0. 起因:
幾天前,收到一個國外目標(公司)的滲透測試任務,時間為兩周;
大概看了一下目標是類似於國內阿里雲那樣提供雲服務的平台;
常規信息收集過后,嘗試滲透三天無果... 於是下班前只能祭出我的"大殺器"---縫合怪.py。縫合了一些好用的掃描器,一鍵 XRAY多線程批量掃 + 自動添加任務到AWVS + 自動添加任務到arl + ...加入資產后就下班回家了。
到了第二天一看掃描結果,心里暗道不妙,md壞起來了啊。。。
掃描器里一個洞都沒,goby里所有資產顯示只開放兩個端口80、443。
不慌,問題不大,時間還長,接下來要做的,就是整理思路,重新來過。
在重新整理之前收集到的資產中,發現測試目標的旁站有一個有趣的404頁面:
NoSuchBucket + BucketaName
想到了 阿里雲 的bucket劫持漏洞,幸福來得太突然了。
1. 經過:
使用測試賬號登錄自己的雲平台嘗試進行劫持:
- 點擊對象存儲服務:
- 點擊創建桶:
- 桶的名字為BucketName字段:
- 將訪問控制權限更改為公共讀寫:
- 點擊對象,創建hack.txt:
- 完成后刷新http://321.asd.com為如下:
發現BucketName字段消失了,原來的NoSuchBucket也變成了NoSuchCustomDomain,說明我們的修改對它造成了影響!
- NoSuchCustomDomain?那我們就來給他設置一個,點擊域名管理嘗試綁定域名:
- 訪問http://321.asd.com/
-
訪問:http://321.asd.com/hack.txt (hack.txt為我們剛才上傳的)
(后期嘗試上傳圖片,html等文件均可)
劫持成功!拿來吧你!
2. 結果:
漏洞危害:劫持Bucket,並開放匿名讀取功能。可以掛黑頁或引用了js文件,攻擊者可以上傳惡意js文件,去盜取用戶信息。。。
- 還有幾天時間,接着搞搞(ji xu mo yu),滲透測試一定要耐心並且專注~