通過OSS瀏覽器劫持阿里云Bucket

前言

本文主要對國內主流的阿里云Bucket劫持利用姿勢進行總結，漏洞原理在《劫持亞馬遜S3 Bucket》一文中已經分析的很透徹了，這里就不再贅述，鏈接如下：

https://articles.zsxq.com/id_koruae6lrsw9.htmlhttps://blog.securelayer7.net/hands-on-aws-s3-bucket-account-takeover-vulnerability/

01 FOFA語法

精準檢索：

body="NoSuchBucket" && body="BucketName" && body="aliyuncs.com"

粗略檢索

body="NoSuchBucket" && body="BucketName"

打開 http://target/，泄露了BucketName以及HostID

后續會用到的信息整理如下

HostId：abc.oss-cn-beijing.aliyuncs.comBucketName：abc

打開OSS瀏覽器

輸入你的AccessKeyId和AccessKeySecret，其他參數保持默認即可，登錄到OSS管理后臺

點擊“新建Bucket”

輸入Bucket名稱，選擇Bucket所在區域（HostId中有標記），確定

Bucket創建成功，點擊Bucket名稱，進入文件目錄

此時的Bucket中還是空的，我們點擊“文件”按鈕，上傳index.html文件

點擊“打開”，index.html文件上傳成功，并顯示在頁面中

index.html代碼如下

"zh">    Bucket Takeover Test       
The Website is takeover by laraveek

勾選index.html文件，點擊“更多”，點擊“ACL權限”

設置權限為“公共讀”，點擊“確定”

此時，我們訪問 http://target/index.html

Bucket接管成功！

此時再訪問 http://target/

已經不再顯示 NoSuchBucket 了