的数目,默认值是100,最大可以设成1000。当一个文件夹内有超过1000个文件时,可以利用另一个参数——marker。这个参数告诉OSS从指定的文件开始,按照字典序查其后面的文件。 直接看实例。 8


案例二

测试app的过程中,发现一个可以上传图片的功能点,同样是到桶里。 第一步会先去获取上传需要的参数,包含策略,accessid,签名,路径等。 9然后进入上传,记得修改下后缀为静态文件,内容改成js代码直接过去。 10然后访问,中危到手,好几伯块钱,是不是有手就行? 11

案例三

还是在测试app的过程中,发现一个可以上传图片的功能点,同样是到桶里,只是这次返回的东西有点意思,给了个STStoken。 12这里讲下sts。 阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。 是有时效性,ACL策略不严时,也是可以登录遍历桶的,至少会有个上传的权限。 这里直接用OSSBrowser访问,可以连上,又是好几伯块。 13

总结

这里只是关于桶的几个比较常见的玩法。常见的桶的玩法也就那么几种,要么遍历,要么劫持,要么密钥泄露,要么上传问题。 碰到的时候,一定要细细的测,再不济一个中危还是有的。


# SRC
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录