挖掘AK/SK泄露漏洞

前言

 项目中各厂商越来越趋势于使用云存储,云管理。 

漏洞介绍

图片 AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。 图片

如何检测

1. 使用Trufflehog插件发现AK/SK

图片

访问一个网站,若存在AK/SKtrufflehog就会弹窗提示,我本次没有弹窗,在trufflehog插件的findings查看

图片

图片

 

下载js,优化格式查看,ak、sk、Bucket均有

 

图片

 

腾讯oss网页版登陆测试,成功访问

 

图片

 

登录进去可以看到里面的存储文件

 

图片

 

若网站采用异步加载,该方法也是有效的。

 

图片

2. 利用Trufflehog扫描

图片

 

1. 首先将整个网页下载本地,放入一个文件夹中

 

图片

 

2.使用trufflehog常规扫描:

./trufflehog filesystem --directory=./sit

  

 

图片

 

3.通过所在的js文件,搜索泄露的AK/SK找到具体位置

 

图片

 

4.使用OSS浏览器配置AK/SK信息,选择区域

 

图片

 

5.然后就可以浏览所有的文件了

 

图片

 

ps:若网站采用异步加载,该方法无效。

 

图片

3. 利用Packer  Fuzzer 扫描

图片 
packer fuzzer直接扫描

python3 PackerFuzzer.py -u url -l zh -t adv

  

图片 没有扫描出来   图片   ps:若网站采用异步加载,该方法无效。 图片

代理到burp保存后扫描

图片 保存全部流量请求,注意不要勾选base64   图片 手动可以查找出AK/SK的,也就是说保存的txt文件中是有的   图片   测试一下工具能不能发现,linux和windows都没扫出来,shodankey是浏览器插件的免费key没啥用   图片   图片   若工具查找不到,可以使用正则:SecretId:".*?",   图片 网站采用异步加载,该方法是可以查找的(正则匹配) 图片

工具推荐

trufflehog:https://github.com/trufflesecurity/trufflehog

Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer

oss-browser:https://github.com/aliyun/oss-browser

 

posted @ 2022-10-19 09:24  菜就多练forever  阅读(2805)  评论(0编辑  收藏  举报