#平台Secquan
#作者:某匿名小伙伴
1、找到一個上傳文件處的地方進行burp抓包
上傳文件請求包如下
返回包如下
可以看到直接返回了一個accesskey和accesspwd,通過觀察返回包發現OSS字樣,猜測上傳的圖片存放在OSS上面,前面的accesskey和accesspwd就是OSS的AccessKeyId和AccessKeySecret,后面還有個bucket字段
所以這里打開OSS Browser進行相應的泄露信息的利用
總結:
需要利用到的條件有四個:
1、AccessKeyId OSS賬號
2、AccessKeySecret OSS密碼
3、bucket OSS路徑
4、區域名稱
