前言:

刚好挖到某个src的云存储接管漏洞,这边分享一下,希望大家遇到了可以挖一挖,域名不能公开,我们就假设是static-good-boy.huoxian.cn这个域名

1、漏洞指纹

访问 static-good-boy.huoxian.cn

发现返回如下:

上面的图片表示什么意思呢,我翻译下:

1、static-good-boy.huoxian.cn指向了static-good-boy.oss-cn-beijing.aliyuncs.com这个子域名

2、static-good-boy.oss-cn-beijing.aliyuncs.com这个桶不存在

也就是说我只要申请 static-good-boy这个桶,那么我就可以控制static-good-boy.oss-cn-beijing.aliyuncs.com的内容,而static-good-boy.huoxian.cn指向了static-good-boy.oss-cn-beijing.aliyuncs.com,就相当于变相的控制了static-good-boy.huoxian.cn,而在static-good-boy.huoxian.cn上窃取其他huoxian.cn子域名的一些cookie等信息是有很大可能的~

2、漏洞利用

访问阿里云的存储桶控制台([https://oss.console.aliyun.com/bucket][0])

新建桶

创建成功后,上传文件

成功上传后,访问以下链接,成功接管

static-good-boy.huoxian.cn/mkdd.html

请大家看完点赞哦 本周六快手联合火线 举办线下「观火」白帽沙龙活动 ↓扫描二维码火速了解

【火线Zone】

火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火小表妹]免费加入~

我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!

欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!

一次成功的云存储接管实战相关推荐

  1. 阿里云OSS云存储平台

    阿里云OSS云存储平台实战--图片上传/下载/删除 一.OSS实战要求 使用SpringBoot和OSS实现图片的上传.下载和删除功能, 具体要求如下: 可以使用postman 发送上传请求 /pic ...

  2. 阿里云对象存储Java-SDK实战

    本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:阿里云对象存储Java-SDK实战 目前项目中要保存上传的文件,很多时候都会用到对象存储.本文介绍阿里云对象存储Java-SDK在实际开发中的基 ...

  3. 腾讯云~云存储和数据万象CI 实战

    文章目录 1. 依赖 2. 工具类 3. 配置文件 1. 依赖 <!--腾讯云存储--><dependency><groupId>com.qcloud</gr ...

  4. 阿里云视频点播+项目实战

    目录 整合阿里云Vod实现视频上传 整合阿里云视频播放器 前端方面 场景: 功能十分多,可以对视频进行加密,防止盗链,并且节省了资源,覆盖了加速节点,安全系数高 流程: 用户获取上传授权. VoD下发 ...

  5. 阿里云TSDB时空数据库实战(一):数据入库与导出

    阿里云TSDB时空数据库实战(一):数据入库与导出 前言 一.创建时空数据库实例 二.安装桌面交互工具QGIS 三.在QGIS添加图层 四.数据入库 五.数据导出 前言 5月5号,阿里云发布了最新的时 ...

  6. 视频教程-ZStack 带你0基础搭建私有云平台|ZCCT实战培训视频|-云平台

    ZStack 带你0基础搭建私有云平台|ZCCT实战培训视频| ZStack云计算解决方案专家,12年虚拟化与云计算相关工作经验,先后就职于IT系统集成商.国内知名软件上市公司以及云计算服务商,分别从 ...

  7. 亲测简单易懂可用:阿里云OSS入门实战2(集成到SpringBoot项目中存放用户头像)

    亲测简单易懂可用:阿里云OSS入门实战2(集成到SpringBoot项目中存放用户头像) 大噶好,我们继续延续上一章,学习如何使用OSS存放用户头像代码示例; 在application.propert ...

  8. 小程序云开发全套实战教程(最全)

    ####前言: 在学习云开发的时候将自己的学习过程记录下来了,放在了网上,收获了一波好评,今天下午在办公室没有事情,也发现之前有人在博客里面评论,你这个教程还有一半哩,可能是csdn的自动搬运功能出来 ...

  9. 云存储关键技术研究与发展应用

    1 云存储的定义 1.1 定义1 云存储系统以传统的分布式存储技术为基础,利用高吞吐率网络技术为依托,一方面高效地整合管理网络存储资源,另一方面对外提供友好的接口,发布便捷的网络数据存储服务 1.2  ...

最新文章

  1. mysql5.7 sql监控_MySQL5.7中 performance和sys schema中的监控参数解释
  2. javascript高级程序设计(第3版)之《script元素》
  3. 基于Pytorch再次解析AlexNet现代卷积神经网络
  4. linux下 C编程改变输出字体颜色
  5. 《记得我们有约》17集
  6. TortoiseGit与github实现项目的上传
  7. ODOO v10.0 自动生成财务凭证的科目设置
  8. 问题2----网速问题?造成的ORA-01034和ORA-27101
  9. php mysql索引最左原则_MySQL 索引使用策略及优化
  10. C++是最难的编程语言?为什么这样说?
  11. 考计算机科学考研老师问,名师答疑:计算机专业考研复习6问!
  12. 如何在M1上运行较早的非本机Intel x86应用
  13. Atitit layout art 布局的艺术目录1. SpringLayout 类 弹簧布局管理器 12. BoxLayout( html默认布局) 11.SpringLayout
  14. The program 'roscore' is currently not installed. You can install it by typing: sudo apt install pyt
  15. 爬虫python创意_爬虫案例:利用python爬虫关键词批量下载高清大图
  16. 微信JSAPI几个函数介绍
  17. 【移动光猫H2-2的完全破解心路历程及配置】
  18. mysql一张表100亿条数据_一个表有100亿条记录,如何优化
  19. 整数的按权展开 (10 分)
  20. listview显示数据倒叙

热门文章

  1. 趣头条:资讯界的拼多多?
  2. 考研证件照不能戴眼镜,不能PS,要求素颜审核非常严?
  3. 【DKN】(二)config.py
  4. 电脑开机直接进BIOS界面怎么办
  5. 当滑雪这项世界最古老的运动遇上AI
  6. 【数字IC/FPGA】门控时钟
  7. c语言编写开关程序,C语言开关语句:switch
  8. 新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
  9. 中学-知识与能力【6】
  10. c执行cmd pdf2swf_SWFTOOLS PDF2SWF 参数详解